Vídeo: MINI-CURSO: Como Superar os Limites Internos | Prof. Lúcia Helena Galvão (Subtit. English) (Outubro 2024)
Quando um ladrão joga um tijolo pela janela de um joalheiro e foge com o estoque, seus ganhos são substancialmente menores que as perdas do joalheiro. O ladrão terá que cercar os itens abaixo do seu valor real, pois são "quentes". O joalheiro não apenas perdeu o valor da mercadoria, mas também pagou por uma nova janela. Da mesma forma, um cibercriminoso que rouba um milhão de números de cartão de crédito pode vendê-los por alguns milhares de dólares; notificar um milhão de clientes e configurá-los com novos cartões custará muito mais ao emissor do cartão.
Essa disparidade provocou uma idéia para Stefan Frei, vice-presidente de pesquisa do NSS Labs. A maioria dos ataques cibernéticos quebra a segurança da empresa vítima, explorando algum tipo de vulnerabilidade no sistema operacional ou em outro software. E se pudéssemos tirar essa ferramenta dos bandidos? Em um trabalho de pesquisa detalhado, Frei e seu colega analista Francisco Artes explicam a ousada idéia de criar um Programa Internacional de Compra de Vulnerabilidades (IVPP) que pagaria mais por vulnerabilidades do que os bandidos podem pagar.
Executando os números
Especialistas diferentes oferecem estimativas diferentes de perdas financeiras em todo o mundo devido ao crime cibernético, mas elas variam entre dezenas de bilhões e centenas de bilhões. Frei analisou os números de vulnerabilidades publicados em 2012 e descobriu que o custo para comprar cada um por US $ 150.000 seria muito menor do que a quantidade de dano financeiro que eles causaram.
Primeiro, vamos olhar para o custo mais alto e o menor retorno. Suponha que o IVPP pague US $ 150.000 por toda vulnerabilidade, independentemente da gravidade ou prevalência do software envolvido, evitando assim dez bilhões de perdas financeiras. O custo da compra é pouco menos de 8% das perdas nesse pior cenário.
No entanto, um terço das vulnerabilidades exploradas foram encontradas nos programas pelos dez principais fornecedores. Apenas pagando por eles e aceitando uma estimativa de 100 bilhões de perdas, o custo cai para 0, 3% do valor perdido. Uma escala de pagamento graduada com base na gravidade também reduziria os custos. Como comparação, o relatório observa que as empresas de varejo nos EUA esperam perder de 1, 5 a 2, 0% das vendas anuais para furto ou "encolhimento de estoque".
O relatório também descobriu que o custo de comprar todas as vulnerabilidades em 2012 teria sido de cerca de 0, 005% do PIB dos EUA ou da União Européia e menos de 0, 3% da receita total da indústria de software.
Os buracos de segurança estão aqui para ficar
Parte do artigo analisa a situação atual em relação às vulnerabilidades de software. Simplificando, mesmo que fosse possível escrever um software sem falhas, não seria lucrativo. O grande custo de uma violação de dados recai sobre a empresa que foi violada, não sobre o fornecedor do software defeituoso. Em termos de negócios, esse custo é uma "externalidade negativa" para o fornecedor de software, e "as empresas com fins lucrativos não investem na eliminação de externalidades negativas".
É possível que os usuários possam forçar o problema recusando a compra de software de fornecedores de software que contenham falhas de segurança. Na prática, porém, vulnerabilidades são a norma. Todos nós os esperamos, e eles não vão embora. O relatório observa que "não há responsabilidade legal pela qualidade do software, e é improvável que isso mude tão cedo".
O pesquisador que descobre uma nova falha na segurança pode enviá-la silenciosamente ao fornecedor, anunciá-lo publicamente ou vendê-lo ao maior lance. Um estudo anterior do NSS Labs relatou um negócio de revenda próspero para explorações do mercado negro. O relatório observa que as coisas seriam muito piores, mas pelo fato de muitos pesquisadores de segurança abster-se altruisticamente de vender para comerciantes negros.
Os bandidos não podem competir
Em um mundo de oferta e demanda, você pode pensar que os bandidos apenas competiriam com os mocinhos, oferecendo mais por novas vulnerabilidades. O relatório aponta que a mesma disparidade entre pequeno ganho para os bandidos e grande perda para as vítimas significa que os bandidos simplesmente não podem competir. Eles não podem oferecer mais do que sua receita máxima prevista, enquanto um IVPP poderia pagar muito mais para evitar perdas colossais.
De fato, a recompensa substancial por falhas de segurança recém-encontradas provavelmente levaria a mais descobertas. Um pesquisador cuja única recompensa potencial é um tapinha nas costas, camiseta ou algumas centenas de dólares simplesmente não está tão motivado. Ao pegar o anel de bronze, você recebe US $ 150.000, é uma história diferente.
Grandes planos
O relatório completo oferece uma proposta detalhada de como um programa internacional de compras de vulnerabilidades funcionaria. Ele cobre tudo, desde quem pagaria, como os relatórios aconteceriam, toda a estrutura organizacional e muito mais.
Isso vai acontecer? Isso ainda precisa ser visto. Mas este relatório bem elaborado me convence de que realmente poderia funcionar.
