Categoria: Internet

Publicado em in Internet, Mídias Sociais, tecnologia

A Crise das Redes: Como Administrar o Comportamento Coletivo Global

Abrimos esta semana apresentando em português o necessário estudo “Administração do Comportamento Coletivo Global”, sobre o que eu pessoalmente caracterizo como a Crise das Rede Sociais. A sociedade humana nunca teve que lidar com entidades tão potentes, com tão grande potencial desagregador, tão desconhecidas e tão incompreendidas. Estamos em um momento-chave da civilização, e o que fizermos nesta década definirá o caminho da espécie humana por séculos.

A ‘Economia da Atenção’ tem facilitado comportamentos extremos e provocado rupturas políticas e culturais. Sua influência na opinião pública exibe uma escala sem precedentes na evolução da civilização. Imagem: iStock

Introdução

O comportamento coletivo fornece uma estrutura para a compreensão de como as ações dos grupos emergem naturalmente do compartilhamento de informações. Em humanos, os fluxos de informação foram inicialmente moldados pela seleção natural, mas são cada vez mais estruturados por tecnologias de comunicação emergentes. Nossas redes sociais maiores e mais complexas agora movimentam informações de alta fidelidade, através de grandes distâncias, a baixo custo. A era digital e a ascensão das mídias sociais aceleraram as mudanças em nossos sistemas sociais, com consequências funcionais ainda mal compreendidas. Essa lacuna em nosso conhecimento representa o principal desafio para o progresso científico, para a democracia e para as ações de enfrentamento das crises globais. Argumentamos que o estudo do comportamento coletivo deve ser elevado a uma “disciplina de crise”, assim como a medicina, a conservação e a ciência do clima, e ter foco em fornecer uma visão prática para a administração dos sistemas sociais destinada aos formuladores de políticas públicas bem como os reguladores.

Comportamento coletivo se refere às instâncias em que grupos exibem ação coordenada na ausência de um líder óbvio: de bilhões de gafanhotos, estendendo-se por centenas de quilômetros, devorando a vegetação à medida que avançam; de cardumes de peixes convulsionando como um fluido animado quando sob ataque de predadores às nossas próprias sociedades, caracterizadas por cidades, com edifícios e ruas cheias de cor e som, vivas de atividade. A característica comum de todos esses sistemas é que as interações sociais entre os organismos individuais dão origem a padrões e estruturas em níveis mais elevados de organização, desde a formação de vastos grupos nômades até o surgimento de sociedades baseadas na divisão de trabalho, normas sociais, opiniões, e dinâmica de preços.

Nas últimas décadas, o “comportamento coletivo” evoluiu de uma descrição de fenômenos gerais para uma estrutura conduciva à compreensão dos mecanismos pelos quais a ação coletiva emerge (3⇓⇓⇓-7). Ele revela como as propriedades de “ordem superior” das estruturas coletivas em grande escala, se retroalimentam para influenciar o comportamento individual, que por sua vez pode influenciar o comportamento do coletivo, e assim por diante. O comportamento coletivo, portanto, se concentra no estudo de indivíduos no contexto de como eles influenciam e são influenciados pelos outros, levando em consideração as causas e consequências das diferenças interindividuais em fisiologia, motivação, experiência, objetivos e outras propriedades.

Imagem: iStock

As interações multiescala e o feedback que fundamentam o comportamento coletivo são marcas definidoras de “sistemas complexos” – que incluem nosso cérebro, redes de energia, mercados financeiros e o mundo natural. Quando perturbados, os sistemas complexos tendem a exibir uma resiliência finita seguida por mudanças catastróficas, repentinas e muitas vezes irreversíveis na sua funcionalidade. Em uma ampla gama de sistemas complexos, a pesquisa destacou como a perturbação antropogênica – tecnologia, extração de recursos e crescimento populacional – é uma fonte crescente, se não dominante, de risco sistêmico. No entanto, a pesquisa científica sobre como os sistemas complexos são afetados pela tecnologia humana e pelo crescimento populacional tem se concentrado mais intensamente nas ameaças que eles representam para o mundo natural.

Temos uma compreensão muito mais pobre das consequências funcionais das recentes mudanças em grande escala no comportamento humano coletivo e na tomada de decisões. Nossas adaptações sociais evoluíram no contexto de pequenos grupos de caçadores-coletores resolvendo problemas locais por meio de vocalizações e gestos. Em contraste, agora enfrentamos desafios globais complexos, de pandemias a mudanças climáticas – e nos comunicamos em redes dispersas conectadas por tecnologias digitais, como smartphones e mídias sociais.

Com ligações cada vez mais fortes entre os processos ecológicos e sociológicos, evitar a catástrofe a médio prazo (por exemplo, coronavírus) e a longo prazo (por exemplo, mudança climática, segurança alimentar) exigirá respostas comportamentais coletivas rápidas e eficazes – ainda não se sabe se a dinâmica social humana permitirá tais respostas.

Além das ameaças ecológicas e climáticas existenciais, a dinâmica social humana apresenta outros desafios ao bem-estar individual e coletivo, como recusa de vacinas, adulteração de eleições, doenças, extremismo violento, fome, racismo e guerra.

Nenhuma das mudanças evolutivas ou tecnológicas em nossos sistemas sociais ocorreu com o propósito expresso de promover a sustentabilidade global ou a qualidade de vida. Tecnologias recentes e emergentes, como mídia social online, não são exceção – tanto a estrutura de nossas redes sociais quanto os padrões de fluxo de informações por meio delas são direcionados por decisões de engenharia feitas para maximizar a lucratividade. Essas mudanças são drásticas, opacas, efetivamente não regulamentadas e de grande escala.

Disciplina de Crise

As consequências funcionais emergentes são desconhecidas. Não temos a estrutura científica necessária para responder até mesmo às questões mais básicas que as empresas de tecnologia e seus reguladores enfrentam. Por exemplo, será que um determinado algoritmo para recomendar amigos – ou um para selecionar itens de notícias a serem exibidos – promove ou impede a disseminação de desinformação online? Não temos um corpo de literatura embasado teoricamente e verificado empiricamente para informar uma resposta a tal pergunta. Na falta de uma estrutura desenvolvida, as empresas de tecnologia se atrapalharam com a pandemia de coronavírus em curso, incapazes de conter a “infodemia” de desinformação que impede a aceitação pública de medidas de controle, como máscaras e testes generalizados.

Em resposta, os reguladores e o público têm insistido nos pedidos de reforma do nosso ecossistema de mídia social, com demandas que vão desde maior transparência e controles de usuário até responsabilidade legal e propriedade pública. O debate básico é antigo: os processos comportamentais em grande escala são autossustentáveis ​​e autocorretivos, ou requerem gerenciamento e orientação ativos para promover o bem-estar sustentável e equitativo? Historicamente, essas questões sempre foram tratadas em termos filosóficos ou normativos. Aqui, construímos nossa compreensão dos sistemas complexos perturbados para argumentar que não se pode esperar que a dinâmica social humana produza soluções para questões globais ou promova o bem-estar humano sem uma política baseada em evidências e administração ética.

A situação é paralela aos desafios enfrentados na biologia da conservação e na ciência do clima, onde indústrias insuficientemente regulamentadas otimizam os seus lucros enquanto minam a estabilidade dos sistemas ecológicos. Tal comportamento criou a necessidade de uma política urgente baseada em evidências, na falta de uma compreensão completa da dinâmica subjacente dos sistemas (por exemplo, ecologia e geociências). Essas características levaram Michael Soulé a descrever a biologia da conservação como o contraponto da “disciplina de crise” à ecologia. As disciplinas de crise são distintas de outras áreas de pesquisa urgente baseada em evidências em sua necessidade de considerar a degradação de todo um sistema complexo – sem uma descrição completa da dinâmica do sistema. Sentimos que o estudo do comportamento humano coletivo deve se tornar a resposta da disciplina de crise às mudanças em nossa dinâmica social.

Como o comportamento humano coletivo é o resultado de processos que abrangem escalas temporais, geográficas e organizacionais, abordar o impacto da tecnologia emergente no comportamento global exigirá uma abordagem transdisciplinar e um colaboração sem precedentes entre cientistas em uma ampla gama de disciplinas acadêmicas. À medida que nossas sociedades são cada vez mais instanciadas na forma digital, abstrações de processos sociais – as redes são um exemplo proeminente – tornam-se partes muito reais da vida diária. Essas mudanças apresentam novos desafios, bem como oportunidades, para avaliação e intervenção. Disciplinas dentro e fora das ciências sociais têm acesso a técnicas e formas de pensar que expandem nossa capacidade de entender e responder aos efeitos da tecnologia de comunicação. Acreditamos que tal colaboração é urgentemente necessária.

Ler artigo original na íntegra:

Stewardship of Global Collective Behavior

Joseph B. Bak-Coleman, Mark Alfano, Wolfram Barfuss, Carl T. Bergstrom, Miguel A.
Proceedings of the National Academy of Sciences of the United States of America

Publicado em in Internet, tecnologia

Sexta de Leão: as Relações Íntimas Entre Porn & Tech

Ao longo da história das mídias, da linguagem vernacular à tipografia, à fotografia, aos livros de bolso, ao videoteipe, à TV a cabo e streaming, às linhas telefônicas “900”, ao Minitel francês, aos laser-discs e CD-ROMs, até a Internet, a pornografia sempre mostrou o caminho para a tecnologia de consumo. Não é a pornografia, diz um argumento, é a distribuição!

Imagem: iStock

O vídeo ultra-conservador Perversion for Profit de 1965 [sem link para não ferir o ranking do blog] afirma: “A pornografia e o desvio sexual sempre fizeram parte da condição humana, isso é verdade. Mas agora tudo ganhou uma nova dimensão… Impressoras de alta velocidade, transporte rápido, distribuição em massa… tudo se combinou para colocar as obscenidades mais loucas ao alcance de cada homem e mulher”.

Longe vão esses tempos ingênuos diante do inesgotável buffet de imagens e sensações de que o usuário médio de Internet dispõe em 2021. O pornô até o ano 2000 era basicamente Playboy e Penthouse – por mais sexistas que fossem. Hoje a pornografia está mudada completamente, e mudou por causa da internet . A internet tornou a pornografia acessível – e (pseudo) anônima.

Todo mundo conhece a extensão da pornografia, mas poucos percebem seu verdadeiro poder. Ao ler (cursivamente) “The Sex Effect” – que examina as relações ocultas entre sexo e cultura – fiquei surpreendentemente consciente da quantidade de tecnologias de consumo que acabaram sendo adotadas pelas massas por causa da pornografia. Videocassetes, comércio eletrônico, serviços de streaming, marketing de rede – e, em última análise, a própria internet – têm uma dívida de gratidão para com os vendedores de obscenidades que ajudaram a popularizá-los. Porque, embora os militares tenham criado a internet, eles não teriam sido capazes de encontrar uma base de consumidores tão sólida sem a pornografia. Pense nos militares como o inventores/criadores de um serviço e a pornografia como o veículo que leva o serviço às massas.

“De inúmeras formas, grandes ou aparentemente insignificantes, a indústria pornográfica abriu um caminho comercial que outras indústrias estão assimilando e se apressando em seguir”, disse Frederick Lane, autor de “Lucros obscenos: Os empreendedores da pornografia na era cibernética”.

Embora as novas tecnologias de modo geral tenham permitido a expansão da indústria pornográfica, a internet tem sido uma faca de dois gumes para a indústria. A Internet aumentou a prevalência e a popularidade da pornografia, mas também facilitou a pornografia gratuita e de fácil acesso, assim como o conteúdo sexual criado pelo usuário. Muito resiliente, o setor tem sido criativo em superar essas circunstâncias.

Essa indústria nunca parou de inovar, – apesar da falência de muitas empresas pornográficas na última década. Brinquedos sexuais controlados por computador, realidade virtual e avatares sexuais são apenas alguns dos produtos com os quais os executivos do mundo pornô estão fazendo experiências.

Imagem: iStock

Os modelos de negócio do pornô também evoluíram

Para combater o onipresente conteúdo gratuito, as empresas pornográficas estão criando iniciativas voltadas à experiências premium – tanto ao vivo quanto online. Isso é feito por meio da venda de produtos e serviços derivados, como sessões de fotos (com o vibrador que foi usado durante uma cena de sexo específica); seminários ‘educacionais’ (para ensinar aos casais coisas como dinâmicas da submissão e dominação); tours em estúdios (ao vivo e virtuais); franquias de clubes de strip, swing, bares, lojas, restaurantes, hotéis; webcams ao vivo com as novas divas – as estrelas pornôs; podcasts e rádio; eventos; financiamento coletivo de conteúdo e criação de pacotes personalizados nos quais os consumidores pagam para atuar como diretores e atores… A lista é infindável.

Mesmo que a pornografia tenha tido esse impacto descomunal nas tecnologias de consumo e serviços que as pessoas usam no dia a dia, raramente ela recebe o devido crédito, já que a discussão sobre pornografia na sociedade é sempre – e naturalmente – guiada pela ideologia.

“Se não fosse pelo estigma, a pornografia seria louvada publicamente como uma indústria que soube desenvolver, adotar e difundir novas tecnologias com sucesso e rapidez”, escreveu o historiador Jonathan Coopersmith. “Mas, devido à própria natureza do assunto, o silêncio e o constrangimento sempre foram as reações padrão.”

Embora a maioria das pessoas já tenha usado pornografia casualmente, aquelas que aparecem nas notícias sobre ela normalmente pertencem a dois extremos: lobistas pró-pornografia e fanáticos anti-pornografia tentando convencer os eleitores da justiça de sua causa. Mas até que a sociedade olhe além de seu conteúdo diáfano e de seu complexo significado, o impacto real do erotismo permanecerá em grande parte desconhecido.

Para concluir esta sexta-feira [na verdade, para começar, :wink], deixo um trecho do trabalho de Peter Johnson (1996) “Pornography Drives Technology: Why Not to Censor the Internet” Federal Communications Law Journal: Vol. 49 : Iss. 1 , Article 8], disponível [em inglês] no site do FCLJ

“‘A grande arte é sempre flanqueada por suas irmãs sombrias: a blasfêmia e a pornografia.’ O mesmo é verdade para as artes mundanas que chamamos de mídia. Onde há a Bíblia de Gutenberg, também há Rabelais; onde há correio, também há cartões postais eróticos; onde há um romance de capa dura em três volumes, há a literatura barata em papel reciclado.

A Pornografia, longe de ser um mal que a Primeira Emenda deve tolerar, é um bem positivo que incentiva a experimentação com novas mídias. A Primeira Emenda, portanto, não lida apenas com valor intelectual, moral, político e artístico, mas também com o valor prático e econômico. Insta os adultos, sob consentimento mútuo, desinibidos pela falta de censura, a procurar novos estilos de vida e comunicação, bem como novas maneiras de ganhar dinheiro com os novos costumes. Portanto, embora possa ser politicamente arriscado e socialmente imprudente incentivar a pornografia por computador, os legisladores deveriam se afastar e deixar a midia seguir por onde a pornografia levar.”

* * *

Obs.: Sendo este um blog, o post pretende estimular a discussão agnóstica e desapaixonada. Este texto não representa todas as sutilezas de minha posição pessoal sobre a questão.

Publicado em in Internet, privacidade

Morte à Economia de Vigilância!

Neste exato momento, enquanto você lê este post, algoritmos estão tomando decisões sobre sua vida, com base em seus dados, sem o seu conhecimento e sem o seu consentimento. Algoritmos que muitas vezes não foram testados completamente, muito menos auditados periodicamente. Talvez você seja um dos milhões de negros americanos visados ​​pela Cambridge Analytica na tentativa de impedi-los de votar nas eleições de 2016. Talvez tenham negado a você um empréstimo, um emprego ou um apartamento recentemente.

Imagem: iStock

Se isso aconteceu, é quase certo que seus dados tenham algo a ver com isso. Esses dados pessoais na maioria das vezes são imprecisos, mas você não pode corrigi-los porque não tem acesso a eles. Você pode perder seu emprego devido a um algoritmo com defeito. E como disse o Cardeal Richelieu, “dê-me seis linhas escritas pelo mais honesto dos homens e eu encontarei nelas um motivo para mandá-lo para a forca”.

À medida que as empresas de tecnologia moldam nossas percepções, o preconceito e a discriminação – tão miseravelmente humanos – são incorporados naturalmente a seus produtos e serviços em vários níveis e de várias formas.

A economia de vigilância afronta a igualdade e a justiça. Você e seu vizinho não são mais tratados como cidadãos iguais. Você não tem oportunidades iguais a ele porque é tratado de maneira diferente com base em seus dados. Os anúncios e o conteúdo a que você tem acesso, os preços que paga pelos mesmos serviços e até o tempo que você espera no telefone para falar com o serviço de atendimento ao cliente dependem dos seus dados e de seu “score”.

Somos muito mais competentes para coletar dados pessoais do que para mantê-los seguros. Os dados pessoais são uma ameaça séria e não deveríamos coletá-los se não somos capazes de mantê-los seguros. Usando dados de localização de smartphones adquiridos de um “corretor de dados”, é possível rastrear oficiais militares com acesso a dados sigilosos, advogados poderosos e seus clientes, e até mesmo o presidente de um país (através do telefone de alguém que se considera e é pago para ser um agente do serviço secreto).

Nossa atual economia de dados é baseada na coleta de tantos dados pessoais quanto possível, armazenando-os indefinidamente e vendendo-os a quem pagar mais. Ter tantos dados confidenciais circulando livremente é, no mínimo, imprudente. Ao projetar nossa economia em torno da vigilância, estamos construindo uma perigosa estrutura de controle social, estrutura essa que está em conflito aberto com a liberdade. Na sociedade de vigilância que estamos construindo, não existe nada invisível ao radar. Não deveria ser nossa responsabilidade, como querem as grandes companhias, optar pela não coleta de dados nos navegadores. A não-coleta deveria vir como padrão em todo e qualquer software dedicado à comunicação na Internet.

É hora de acabar com a economia de vigilância. Não permitimos a compra e venda de votos (porque isso prejudica a democracia). Por que então devemos permitir a comercialização de dados pessoais? Não devemos permitir anúncios personalizados. Se os anúncios fossem transparentes sobre o que sabem sobre nós, talvez não fôssemos tão indiferentes ao modo como somos direcionados. As vantagens dos anúncios personalizados para os usuários são mínimas, na melhor das hipóteses, e podem ser alcançadas por meio de publicidade contextualizada. Por exemplo, exibir anúncios de equipamentos esportivos apenas quando o usuário procura equipamentos esportivos.

Precisamos ter certeza de que os algoritmos que afetam nossas vidas são confiáveis. Precisamos saber como os algoritmos estão nos julgando e com base em quais dados. Devemos implementar deveres de depositário fiel de dados: qualquer pessoa que deseje coletar ou gerenciar seus dados pessoais deve se comprometer legalmente a usá-los apenas em seu benefício e nunca contra você. Quem gerencia dados pessoais de terceiros é responsável ​​por eles. Temos que melhorar muito nossos padrões de segurança cibernética, através de lei. E é necessário também excluir periodicamente os dados de que não precisamos mais.

Enquanto a solução definitiva não aparece, escolha produtos compatíveis com a privacidade. Por exemplo, ao invés de usar a pesquisa do Google, use DuckDuckGo; em vez de usar o WhatsApp, use o Telegram; no lugar do Gmail, use ProtonMail. Essas escolhas simples podem ter um impacto muito significativo em nossas vidas. Ao escolher produtos éticos sinalizamos às empresas de Internet que nos preocupamos com a nossa privacidade.

Acabar com a economia de dados pode parecer uma proposta radical. Contudo, é ainda mais extremo ter um modelo de negócios cuja existência depende da violação de nosso direito à privacidade em grande escala.

Na verdade, isso é inaceitável.

Publicado em in Internet, IoT, Presença Remota, tecnologia

A Era da Domótica

A cada vez mais popular tecnologia que permite a ‘computadorização’ das casas – por enquanto da parcela mais afluente da população – tem um nome raramente evocado, seja em fala ou escrita: Domótica. Segundo a corrente principal, o termo ‘domótica’ é uma composição entre a palavra latina “domus” (casa, lar) e as palavras “robótica” ou “eletrônica”. Outros dizem que é simplesmente uma contração da expressão “robótica doméstica” [‘domotics’, em inglês]. De qualquer forma, os proponentes da automação doméstica querem encher seu espaço de vida com tecnologias ‘espertas’.

Imagem: iStock

Em uma casa esperta, todos os sistemas e utensílios são auxiliados por computador e controlados remotamente. Isso permite, por exemplo, programar as luzes e o aquecimento para que se ativem ou desliguem sozinhos. É possivel fazer com que as luzes diminuam ao se aproximar a hora de dormir, ou programar utensílios para trabalhar em horários específicos. A imaginação é o limite.

A domótica também inclui dispositivos como campainhas ‘inteligentes’, fechamento/travamento automático de portas e gerenciamento de sistemas de alarme.

As razões do crescimento

Os casos de uso da automação residencial se enquadram em três categorias principais: conforto, eficiência e segurança. O público geral parece ter a percepção de que a domótica adiciona muito valor a esses aspectos-chave do ambiente doméstico. A seguir, alguns exemplos:

  • Conforto (e conveniência)

A automação residencial alivia sobremaneira o peso das tarefas domésticas. É possível configurar o aspirador para trabalhar por você. Não é preciso se lembrar de desligar a máquina de lavar quando a secadora estiver pela metade com a última carga – ela pode fazer isso sozinha.

A domótica também significa ter o controle remoto da tecnologia que roda em sua casa. Você pode desligar ou ligar as luzes sem ir até o interruptor [ou sem estar em casa]. Você pode configurar sua máquina de café para começar o preparo enquanto você fica na cama por mais uns minutos. As possibilidades são inúmeras.

  • Eficiência

Além do conforto, a domótica também propõe aumentar a eficiência da sua casa.

Uma casa ‘inteligente’ é uma grande aliada no controle do uso de itens como eletricidade, aquecimento e água. Quando sua casa pode desligar automaticamente as luzes e o aquecimento, você reduz substancialmente o desperdício de energia. Isso se traduz em economia de dinheiro e um ambiente mais sustentável.

  • Segurança

A automação residencial inclui tecnologias de segurança, como sistemas de alarme e campainhas inteligentes. É possível, por exemplo, definir o alarme remotamente. Se ele disparar por algum motivo, você tem um alerta automático imediato.

Como outro exemplo, sua casa pode gerenciar a iluminação de forma a parecer que você está em casa durante um feriado. Em vez de se preocupar por ter deixado o ferro de passar ligado, você pode relaxar sabendo que sua casa inteligente o desligou.

Há também os recursos que ajudam a proteger o patrimônio. Por exemplo, sensores de vazamento de água e detectores de fumaça/monóxido de carbono. É possível ser alertado sobre os problemas antes que eles causem danos irreversíveis.

As vulnerabilidades da domótica

Como acontece com qualquer tecnologia, também existem desvantagens a serem consideradas.

A primeira preocupação é a vulnerabilidade potencial a hackers e falhas técnicas. O que acontece se a porta da frente apresentar mau funcionamento e você ficar preso; ou se um ator mal-intencionado desativar seus alarmes? Essa preocupação é (parcialmente) mitigada através de uma maior educação/conscientização sobre segurança cibernética em geral – complementada por boas práticas. A instalação de atualizações regulares do ‘firmware’ é também de suma importância, assim como o uso de senhas fortes, com mais de 20 caracteres – este post de março se relaciona ao assunto.

A segunda preocupação gira em torno da privacidade e da proteção de dados. O uso da domótica gera dados e metadados de todos os tipos – dados sobre quando você está em casa, o que faz em casa e como usa seus eletrodomésticos [que, por serem ‘inteligentes’, são totalmente integrados ao sistema]. Esses dados são valiosos para todos os tipos de atores: anunciantes, cibercriminosos, corporações e o estado-nação [sim, todos nós temos algo a esconder]. Ao convidar a ‘Internet das Coisas’ (‘Internet of Things’ – IoT) para sua casa, você também convida novas camadas de vigilância e garimpagem de dados – inofensivas ou não.

Em terceiro lugar vêm as questões de integração e custos. Diferentes ferramentas de tecnologia doméstica nem sempre funcionam bem umas com as outras. Isso pode resultar em um gerenciamento complicado de muitos recursos. Ou em um compromisso involuntário de longo prazo com apenas uma ou duas marcas que funcionam integradas.

Imagine um mundo onde o trabalho doméstico não-criativo não mais existe. Sua casa se administra sozinha e você tem o controle, não importa onde esteja. Suas tarefas são executadas pela automação e seu tempo vai para os seus projetos, lazer e estar com a família/amigos. Em última análise, a domótica propõe economizar dinheiro, tempo e energia, ao mesmo tempo em que melhora a qualidade de vida.

Como toda tecnologia, ela traz vantagens e oportunidades, mas também novos problemas e desafios. Para que adicione real valor e não se transforme em uma grande superfície a ser explorada para ataques ao bem-estar e ao patrimônio, ela demanda consciência nas ações e completa alfabetização digital. Voltaremos sempre a este assunto.

Publicado em in Internet, Segurança, tecnologia

Confiança Zero: Nada é Seguro na Internet

O decreto de segurança cibernética do presidente Joe Biden, assinado no último 12 de maio, estipula que o governo federal americano adote uma “arquitetura de confiança zero” em seus sistemas computacionais. Isso levanta algumas questões. O que é segurança de confiança zero? E mais, se a confiança no usuário é ruim para a segurança, por que a maioria das organizações do governo e do setor privado a pratica?

Imagem: iStock

Uma consequência do excesso de confiança online é a epidemia de ‘ransomware‘ [programas maliciosos que sequestram o sistema em que operam, através da encriptação do conteúdo], um problema global crescente, que afeta grandes e pequenas organizações. Intrusões de alta visibilidade, como a recentemente experimentada pela empresa Colonial Pipeline, nos EUA, são apenas a ponta do iceberg.

Houve pelo menos 2.354 ataques de ransomware em governos locais, instalações de saúde e escolas nos Estados Unidos no ano passado. Embora as estimativas variem, as perdas com ransomware parecem ter triplicado em 2020 para mais de US$ 300.000 por incidente. E os ataques estão ficando mais sofisticados.

Um tema recorrente em muitas dessas violações é a confiança perdida – em fornecedores, funcionários, software e hardware. Como profissional de sistemas e estudioso de segurança digital tenho interesse em questões de confiança. Comentemos aqui alguns aspectos da arquitetura de confiança zero, e como ela contribui para a resistência dos sistemas distribuidos.

Segurança sem confiança

A confiança, no contexto das redes de computadores, refere-se a sistemas que permitem o acesso de pessoas, ou outros computadores, com pouca ou nenhuma verificação sobre quem são e se estão autorizados a ter acesso. Por outro lado, ‘confiança zero’ é um modelo de segurança que pressupõe que as ameaças são onipresentes, dentro e fora das redes. Assim, a confiança zero depende de verificações contínuas por meio de informações de várias fontes. Essa abordagem pressupõe a inevitabilidade da violação dos dados. Em vez de se concentrar exclusivamente na prevenção de violações, a segurança de confiança zero procura garantir que os danos sejam limitados, que o sistema seja resiliente e possa se recuperar rapidamente.

Usando uma analogia epidemiológica, a abordagem da confiança zero para a segurança cibernética sempre pressupõe que uma infecção está apenas a um perdigoto – ou, neste caso, um clique – de distância. Dito de outra forma, em vez de defender o castelo, esse modelo assume que os invasores já estão dentro das muralhas.

Não é difícil ver os benefícios do modelo de confiança zero. Se a Colonial Pipeline tivesse adotado um sistema parecido, o ataque de ransomware de que foi vítima provavelmente teria falhado e as pessoas não teriam entrado em pânico. E se a segurança de confiança zero fosse de uso generalizado na rede, a epidemia de ransomware que nos flagela seria muito menos custosa

Quatro obstáculos para perder a confiança

Existem pelo menos quatro barreiras que impedem a adoção de arquiteturas de confiança zero nos sistemas governamentais e privados.

Em primeiro lugar, os sistemas legados e a infraestrutura geralmente são impossíveis de atualizar. Alcançar a segurança de confiança zero requer uma defesa em camadas, que envolve a construção de vários níveis de segurança. No entanto, é muito difícil de implementar em sistemas que não foram construídos com esse objetivo em mente, porque essa arquitetura requer verificação independente em cada camada.

Em segundo lugar, mesmo que seja possível fazer upgrade, o custo será significativo. É caro, demorado e potencialmente perigoso reprojetar e reimplantar sistemas, especialmente se eles forem feitos sob medida. O Departamento de Defesa dos EUA sozinho opera mais de 15.000 redes em 4.000 instalações espalhadas por 88 países.

Terceiro, as tecnologias ponto-a-ponto, como os computadores que executam Windows 10 em uma rede local, não são adequadas à confiança zero porque são baseadas principalmente em senhas, e não em autenticação multifator em tempo real. Senhas podem ser quebradas por botnets que calculam rapidamente muitas senhas possíveis – os chamados ‘ataques de força bruta’ – enquanto a autenticação multifator em tempo real requer, além de senhas, uma ou mais formas adicionais de verificação – normalmente um código enviado por e-mail ou texto. (*)O Google anunciou recentemente a decisão de exigir autenticação multifator para todos os seus usuários.

Quarto, fazer a migração dos sistemas de informação de uma organização para serviços em nuvem pode melhorar as condições para a adoção da confiança zero, mas apenas se tudo for feito da maneira correta. Isso exige a criação de novos aplicativos na nuvem, em vez de simplesmente mover os aplicativos existentes para a nuvem. As organizações precisam de expertise para planejar uma segurança de confiança zero ao migrar para a nuvem, o que nem sempre está disponível.

O Decreto de Biden

A ordem executiva do governo Biden tenta promover uma defesa em camadas para enfrentar os problemas de segurança cibernética do país. A ordem executiva seguiu várias recomendações da Cyberspace Solarium Commission, uma comissão formada pelo Congresso para desenvolver uma abordagem estratégica para defesa dos EUA no ciberespaço.

Entre outras coisas, a abordagem se inspira nas estruturas de confiança zero propostas pelo Instituto Nacional de Padrões e Tecnologia (National Institute for Standards and Technology – NIST). Ela também convoca o Departamento de Segurança Interna (Department of Homeland Security – DHS) a assumir a liderança na implementação dessas técnicas, inclusive em seus programas baseados em nuvem.

Quando combinada com as outras iniciativas definidas na ordem executiva – como a criação de um Conselho de Segurança Cibernética e a imposição de novos requisitos para a segurança da cadeia de suprimentos de software para fornecedores federais – a segurança de confiança zero pode, de fato, levar os EUA na direção certa.

No momento, essa ordem executiva se aplica apenas aos sistemas governamentais. Ela não teria impedido o ataque à Colonial Pipeline, por exemplo. Para colocar o país como um todo em uma posição mais segura é preciso ajudar o setor privado a também adotar essas práticas de segurança. Isso exigirá ação do Congresso.

Publicado sob a Licença Creative Commons 4.0

Adaptado de “The Conversation