O presidente dos EUA, Barack Obama, disse no início deste mês que empresas e governos devem formar uma "aliança real" contra hackers, caso contrário, atividades de hacking semelhantes às do ano passado à Sony se tornarão mais comuns. Mas os detalhes do hacking da Sony sugerem que isso pode ser apenas uma exigência.
Esse ataque cibernético, ocorrido em novembro do ano passado, não apenas expôs as falhas das empresas no campo da segurança na Internet, mas também expôs as limitações da cooperação entre governo dos EUA e empresas. Autoridades do governo federal dos EUA dizem que foi o ataque da Sony que os levou a mudar a forma como respondem a incidentes de segurança na Internet.
Eles tomaram muitas medidas como resultado, incluindo a criação de um centro de integração de inteligência de ameaças cibernéticas para melhor classificar e compartilhar informações relacionadas a ataques de verdade. Obama também assinou uma ordem executiva em 13 de fevereiro autorizando o governo a compartilhar mais informações com empresas. Ele assinou a ordem executiva enquanto participava de uma cúpula de segurança na Universidade de Stanford com o objetivo de melhorar a relação do Vale do Silício com Washington em várias questões.
De acordo com entrevistas com vários executivos, dignitários e pessoas familiarizadas com o assunto, pode-se julgar que o hacking da Sony expôs que empresas e governos estavam excessivamente preocupados com seus próprios interesses no processo, de modo que não receberam informações suficientes nem realizaram consultas adequadas ao tomar certas decisões.
Quando a Sony descobriu que sua rede havia sido infiltrada em 24 de novembro, denunciou o caso ao FBI em poucas horas. No entanto, enquanto os executivos da Sony estavam alarmados, a resposta inicial do governo dos EUA foi contida, principalmente porque não havia indicação de que grandes quantidades de dados de usuários ou informações sensíveis relacionadas à segurança nacional estivessem em risco.
Em poucos dias, o ataque incomum, que sabotou, humilhou e coagiu uma corporação multinacional por meio de diversas medidas, mostrou consequências cada vez mais graves. Em 16 de dezembro, uma pessoa anônima chegou a ameaçar lançar um ataque de "11 de setembro" ao cinema onde foi lançado o novo filme da Sony, "The Interview", que foca no assassinato do líder norte-coreano Kim Jong-un e está previsto para ser lançado em todo o país durante o Natal.
Autoridades da Associação Nacional de Proprietários de Cinemas ligaram para o Departamento de Segurança Interna dos EUA, mas foram informadas de que não tinham ouvido falar da ameaça e não puderam fornecer orientação. Foi essa reação que levou as grandes redes de cinemas a recusarem o lançamento do filme.
Como principal agência investigativa do incidente, o FBI não compartilhou muitas informações sobre a origem do ataque com a Sony, e o sigilo tornou-se um método comum nessas investigações de segurança. O FBI não é treinado e, portanto, não sabe como fornecer orientação às empresas em caso de ataque. Portanto, pessoas familiarizadas com o assunto disseram que, quando a Sony considerou se o plano de lançamento do filme deveria ser cancelado, o FBI também não forneceu nenhum conselho.
Tanto o FBI quanto o Departamento de Segurança Interna dos EUA emitiram boletins de aplicação da lei dizendo que não havia evidências confiáveis de que o teatro seria atacado. Mas autoridades do governo federal dos EUA ainda disseram aos proprietários de cinemas que não sabiam se hackers tinham capacidade para atacar teatros.
Poucas horas depois de várias redes de cinemas anunciarem sua recusa em lançar "O Assassinato de Kim Jong-un", a Sony Pictures anunciou que cancelaria os planos de lançamento do filme.
Aos olhos de investigadores experientes do governo em hacking, isso mais uma vez destaca os problemas criados pela descentralização das responsabilidades de segurança informática no governo federal dos EUA. O FBI, o Departamento de Segurança Interna, o Serviço Secreto e muitas agências de inteligência têm algumas responsabilidades sobre essa questão, mas elas mudam dependendo das circunstâncias do caso específico. E como o hacking da Sony foi mostrado ao público de uma forma incomum, essas questões ficam ainda mais complicadas.
Autoridades da Casa Branca também ficaram chocadas depois que a Sony anunciou que cancelaria o plano de lançamento nos cinemas de "O Assassinato de Kim Jong-un": originalmente era apenas uma questão de segurança corporativa e relações públicas, mas acabou escalando para uma questão de segurança nacional e liberdade de expressão. Vários altos funcionários atuais e antigos do governo dos EUA revelaram que a Casa Branca frequentemente se atrasava para se envolver totalmente nesses eventos, mas isso mudou rapidamente quando a Sony decidiu cancelar o plano de lançamento.
"O governo estava sob enorme pressão na época e precisava agir", disse uma pessoa familiarizada com o assunto. Na reunião da Casa Branca, autoridades concordaram em anunciar que a Coreia do Norte era a verdadeira culpada nos bastidores, mas Pyongyang sempre negou isso. Em 19 de dezembro, o FBI divulgou uma rara declaração longa descrevendo algumas evidências que identificavam a Coreia do Norte como o cérebro por trás do hacking da Sony.
Algumas horas depois, Obama também fez seus próprios comentários, não apenas alegando em uma coletiva de imprensa que a Sony havia tomado a decisão errada, mas até reclamando que a Sony deveria ter pedido conselhos a ele com antecedência.
Mas executivos da Sony acham que a decisão do governo dos EUA é decepcionante: se o governo americano condenasse publicamente a Coreia do Norte, preferiria que isso acontecesse há alguns dias para deixar claro que a empresa foi vítima de uma campanha de hacking por um governo estrangeiro antes de cancelar o plano de lançamento do filme.
Pessoas familiarizadas com o assunto disseram que, antes da declaração do FBI, houve um debate acalorado dentro do governo dos EUA sobre o conteúdo da declaração. Autoridades da Casa Branca pediram que ela divulgue evidências de alguns ataques norte-coreanos, enquanto dentro do FBI, veteranos da cibersegurança se opuseram, argumentando que a medida poderia expor evidências demais nas fases iniciais da investigação.
Desde então, o debate mudou para qual departamento do governo deveria anunciar o assunto, e finalmente decidiu que o FBI deveria declarar a Coreia do Norte por trás disso.
Mas após a declaração do FBI, algumas empresas de cibersegurança imediatamente questionaram que a agência havia excluído erroneamente hackers da Rússia e de outros lugares. O diretor do FBI, James Comey, disse em uma reunião no início de 2015 que tinha certeza de que a Coreia do Norte estava por trás do hacking da Sony.
Menos de uma semana depois que a Sony decidiu abandonar o lançamento de "O Assassinato de Kim Jong-un" e poucos dias após Obama realizar uma coletiva de imprensa, a Sony mudou sua postura e anunciou que lançaria o filme em centenas de cinemas independentes e o alugaria ou venderia pela Internet.
Autoridades do governo dos EUA ainda debatem as lições desse incidente e seus problemas subsequentes. O governo dos EUA parece reconhecer que ambos os lados deveriam compartilhar mais informações, com Lisa Monaco, conselheira presidencial de contraterrorismo dos EUA, dizendo: "Caso contrário, temo que ataques maliciosos como o hacking da Sony se tornem a norma." ”
Algumas fontes de cibersegurança dentro do governo dos EUA dizem que a declaração pública do FBI tem efeito contrário porque levanta questões públicas sobre a precisão do trabalho do FBI.
Alguns argumentam que o governo dos EUA expôs detalhes demais sobre cibersegurança. Outros acreditam que a resposta da Sony sugere que o governo deveria divulgar mais informações para evitar manter o público no escuro.
No entanto, apesar das diferenças sobre a escala de divulgação do governo, muitos concordam que o governo dos EUA deveria designar uma única agência para conduzir investigações de hackers. Na verdade, a Casa Branca está atualmente planejando isso.
A questão é se o estabelecimento de uma nova instituição será suficiente para resolver o problema. "Isso pode simplificar o processo no caso da Sony? Talvez possa. James Lewis, consultor de cibersegurança do Center for Strategic and International Studies, disse: "Isso pode mudar as informações que eles compartilham com as empresas?" Receio que não. ”
Jacob Olcott, da BitSight Technologies, uma agência de classificação de segurança de computadores corporativos, disse que a adição de uma nova agência governamental pode ser uma distração. Ele acredita que o problema central é que as empresas precisam tomar mais medidas para fortalecer a segurança de seus sistemas computacionais. "O governo não tem controle sobre a rede da Sony." Ele disse.
A maioria dos participantes também concordou em outra questão: esperavam que outros hackers aprendessem com a Sony e se tornassem mais agressivos ao atacar a empresa e alcançar seus próprios objetivos.
|
Publicado em 24/02/2015 11:17:16
|
|
|
|
