No último dia 17 de julho, o Governo norte-americano publicou uma nota informando o roubo de chaves criptográficas o que também implicou na invasão de dezenas de caixas de e-mails e no acesso à informações sigilosas.
O aumento de ataques hackers para roubos de dados e agora o crescente número de roubo dos criptoativos, por meio do acesso as suas respectivas chaves criptográficas, que são o próprio dinheiro, deixam em estado de alerta empresas públicas, privadas e investidores digitais, de maneira geral. Combinar as metas de negócios e estratégias de segurança digital é bastante desafiador. É preciso buscar a melhor saída.
Só no Brasil, já são mais de 2 milhões de investidores em cripto, segundo dados divulgados pela Receita Federal. Com a entrada de novos investidores em criptoativos, bancos e instituições financeiras, por exemplo, faz-se necessário a busca de novas formas de oferecer serviços de ativos digitais com maior nível de segurança a seus clientes. No caso de instituições que emitem ativos tokenizados, por meio de redes DLT ou blockchain, as chaves criptográficas precisam ser custodiadas com um alto nível de proteção. Esse também é o caso da nova moeda, o Real Digital, previsto para ser lançado em 2024, pelo Banco Central do Brasil. Ele também utilizará a tecnologia de registros distribuídos, e será fundamental uma infraestrutura adequada para a custódia segura de chaves desse ativo digital.
A maioria dos profissionais já reconhecem a grande vulnerabilidade, que é manter as chaves criptográficas, certificados e segredos de negócios armazenadas em servidores e outros sistemas. Muitos deles não foram testados efetivamente pelo mercado, não garantem alta performance e não possuem certificação, dentro das melhores práticas de segurança cibernética. O desafio do líder é garantir uma operação mais bem preparada e de qualidade para lidar com os riscos virtuais. Quanto mais compliance for o uso da tecnologia e processos, melhor será a capacidade de desenvolvimento das empresas como um todo.
O cenário é crítico e merece especial atenção. Prova disso são os nossos noticiários diários de grandes perdas financeiras por conta desses roubos e vazamentos de dados. Equilibrar os objetivos de negócios e os riscos requer habilidade mais profunda. A pesquisa realizada pelo Gartner no ano passado, destacou que 88% dos conselhos de administração das maiores empresas globais já consideram a segurança cibernética como um risco comercial e não apenas um problema técnico de TI.
Já o último levantamento de ciberataques, realizado pela Check Point Software, mostra que o segundo trimestre de 2022, apresentou um aumento de 32% em ataques cibernéticos globais, em comparação com o segundo trimestre de 2021. Os fatores que contribuem para esta crescente são a explosão de dados armazenados em sistemas digitais e o aumento das opções disponíveis para utilizar estes dados em transações eletrônicas.
No Brasil, a falta de conhecimento da grande vulnerabilidade em armazenar chaves criptográficas em servidores em outros sistemas não testados e certificados são um desafio. Muitos profissionais ainda acreditam que a gestão destas chaves entre pessoas e áreas dentro de uma empresa, podem ser feitas sem riscos. Prova clara de negligência, que poderá causar muitos danos corporativos irreversíveis, ou, mesmo a investidores desavisados.
Mas, afinal, como garantir a proteção?
Um dos meios mais seguros e atestados pelo mercado é por meio da tecnologia de Hardware Security Module (HSM), um dispositivo de computação especificamente criado para proteger o ciclo de vida de chaves criptográficas, em meio físico ou na nuvem, realizando funções de encriptação e decriptação para assinatura digital. Essa tecnologia já é utilizada pelas principais instituições financeiras mundiais, pelo Governo em projetos como no PIX, Sistema de Pagamento Brasileiro (SPB), envio do Imposto de Renda pela Internet, Emissão de Passaportes, Assinatura de Notas Fiscais Eletrônicas, Prontuário Eletrônico do Paciente (PEP), Diplomas Digitais e muito mais.
O HSM é capaz de prover a segurança através da separação de dados criptografados e as chaves de segurança, garantindo sua guarda e gestão segura, trilhas de auditoria, alto desempenho e conformidade com as normas de segurança em todos os segmentos da empresa ou corporação, por meio da certificação internacional FIPS-140, nível 3, do National Institute of Standards and Technology (NIST), o mais importante órgão de segurança americano.
Além de garantir a segurança e estabilidade do negócio – seja ele no setor privado ou público, a tecnologia do uso do HSM para custódia de chaves eleva a credibilidade e confiabilidade do negócio, em um contexto global, afinal os ataques cibernéticos seguirão ocorrendo, e cada vez mais aprimorados.
Portanto, é fundamental que haja uma proteção de chaves criptográfica de alto nível. Estar compliance não é importante, é essencial para o negócio.
*Marco Zanini, CEO da DINAMO Networks
