A relação entre a tecnologia blockchain e a segurança cibernética
Mariana da Silveira, CEGRC, CIGR, CISI, MBCR, DPO, ISO
Divisão Cibernética
Outubro | 2022
No início da década de 1990, o físico W. Scott Stornetta e o cientista da computação Stuart Haber, pesquisadores norte-americanos pioneiros da tecnologia blockchain, mencionaram pela primeira vez a arquitetura blockchain, em uma publicação de 1991 intitulada "How to Time-Stamp a Digital Document", em tradução livre "Como registrar um carimbo de data e hora em um documento digital".
No entanto, apenas em 2008 o blockchain viria a ganhar notoriedade, com a publicação do artigo “Bitcoin: A Peer-to-Peer Electronic Cash System”, em tradução livre, “Bitcoin: um sistema financeiro eletrônico de pessoa para pessoa”. Esse texto, de autoria atribuída a Satoshi Nakamoto, codinome de uma pessoa ou grupo, trouxe a público a existência do Bitcoin como a
primeira aplicação da tecnologia de contabilidade digital.
Blockchain é o encadeamento de blocos que contêm informações criptografadas para criar um banco de dados. Ele atua como um tipo de livro-razão (ledger) distribuído (descentralizado), que rastreia, verifica, processa e registra as transações de ativos em rede, permitindo a localização do registro e possibilitando, por meio da mineração (processo de validação e inclusão de novas transações), a determinação exata das transações.
A mineração ocorre por resolução de cálculos matemáticos complexos de criptografia, para dar sequência ao encadeamento em blocos (contendo o histórico das transações), em que cada bloco possui um hash (registro único) criptográfico, registrado no ledger, de um bloco anterior da cadeia. Por se tratar de tecnologia descentralizada, a alteração de um bloco por parte de um minerador deve ser confirmada pelos demais, em toda a rede.
Tal tecnologia torna o bloco de transações confiável, único, inalterável (é possível adicionar novos dados, nunca alterar ou excluir dados pré-existentes) e compatível com o bloco anterior. Sua atualização é sequencial,
mantendo uma trilha histórica perpétua. Destacam-se a transparência, com a visualização das transações, e a descentralização, já que é desnecessária a validação por parte de autoridades certificadoras, sendo a fidedignidade garantida pela redundância das informações em diversos computadores distribuídos na internet.
As vantagens oferecidas pelo blockchain são inúmeras. Dentre elas, podemos destacar a proteção, a rastreabilidade do processamento de dados, que gera a integridade na transferência de dados e a confidencialidade do usuário, além da descentralização, uma vez que a falha de um único computador não afeta toda a rede. Isso provoca uma maior disponibilidade das informações e facilita a mitigação dos riscos relacionados ao comportamento humano na rede.
Quanto às desvantagens, é importante ressaltar que existem diferentes tipos de blockchain: públicos, privados e híbridos. Nas estruturas não permissionadas (públicas), qualquer nó (computador) da rede pode ler e gravar transações. Já nas estruturas permissionadas (privadas), as ações são restritas aos nós autorizados. Portanto, ao se falar em blockchain, os níveis de vulnerabilidade e ameaças estão relacionados à sua respectiva tipologia.
Assim, podem ser citadas como desvantagens o comprometimento dos nós validadores, gerando a falsificação de transações; o gerenciamento de chaves privadas que, se perdidas, são irrecuperáveis; os bancos de dados e APIs; vulnerabilidades na infraestrutura subjacente; vulnerabilidades de autenticação; exposição de dados armazenados; acesso aos dados no bloco e roubo de chave; alto custo de implantação e manutenção; dificuldades de escalabilidade em razão do processamento de dados excessivo; e consumo elevado de energia.
Um ponto importante, quanto à aplicabilidade dessa tecnologia, é a ausência de mecanismos de privacidade e proteção de dados pessoais, devido à transparência oferecida pelo registro em blockchain, que permite que todos os detalhes dos registros das transações sejam conhecidos. Ele impede inclusive que dados registrados sejam alterados, o que fere a autodeterminação informativa do titular dos dados pessoais, negando-lhe a possibilidade de alterar informações, a retirada de consentimento, o direito ao esquecimento, dentre outros.
Sob as mesmas condições encontram-se os smart contracts, que são acessíveis devido à transparência, agregam valor, despertam o interesse de atacantes, e são imutáveis mesmo diante de um erro de segurança. O grande benefício dos contratos inteligentes é que o acordo entre as partes é realizado por um padrão único, conferindo maior transparência, já que todas as partes envolvidas possuem acesso aos dados em tempo real.
Toda essa complexidade expõe a blockchain a riscos cibernéticos, já que não existem tecnologias, pessoas, equipamentos ou processos que estejam imunes a ameaças e vulnerabilidades cibernéticas no ambiente de rede. Por isso, é mister envidar esforços para que a segurança cibernética na organização seja tratada em âmbito estratégico e não apenas no nível tático, isto é, aquilo que se refere a questões relacionadas à unidade organizacional de TIC.
Ainda que a blockchain seja reconhecidamente uma tecnologia revolucionária, ela não é impenetrável e não está livre de ataques cibernéticos. Em razão da garantia do anonimato, é conferido um baixo risco ao atacante cibernético e uma alta recompensa associada aos fatores de sucesso. Por essa razão, são crescentes os esforços para a exploração de quaisquer vulnerabilidades no ambiente de blockchain.
Nesse diapasão, podemos citar ataques como o DDoS, que pode tornar os recursos de um sistema indisponíveis para seus utilizadores. A tecnologia blockchain consegue mitigar o sucesso desse tipo de ataque pela descentralização das entradas de Sistemas DNS (Sistema de Nomes de Domínios). Temos também o ataque de gasto duplo, tentativa de modificar a organização da cadeia blockchain, ou afetar o hash power, que compromete o poder computacional e a segurança de uma rede blockchain.
Percebe-se que a maioria dos problemas de segurança cibernética enfrentados durante as implementações de blockchain não estão diretamente relacionados ao blockchain em si, mas a questões clássicas de segurança da informação. Assim, independentemente da utilização de tecnologias mais modernas e confiáveis, as organizações não podem negligenciar as medidas técnicas, físicas e organizacionais, sob a tríade da confidencialidade, integridade e disponibilidade.
Dessarte, a tecnologia blockchain exige uma reflexão sobre os aspectos mais básicos da segurança da informação, tais como comportamento do usuário na rede, engenharia social; aplicação de medidas técnicas em camadas de proteção, utilização de antivírus, firewall, sistema operacional e sistemas devidamente licenciados, atualizados, ativos em todos endpoints (equipamentos), utilização de anonimização, pseudonimização, criptografia; segurança física, proteção de perímetros de segurança; e medidas organizacionais como elaboração de políticas, normas e procedimentos.
A realização de testes de segurança nos planos de recuperação de desastre e de resposta a incidente é primordial para assegurar a adequação, o treinamento e o aperfeiçoamento dos planos e da equipe envolvida, em um processo de melhoria contínua. A segurança cibernética precisa estar alinhada com todas essas medidas técnicas, físicas e organizacionais para alcançar sua eficácia.
A busca por uma solução integrada deve ser o objetivo a ser alcançado em qualquer organização. Não existe uma única tecnologia ou solução que contemple todas as funcionalidades e ainda elimine todos os riscos, vulnerabilidades e ameaças cibernéticos. Risco zero implica custo infinito e por isso surge a necessidade de uma solução em segurança cibernética cuja metodologia ofereça as condições necessárias e suficientes para permitir aos gestores a visão prospectiva dos riscos da empresa, permitindo uma análise e avaliação dos riscos com maior precisão.
Porém, a gestão de riscos cibernéticos não pode encerrar-se nesse estágio. É preciso elaborar e avaliar cenários de ataques cibernéticos, conforme as avaliações dos riscos cibernéticos e os perfis dos atacantes, de acordo com suas próprias características. Isso permite à organização preparar uma solução de inteligência em riscos, com ações preventivas e mitigatórias, com crises suportadas com base na relação custo x benefício e com a mensuração dos impactos no negócio da organização.
Isso posto, a tecnologia blockchain desfruta da segurança que a criptografia oferece ao registro das transações e ao rastreamento de ativos em rede, o que mitiga os riscos cibernéticos consideravelmente. Contudo, essa tecnologia também possui vulnerabilidades e por isso é preciso que a organização compreenda a dimensão estratégica da segurança cibernética como pasta da alta direção, realize os investimentos necessários em soluções cibernéticas e institua a cultura de segurança cibernética.