*Por Rangel Rodrigues
Desde primórdios da Internet, provedores, bancos e serviços online enfrentaram o desafio de proteger os dados de seus clientes que eram capturados para um propósito, seja para assistir o cliente ou para interesse comercial. Nesta época, a preocupação da privacidade já era colocada em pauta.
Naturalmente, a Internet evoluiu agregando valor em muitas áreas, como a imersão no mundo digital e web em nossos bolsos. Por outro lado, também passou a ser usada pelo lado oculto; a engenharia social, sequestro de contas, roubo de informações, pichação de sites, pedofilia e privacidade, aspectos que passaram a ser bem explorados pelo cibercrime. De fato, a tecnologia não foi capaz de barrar o avanço e interesse dos ataques maliciosos. Nem mesmo o surgimento de redes como Orkut, Facebook, Instagram, YouTube e Jogos Online fez com que o dado estivesse mais protegido, pelo contrário, todos têm falhado na proteção.
Aproximadamente 15 anos atrás, a solução Arcsight (SIEM) ficou bem conhecida por ser usada por agências governamentais e, consequentemente, passou a ser empregada no âmbito comercial para examinar o comportamento dos acessos dos usuários, além de consolidar e analisar logs e cruzamento dados relevantes, a fim de atuar em recursos de threat hunting e threat intelligence.
Porém, com o poder destas soluções, uma vez tendo os logs integrados, as organizações foram capazes de monitorar cada passo do usuário. Se um empregado acessar o Linkedin e pesquisar por uma vaga de emprego, o comando pode gerar um alerta de que ele está procurando uma nova recolocação. Se uma companhia faz a captura facial de um empregado no controle de acesso de entrada do edifício, isso pode violar ao extremo a privacidade do colaborador sem ele saber.
Então, pense o uso de tecnologias como behavior user monitoring + inteligência artificial + machine learning + realidade virtual (RV) e realidade aumentada (AR) + biometria e dispositivos IoT de forma integrada. Mas juntos, o que serão capazes de trazer? Com certeza, consequências mais severas no que tange à privacidade.
O Facebook, que agora mudou o nome para Meta, já tem respondido a processos judiciais pagando fortunas para leis de proteção de dados como GDPR devido à violação de privacidade e ao vazamento de dados. Mesmo com a presença destas leis regulatórias, o cenário nos mostra que isso ainda não é o suficiente para barrar um interesse comercial para obtenção de dados sensíveis.
Os serviços como Google Earth e Google Maps são eficazes para diversos meios da comunidade, tais como dirigir um carro de um local para outro evitando um congestionamento por meio da mobilidade. Logo, a tecnologia da geolocalização permite apresentar imagens das ruas e avenidas pelo globo, porém são impedidos de visualizar dados dentro da casa de um individuo ou condomínio, isso porque a privacidade tem sido o assunto mais debatido na mesa das empresas e de executivos de Segurança.
Evidentemente, para os cibercriminosos e para as empresas, o dado é o novo petróleo. E isso requer atenção e proteção.
Por 20 anos, as empresas têm investido forte na proteção de dados relacionada à confidencialidade, integridade e disponibilidade. Se já era difícil fazer isso no tradicional datacenter, agora com a demanda da computação em nuvem, essa proteção se tornou mais um ponto de atenção, pois os dados podem estar distribuídos e replicados em mais de uma região, podendo implicar ou não na privacidade, além de requerimentos regulatórios locais de um país.
Infelizmente, algumas empresas que migraram para a cloud não têm visibilidade de onde os seus dados estão armazenados e se realmente estão meramente protegidos por criptografia no S3 (object storage), com o devido controle de acesso e least privilege aplicados de forma apropriada. Como vimos em recentes ataques cibernéticos, foram muitos os casos de data leak em cloud sem a configuração de segurança adequada (cyber higiene), além de preocupações como a recente vulnerabilidade Log4j às empresas.
Por hora, ao longo deste tempo, temos vistos diversas tecnologias pousando na Internet, o big data sendo usado pelo negócio para tomada de decisão estratégica, seja para aumento de market-share ou para conhecer o comportamento do cliente. Com isso, veio outras tecnologias como a machine learning e IA. A combinação delas tem colaborado seguramente contra a proteção de ataques zero day e crime cibernético, como o uso de soluções EDR e WAF. Ao mesmo tempo, podem ser usadas para obtenção de informações sensíveis.
Dados e o metaverso
No cenário onde as empresas precisam combater e parar os cibercriminosos, chegou hora de ter mais atenção com as tecnologias que estão pousando como o Metaverso. É de puro conhecimento que a organização tem falhado em barrar problemas como a pedofilia, entre outros, e a estratégia com a realidade virtual (RV) e realidade aumentada (AR) é a nova jogada, o que deverá ser para muitas outras big techs como a Microsoft.
O problema desta tecnologia é que pode trazer severos riscos com a violação da privacidade e impacto no quesito físico da pessoa. Agora imagina o seguinte, os profissionais de infosec ao mesmo que precisam se dedicar para proteger os dados sensíveis das suas organizações, devem também ter dupla atenção no quesito privacidade em duas óticas:
1.A luta continua contra os cibrecriminosos como o roubo de identidade e phishing;
2.A luta contra a violação de privacidade na realidade virtual e realidade aumentada como a inferência sobre os desejos e inclinações para fins de publicidade direcionada, ou seja, dados dos usuários poderão se capturados neste tipo de tecnologia.
O intuito aqui não é somente contestar no que tange à privacidade e proteção e dados PII na tecnologia em discursão, mas é chamar um ponto de atenção para toda a comunidade de Segurança da Informação como iremos lidar com esta e outras novas tendências. No caso do Metaverso, o ambiente pode permitir novos caminhos para assédio e abuso online e uma vigilância frequente impactado a privacidade dos usuários. Embora reconheçamos que toda tecnologia pode criar novas experiências, oportunidades e desafios para as empresas, além de se conectarem com seus clientes de uma forma literalmente nova, é bom enfatizar que a tecnologia não está exime de perigos cibernéticos e de privacidade.
Então faça algumas perguntas e pense nas respostas: As big techs serão capazes de proteger os seus dados? Como e onde os dados serão armazenados e como os usuários serão notificados? Quais tipos de dados serão coletados no registro para o Metaverso? A tecnologia de hardware em desenvolvimento será segura o suficiente ou vulnerável como outras soluções de IoT que vemos por aí? O ambiente imersivo e compartilhamento de dados na plataforma deve forçar os usuários a renúncia de seus dados e privacidade?
Todavia, o impacto é preocupante, mas ainda é um projeto em fase de desenvolvimento, mas devemos lembrar que nós iremos decidir em participar deste mundo virtual como avatares do sistema e, para isso, precisamos ter uma consciência que ficaremos mais vulneráveis no que diz respeito a nossa privacidade e a proteção de nossos dados pessoais. Literalmente, será necessário discernir o quanto isso valerá a pena e será seguro para os nossos filhos. Além disso, o quanto estaremos dispostos a correr este risco, pois como diz no livro do sábio que: “não há nada encoberto que não venha a ser revelado, nem oculto que não venha ser conhecido.”
Para fomentar este artigo, gostaria de destacar 20 riscos e alertas apontados pela comunidade de Segurança e especialistas da área no que diz respeito aos dados e à privacidade:
1.Considerar se a tecnologia pode coletar mais informações sobre os usuários do que qualquer outra plataforma já utilizada e se as consequências podem ser mais graves;
2.Uma nova vertente para os profissionais de Segurança que deverão ser treinados e especializar na proteção de dados no Metaverso;
3.Avaliar se a tecnologia pode estar suscetível a ataques de engenharia social para golpes e fraudes.
4.Contínua aplicação de cyber higiene em cloud se os dados forem armazenados neste ambiente e, neste caso, sugiro usar o CCM Cloud Control Matrix da CSA, entre outros como NIST e NCSC;
5.Se já existe um potencial índice de roubo de identidade em rede sociais tradicionais sem a devida proteção com o uso de MFA. Nesta tecnologia do Metaverso, o roubo de moedas virtuais e número cartão de crédito pode ser ainda mais explorado com o uso de uma conta digital “avatar” para aplicação de fraudes;
6.Avaliar o impacto com o compartilhamento de dados que pode ocasionar a violação da privacidade dos usuários sendo uma chave para os golpistas;
7.Deve ser mandatório medidas de proteção de dados de crianças quanto a pedofilia e abuso sofridos por adultos no ambiente. Este será um ponto de atenção para o grupo de respostas à incidentes, perícia forense e federais no que diz respeito a assédio e abuso online;
8.Se existe risco de inferências sobre desejos e inclinações para venda de publicidade direcionada com o uso de óculos de realidade virtual (RV) e realidade aumentada (RA);
9.Assegurar se as leis de privacidade tais como LGPD, GDPR e CCPA estão protegendo a diversidade desta plataforma, incluindo atenção para a segurança na arquitetura e estruturação de dados;
10.Ponderar se um ambiente imersivo e o compartilhamento de dados na plataforma pode persuadir o usuário a abrir mãos de seus dados e privacidade. Ex: Adolescentes podem ser mais vulneráveis por não ligar ou desconhecer a importância da segurança e privacidade;
11.Caso o empregador decida se usará o Metaverso para fins corporativos pode talvez exigir que o empregado forneça mais dados pessoais;
12.Um artigo recente do The Wall Street Journal relata que uma empresa de seguro poderia, por exemplo, obter informações de usuário com problema de saúde antes que a pessoa perceba qualquer alteração física ou consulte um médico. Olha aí o quesito privacidade sendo violado;
13.Se um dispositivo IoT com IA solicitar informações pessoais para a entrega de um serviço, devemos nos preocupar com quem teria a jurisdição sobre as informações e o consentimento com os provedores da tecnologia;
14.As empresas que não cumprirem a proteção de dados e os direitos de privacidade nesta tecnologia deveriam ser penalizadas severamente;
15.Os usuários deveriam ser informados quanto eles estão interagindo com a tecnologia usada, a fim de terem ciência dos riscos de privacidade;
16.O uso desta tecnologia pode nos tornar mais dependentes e controlados tornando o usuário cada vez mais suscetíveis a manipulação de engenharia social;
17.Deve-se maximizar a segurança no desenvolvimento de uma solução de realidade virtual, pois pode ela manipular grandes volumes de dados e os desenvolvedores precisam ter atenção com as vulnerabilidades em library, componentes e boas práticas usando OWASP, SAST, DAST, IAST, Pen Testing, Bug Bount Program, etc;
18.Considerar o uso de uma solução para Data Governance Privacy para gerir os tipos de dados e assegurar que estão protegidos com criptografia;
19.Em uma palestra realizada por um especialista foi mencionado: “Quem já falou sobre um produto na frente do seu celular e quando acessou a rede social apareceu propagandas a respeito? Quão capaz esta tecnologia pode injetar informações na sua mente e ler seus pensamentos? Isso não seria uma violação de privacidade ou uma ficção?
20.Fato é, se as empresas poderão ter acesso sem precedentes aos nossos cérebros e as nossas casas incluindo nova vida pessoal, não estaremos todos sendo controlados?
Prontamente finalizo dizendo que tanto as empresas quantos os usuários não devem mergulhar a fundo no Metaverso sem a devida atenção a esses aspectos descrito neste artigo. Isso se aplica para qualquer tipo de tecnologia que envolva a proteção da privacidade e dos dados, considerados hoje o novo petróleo.
*Rangel Rodrigues (csocyber) é advisor em Segurança da Informação, CISSP e pós-graduado em Redes de Internet e Segurança da Informação pela FIAP e IBTA. Tem MBA em Gestão de TI pela FIA-USP e é professor de cibersegurança na FIA. Atualmente, é Sênior Security Engineer para uma empresa financeira nos Estados Unidos.
