Guilherme Pedro Aquino é coordenador do Centro de Segurança Cibernética do Instituto Nacional de Telecomunicações (Inatel) e, nessa entrevista ao Próximo Nível, ele conta a história desse núcleo de cibersegurança dentro de uma instituição que é referência em telecomunicações.
Doutor em engenharia elétrica pela Universidade Federal de Itajubá e mestre em engenharia de telecomunicações Inatel, onde também é professor, Aquino fala de novas tecnologias e da necessidade de atenção com as ameaças de cibersegurança. Acompanhe a seguir.
Quando o Inatel começou a estudar a área de cibersegurança?
De maneira estruturada desde 2010, porque telecomunicação é a base de todas as outras infraestruturas críticas. Começamos a estudar segurança cibernética voltada para telecomunicações como um grupo de estudo acadêmico. Com a explosão da conectividade, incluindo expansão da fibra óptica e adoção do 4G, aumentou a necessidade de conscientização a respeito de cibersegurança.
Um pouco antes do lockdown da pandemia de Covid-19, formalizamos a primeira iniciativa, que foi a criação do Laboratório de Cibersegurança e Internet das Coisas (IoT). A ideia era trazer alunos da graduação para o laboratório e criar um grupo que tivesse um conhecimento sólido sobre segurança a partir da graduação. Começamos com dois especialistas, dois professores e menos de 10 alunos. O lockdown acelerou o processo, conseguimos alavancar a iniciativa com vários parceiros, criando Centro de Segurança Cibernética (CxSC Telecom Inatel), hoje com 8 especialistas e quase 50 alunos envolvidos em algum projeto de iniciação científica e iniciação tecnológica voltado para cibersegurança, IoT, Inteligência Artificial e comunicação via satélite.
Como funciona o Centro?
Somos um instituto de ensino, então temos a preocupação com a educação, razão pela qual percebemos que era preciso levar nosso conhecimento tanto para o público técnico, que são pessoas formadas na área e entendem de tecnologia, quanto para público leigo.
Hoje temos algumas ações para o mercado, voltadas para a formação de mão de obra, seja para alunos aqui no Inatel, seja para pessoas interessadas em buscar os nossos cursos online. Também temos aplicado cursos na modalidade in company. Levamos esse conhecimento para todos, porque todos precisam se preocupar com dados e não somente quem trabalha com TI ou telecomunicações. Isso inclui programas de conscientização, envolvendo professores e alunos. Temos um piloto numa escola e esperamos que o programa possa ser amplificado para outras áreas.
E vocês têm a vertente de pesquisa também?
O Inatel tem uma forte base de pesquisa, com mestrado e doutorado em telecomunicações, inclusive cobrindo a área de 5G e 6G, do qual o instituto é referência no Brasil. A linha geral de pesquisa do Centro está focada em evitar ataques cibernéticos ligados à área de telecomunicações e TI. E tem como foco melhorar a segurança – e não só a conectividade – de equipamentos de rede e dispositivos móveis. Buscamos, na prática, melhores formas de testar a segurança de equipamentos de telecomunicações, por exemplo, como configurar as redes com limiares específicos de segurança. Se os dispositivos começarem a trabalhar de forma excessiva, ultrapassando esses limites, a própria rede tem como bloqueá-los. Essa é uma preocupação dos próprios fabricantes, assim como das operadoras. Há uma procura grande das operadoras e dos provedores de acesso em conhecer os equipamentos, a tecnologia e a segurança, para que os dispositivos sejam configurados da melhor forma possível. E é uma preocupação também dos reguladores, como a Anatel. E o Centro pode ser um parceiro nessa área.
O advento da nuvem também acrescentou mais complexidade a esse cenário?
Sim. As empresas anteriormente tinham recursos de segurança dentro da sua própria estrutura e, de forma geral, os limites das redes eram conhecidos. O 5G, a virtualização de funções de rede (NFV) , rede definida por software (SDN) e todas essas coisas que vêm sendo trazidas para o mercado nesses últimos anos fizeram com que o acesso aos dados aconteça não somente na infraestrutura local, mas de outros pontos. As operações e as redes aumentaram muito. E, com isso, aumentou também o que chamamos de superfície de ataque cibernético.
Até poucos anos tínhamos uma concepção de redes – tanto a de acesso quanto o núcleo – como soluções geralmente fechadas. Havia o hardware e o software do mesmo fabricante, instalados em série nas redes. Basicamente eram silos separados de fabricantes. O 5G mudou isso.
E isso teve implicações em segurança…
Claro, pois podemos utilizar equipamentos com códigos abertos, de fabricantes diferentes na rede ou até mesmo codificar e desenvolver a própria aplicação numa função de rede virtualizada. As empresas precisam analisar o nível de segurança dessas funções de rede, assim como os fabricantes precisam ter metodologias para garantir que suas soluções sejam seguras. É uma camada nova, que precisa de um terceiro para validar se as tecnologias são seguras. Essa é uma função em que atuamos no Centro. Temos desenvolvido soluções para mitigar esses problemas, inclusive buscando conteúdo dentro e fora do Brasil. É um escopo que inclui análises de segurança, como avaliação e gestão de vulnerabilidade de hardware e de software. Outro trabalho é o teste de penetração, feito depois da análise de vulnerabilidade e que envolve toda uma inteligência, onde emulamos um invasor de rede, um terceiro malicioso.
Quando vocês detectam problemas, como as falhas são encaminhadas?
Se é o comprador da tecnologia que fez uma configuração mal feita, fazemos a indicação de correção, mas se o problema exige uma modificação no fabricante, o direcionamento é feito para quem produziu o equipamento ou software, de modo que se faça uma atualização. Para clientes de diversos setores, que têm necessidades específicas, nós criamos metodologias e frameworks para aplicar esse conhecimento que o Inatel já possui e que vem sendo aplicado em ambientes de operadoras de telecomunicações. O que precisamos fazer é adaptar essa metodologia para os setores específicos, entendendo quais são os protocolos e a comunicação que eles utilizam.
Estamos falando de 5G, virtualização e outras tecnologias, mas é inevitável abordar a Inteligência Artificial (IA). Ela é vilã ou heroína em cibersegurança?
Eu enxergo como uma ferramenta e como tal ela não é essencialmente boa ou ruim. Depende de quem dá o uso a ela. A sociedade pode usufruir dos benefícios da IA como um co-piloto, porque ela expande a capacidade do ser humano de identificar padrões.
Nós somos muito bons em identificar padrões, mas temos um cérebro limitado para a análise de dados, ou seja, não consigo analisar muita coisa ao mesmo tempo. A IA não tem essa limitação. Eu posso, por exemplo, colocar a IA para ajudar a orquestrar uma rede 5G e me indicar a melhorar o desempenho em termos de comunicação do meu sistema. Por outro lado, a IA pode ser usada para causar danos, criando conteúdo falso, assim como códigos maliciosos.
Nós falamos de tecnologia, mas cibersegurança envolve pessoas também e o profissional da área muitas vezes é visto como o “chato” que traz uma série de regras. A percepção tem mudado?
Temos visto um avanço muito grande em relação a isso, porque realmente o profissional de segurança tem mudado. Há pouco tempo ele era visto como o cara que “vem falar como eu devo fazer o meu trabalho”. Era horrível e ninguém gostaria de ser tratado assim. A visão de quem enxerga esse profissional tem mudado bastante, principalmente com a questão da conscientização. Isso acontece porque um bom profissional de segurança, bem instruído e capacitado, começa a fazer essas mudanças dentro das empresas. Ele sempre vai fazer usando a ponderação. Atualmente, até em função da melhor capacitação, o profissional entende as dores de um determinado setor e consegue gerenciar muito bem a segurança e a funcionalidade dentro dele. Por outro lado, a alta direção tem percebido que a segurança é o melhor investimento a ser feito na empresa, porque uma invasão não se restringe a pedidos de resgate e pode afetar a reputação da companhia.
E como mudou esse relacionamento entre os profissionais de cibersegurança e as áreas de negócio?
Vemos uma mudança de percepção forte em nível de C level e por parte da equipe de segurança, começando com os CISOs (diretores de segurança da informação). A área de segurança percebeu que não adianta apresentar problemas técnicos e tentar convencer uma diretoria mostrando o problema somente de forma técnica. A linguagem precisa ser outra, ou seja, precisa ser a linguagem da área de negócio. Se formos abordar a gestão de risco, precisamos deixar claro o quanto determinada vulnerabilidade pode custar para a área de negócios.
Para encerrar, sabemos que você participa do Hack Town desse ano, em Santa Rita do Sapucaí, e que é um entusiasta do evento…
Pois é. Nesse ano, vamos participar como Centro de Segurança Cibernética. Trata-se de um evento fantástico que recebe mais de 30 mil pessoas nos quatro dias em que ele acontece. É basicamente a população da cidade. Vem gente do Brasil inteiro para ter várias formas de interação, com pessoas e empresas. E há especialistas em todas as áreas, criando um ambiente que é o inverso das bolhas da internet, onde cada um fica no seu canto. No Hack Town é o contrário: as pessoas trocam ideias ao vivo. E aceitam opiniões divergentes, porque é isso que aumenta o conhecimento e a inteligência de todo mundo, né?