Os métodos de chaves evoluíram muito e, para entender como isso
aconteceu, avaliamos um artigo publicado em 2007, quando esses métodos foram
identificados como um sério problema e descobrimos que, uma vez mais, não
progredimos muito. Cerca de metade dos entrevistados da pesquisa InformationWeek Analytics State of
Encryption atual usa serviços de gerenciamento de chaves de produtos de
criptografia individual, enquanto 39% gerenciam chaves manualmente.
A maioria ainda usa a capacidade nativa de gerenciamento de chaves do
produto, mesmo que as empresas continuem interessadas em um sistema de
gerenciamento de chaves especializado, padronizado e único. Que isso seja, de
fato, uma boa opção, é algo que muitos pesquisadores concordam e nossa
experiência confirma. Esse modelo é conhecido como “plataforma de
criptografia”, em que um único aplicativo central gerencia diferentes
tipos de chaves de criptografia (disco, backup, banco de dados).
O principal fator que leva à abordagem dessa plataforma é a promessa na
redução de gastos operacionais e o aumento na eficiência, já que essas são as
principais barreiras contra a adoção. Os fornecedores desse mercado, incluindo
a PGP e a Sophos, dizem que seus produtos estão vendendo como água. Talvez, e
porque o custo dessas plataformas são tão altos, o desafio seja vender aos CIOs
e CISOs a ideia de que ter um fornecedor e uma única ferramenta de
gerenciamento para todas as diferentes (e também caras) tecnologias de
criptografia vale mais a pena.
Agora, há necessidade de chamar a atenção para um detalhe nesse modelo:
precisamos chegar a um acordo sobre o termo “plataforma”. Digamos que
você usa um único fornecedor para criptografia de e-mail e a empresa tem uma
opção de criptografia para backup que você pode usar por uma taxa extra. Se
você aciona a criptografia de backup, teoricamente, você está usando uma
plataforma para criptografar e-mail e backup. No entanto, no nosso modo de
pensar, isso não chega a ser uma plataforma, mas um sistema de fornecedor
único. Para ser uma plataforma de verdade você precisa de suporte de vários
fornecedores, como o oferecido pela Thales.
É uma distinção meramente acadêmica, hoje, porque nenhuma plataforma de
gerenciamento de chave domina o mercado corporativo, provavelmente por uma
questão de custo. Esses sistemas custam cerca de US$ 40 mil, só pelo
gerenciador de chaves, e ainda é necessário comprar todos os produtos
individuais e suas devidas licenças. Vimos muitos projetos corporativos
chegarem, rapidamente, a custar centenas de milhares de dólares.
Dito isso, não podemos culpar as áreas de TI por não almejarem,
agressivamente, uma abordagem mais ampla. Usar as capacidades nativas de
gerenciamento de chaves de cada aplicativo de criptografia era a forma mais
realista de agir em 2007 e, nos últimos anos, a consolidação da indústria de
criptografia e o desenvolvimento contínuo criaram um ambiente em que a maioria
dos fornecedores vende vários produtos de criptografia como plataformas
unificadas. Os orçamentos andaram apertados e, por isso, utilizar as funções
nativas de gerenciamento se tornou a abordagem dominante.
Acreditamos, entretanto, que uma abordagem de plataforma unificada por
vários fornecedores será garantida no futuro. Para tornar esses sistemas uma
opção realista dentro da empresa o quanto antes, os fornecedores precisam parar
de discutir e implementar, de uma vez por todas, um padrão de
interoperabilidade. O leque de opções é amplo: a Oasis tem seu Protocolo para
Interoperabilidade no Gerenciamento de Chaves (KMIP), o IEEE (Instituto de
Engenheiros Elétricos e Eletrônicos) tem o projeto P1619, que parece ganhar
espaço mesmo sendo apenas para dispositivos móveis. O projeto sequencial,
P1619.3, contém detalhes sobre gerenciamento de chaves, mas ainda está em forma
de rascunho. O problema? O P1619.3 e o KMIP fazem, basicamente, a mesma
coisa.
Outro problema é que poucos fornecedores de criptografia têm experiência
no gerenciamento de chaves com diferentes vendedores e, ainda assim, muita
gente está na cozinha ajudando no preparo de tais padrões.
Todos os caminhos levam a Redmond
Todos expressam pesar pelo preço da criptografia e pelo fato de que os
fornecedores parecem não conseguir chegar a um acordo sobre a padronização. Mas
quais são as chances de que, enquanto os especialistas em criptografia discutem
os detalhes, produtos gratuitos ou de baixo custo surgirão para dominar o
mercado?
Não seríamos contra isso e, para mostrar porque, vamos, mais uma vez,
voltar a 2007. Alguns problemas técnicos foram resolvidos, porém, substituídos
por decisões e problemas de política. Por exemplo, muitos produtos de
gerenciamento de identidade oferecem a habilidade de armazenar chaves ou
certificados junto com as identidades. Em vez de perguntar “onde iremos
armazenar as chaves para cada um de nossos laptops?”, pergunta-se: “como
vamos lidar com chaves expiradas e suas renovações?”. Uma coisa que não
mudou é que um diretório central de chaves, fácil de gerenciar, atualizar e
relatar é essencial. E é aí que a Microsoft tem a chance de se tornar a
fornecedora líder de criptografia, uma cortesia da base de instalação do Active
Directory (AD) e o fato de que novas funções serão lançadas nos sistemas
operacionais gerenciáveis via Group Policy Objects em Active Directory.
Muitos podem não considerar o AD como o melhor serviço disponível para
os negócios. Entretanto, ele é o mais usado e muitos engenheiros de TI sabem
como trabalhar com o Group Policy. Todas as opções de criptografia endpoint
oferecidas pela Microsoft – incluindo BitLocker, BitLockerToGo e DirectAccess –
oferecem gerenciamento centralizado por meio do Active Directory, assim como as
tecnologias de criptografia corporativa da Microsoft. As atualizações mais
recentes do Windows 2008 e do Windows 7 fornecem ajustes adicionais para os
administradores configurarem via Group Policy.
Qual o lado negativo de usar as tecnologias de criptografia da
Microsoft? Experiência em casa é essencial para definir extensão das chaves,
tamanhos de cachê, opções de recuperação e outros detalhes. Se você tem suporte
para caixas Linux ou Mac OS, você não terá como expandir essas tecnologias por
toda a empresa. Mas o Windows oferece criptografia completa e forte para discos
portáteis, aparelhos móveis, e-mail, pastas e arquivos e banco de dados, de
graça. Ninguém pode bater esse preço.
Além da Microsoft, o TrueCrypt é um produto gratuito para criptografia
de arquivos de sistema e discos completos que foi executado mais rápido do que
qualquer outro aplicativo comercial que testamos.
Conforme a comunidade de código aberto continua a desenvolver esses e
outros tipos de aplicativos e a oferecer gerenciamento de chaves
(característica vital que falta no TrueCrypt, mas disponível na Microsoft),
esperamos que muitas categorias de criptografia se tornem produtos. E a criação
de um padrão público de interoperabilidade – se algum dia acontecer – dará, à
comunidade de código aberto, oportunidades de desenvolvimento ainda
melhores.
Nada disso significa que tudo está perdido para os fornecedores
comerciais. No final das contas, vencerá a melhor interface de gerenciamento, e
as tecnologias em código aberto não são exatamente famosas por terem as
melhores habilidades de gerenciamento quando comparadas com produtos
comerciais. Ainda assim, nada melhor do que um pouco de competição para que
todos mantenham os olhos bem abertos.
Plano de ação
Após analisar os resultados de nossa pesquisa, nos preocupamos em
conversar com vários CISOs sobre o fato de que a ênfase em criptografia apenas
para cumprir com questões de compliance significa que a tecnologia não está
sendo usada apropriadamente e com todo seu poder. Em nosso estudo, os
principais aplicativos que as empresas vêm criptografando, ou que pretendem
criptografar, incluem VPNs, sistemas de arquivos e sistemas de e-mail. O
problema é que isso reduz muito pouco os riscos, se é que reduz mesmo. Arquivos
criptografados em desktops não impedem que um usuário envie uma cópia não
criptografada por e-mail ou o copie para um pendrive. Criptografia de e-mail só
funciona se a entidade do outro lado tiver usando a mesma criptografia, ou uma
compatível, o que a grande maioria das empresas não faz.
Enquanto todos nós esperamos pelos padrões, as empresas devem adotar uma
abordagem de gerenciamento de risco para implementar criptografia baseando-se
nos tipos de dados que são utilizados — e não no armazenamento ou no nome do
banco de dados. Devemos, também, manter a pressão nos fornecedores para
que eles tragam interoperabilidade para a criptografia e gerenciamento de
chaves. Infelizmente, mesmo que padrões tenham sido desenvolvidos, não vemos
muita absorção. Apenas 14% dos nossos entrevistados ouviram falar no Oasis
KMIP, que foi iniciado no final de 2006 e finalizado neste ano. Brocade, EMC,
HP, IBM, LSI, Seagate Technology e Thales se uniram ao Oasis e prometeram
resultados em breve.
O difícil agora é como definir “resultado”. Ficou claro que os
fornecedores estão mais interessados em desenvolver os padrões com os
fornecedores de armazenamento do que com outros fornecedores de criptografia. A
maioria dos profissionais de TI com quem trabalhamos parece entender isso e não
está satisfeita com os esforços atuais de interoperabilidade. Podem dizer que
somos céticos, mas realmente não acreditamos que KMIP terá, de fato, algum
efeito real tão logo. Por enquanto, depende de nós nos mexermos para cumprir
com as necessidades mínimas das regras de compliance.
Leia também:
Especial: dados demais, criptografia de menos
O Sberbank, maior banco da Rússia, está oferecendo modelos de inteligência artificial (IA) a países…
A Palo Alto Networks registrou forte aumento na procura de clientes por orientações sobre segurança…
O iFood confirmou nesta terça-feira (03) o vazamento de dados cadastrais de aproximadamente 1,2 milhão…
O CEO da OpenAI, Sam Altman, participará da cúpula do G7 na França em junho,…
A segurança digital passou a ocupar posição central na decisão dos brasileiros ao escolher uma…
A terceirização das operações de segurança cibernética vem se consolidando como estratégia predominante entre as…