Somente 53% dos domínios .gov brasileiros são seguros
Uma investigação recente da DigiCert, fornecedora mundial de soluções TLS ou SSL – respectivamente, siglas para Transport Layer Security (Segurança da Camada de Transporte) e Secure Sockets Layer (Protocolo de Camada Segura), revelou um gap assustador no universo dos websites governamentais brasileiros.
Segundo o estudo, somente 53% dos domínios .gov no Brasil – o que significa 10.551 sites – têm um certificado digital TLS ou SSL. Apesar das diferenças operacionais, ambos são protocolos de criptografia que protegem o fluxo de dados que trafegam entre as redes de computadores.
A ausência desses protocolos implica, simplesmente, que os dados de milhões de cidadãos que tramitam pela internet governamental não são criptografados e podem estar vulneráveis a hackers mal-intencionados ou outras pessoas que desejam interceptar dados confidenciais enviados em texto não criptografados.
Aliás, o Brasil prima pelas vulnerabilidades em seus sistemas de segurança digital. De acordo com um relatório de ameaças à segurança da Symantec, o Brasil é o sétimo país com o maior número de ataques cibernéticos do mundo, considerando vários tipos de ameaças, como vírus, malware, phishing e ataques na nuvem.
Do ponto de vista conceitual, os certificados TLS são uma versão mais atualizada e segura do SSL, e normalmente mais utilizado como uma configuração nos programas de e-mail. No entanto, ele pode desempenhar suas funções em qualquer transação entre servidor e visitante.
Já os certificados SSL garantem segurança ao usuário assim que ele acessa um site. Isso significa que os dados enviados são criptografados, de modo a impedir que outras pessoas possam fazer uso das informações indevidamente.
Os protocolos TLS e SSL também seguem normas específicas. O SSL usa apenas o algoritmo MAC (Message Authentication Code), enquanto o TLS pode operar em portas distintas e utiliza algoritmos de criptografia mais fortes, como o Keyed – Hashing for Message Authentication Code (HMAC).
BARRAS DE NAVEGAÇÃO – Mas ambos existem para garantir a segurança nos protocolos de comunicação na internet (TCP/IP), comumente descritos nas barras de navegação com as terminações “https” e o “http”. Nesse último, os dados trafegam livremente, enquanto o primeiro criptografa as informações com TLS ou SSL. Claro está, é perfeitamente possível operar sem TLS ou SSL, do que dá provas quase a metade dos sites governamentais brasileiros e boa parte dos sites privados ou de entidades diversas.
Mas, para os especialistas da DigiCert, dadas as ameaças aos usuários da web no Brasil, seria fundamental a adoção de protocolos de alta segurança pelo menos nos sites governamentais acessíveis ao público no Brasil, e, mais do que isso, alinhados o máximo possível com as exigências globais dos navegadores da web.
Para a DigiCert, diante das crescentes ameaças, os países têm a obrigação de fazer sua parte para garantir a segurança cibernética. Foi a responsabilidade que assumiu, por exemplo, o governo dos Estados Unidos, que implementou uma Estratégia Cibernética Nacional em 2018, na qual o país identificou as etapas necessárias para proteger o país contra ameaças cibernéticas e fortalecer suas capacidades no ciberespaço. Hoje, todos os sites publicamente acessíveis do governo federal dos EUA precisam usar certificados TLS para proteção https.
A importância estratégica de ter um ciberespaço seguro implicou também na criação de um sistema nacional de cibersegurança, ou seja, um conjunto de órgãos, agências e procedimentos que permitem a direção, controle e gerenciamento da segurança no ciberespaço estadunidense.
No restante do mundo, enquanto existem nações com sistemas de defesa e proteção quase tão consistentes como o norte-americano – elas estão principalmente na área da União Europeia e na Ásia Oriental – há outras que estão em processo de desenvolvê-la e uma grande maioria que não possuem qualquer estratégia – como o Brasil e parte significativa dos países em desenvolvimento. (Alberto Mawakdiye)