Ainda muito referida pelos utilizadores como um dos principais entraves à compra de bens e serviços online, a segurança é um tema de discussão recorrente nesta área. O TeK falou com Paulo Silva, Director Técnico da Panda Software em Portugal, que desvaloriza a questão, embora aponte a mudança de paradigma e a necessidade dos utilizadores serem mais proactivos na protecção dos seus próprios computadores.

TeK: Um dos entraves sempre colocados ao desenvolvimento do comércio electrónico é a questão da segurança. Parece-lhe que este argumento é válido ou que é uma falsa questão?

Paulo Silva: Como problema existente e que deve ser equacionado em todas as implementações, a questão da segurança é realmente fulcral. Agora não pode é ser utilizada para justificar os entraves ao desenvolvimento do comércio electrónico. Trata-se de mais um dos diversos elementos essenciais à construção de uma plataforma deste género, pelo que, tal como os restantes (eficiência, fiabilidade, etc.) deve ser objectivo de um planeamento cuidadoso, com vista a tornar aceitável o risco.

A prova disso mesmo são os diversos projectos bem sucedidos em todo o mundo, que continuam a desenvolver-se apesar dos riscos naturais e inerentes às plataformas de comércio electrónico. Desde que exista racionalidade no investimento, é possível eliminar a maioria dos potenciais problemas. Os restantes, inerentes ao utilizador, não podem ser utilizados como justificativa, ainda que também sejam passíveis de ser diminuídos, recorrendo à prevenção e à informação dos visitantes.

A tecnologia actual permite baixar consideravelmente os riscos do ecommerce, pelo que, actualmente, a segurança não pode ser considerada um factor impeditivo.

TeK: As empresa de comércio electrónico têm investido em plataformas para aumentar a segurança das transacções. Na sua opinião, os sites portugueses têm uma análise positiva nesta matéria?

P.S: A resposta mais honesta é que os sites portugueses não estão piores que a norma internacional nesta matéria. Tem existido investimento, existe consciencialização e há uma grande adaptabilidade às novas problemáticas por parte das equipas encarregues da segurança e do desenvolvimento de plataformas seguras.

A grande questão é se o paradigma actual da segurança do comércio electrónico a nível internacional se continua a aplicar perante a nova geração de ameaças. Na nossa opinião, o paradigma está ultrapassado, pelo que dentro em breve poderemos começar a assistir a algumas situações mais graves e disseminadas. O grande combate agora deve ser feito nos computadores dos utilizadores, visto a questão da segurança já estar em grande parte resolvida nos servidores e nos provedores de comércio electrónico. No entanto, esta não é apenas uma responsabilidade dos prestadores deste tipo de serviços: as empresas de segurança de TI devem ser as primeiras a criar as condições para que a situação melhore.

TeK: Parece-lhe que os ataques de phishing, mais centrados nos sites de homebanking, mas também os keylogers e cavalos de tróia têm ajudado a danificar a imagem de segurança das transacções online?

P.S.: Penso que este continua a ser o maior problema a afectar este tipo de serviço. Apesar de a grande maioria dos utilizadores compreender que existem riscos na exposição desprotegida à Internet, as origens e características efectivas de cada uma das potenciais ameaças não são conhecidas. Isto faz com que quem recorre a serviços de homebanking não compreenda até onde vai a responsabilidade do banco e até onde vai a sua própria responsabilidade nas transacções. É necessário compreender que é impossível à instituição garantir a segurança do serviço caso não estejam cumpridos por parte do utilizador os critérios mínimos, como possuir um antivírus actualizado e uma firewall. Este desconhecimento, que leva muitas vezes os utilizadores a considerarem-se seguros só porque estão a aceder a sites cujas interacções são seguras, faz com que continuem a persistir mitos e desinformações sobre os serviços oferecidos através da Internet, o que se repercute de forma considerável na credibilidade dos mesmos.

Esta situação tem vindo a piorar com os constantes ataques de phishing e pharming que utilizam a identidade de bancos portugueses, pois apesar das burlas se basearem em conceitos relativamente simples, a sua roupagem tecnológica cria imediatamente uma barreira à compreensão das causas e, por consequência, da forma de evitar os seus efeitos. Estamos no entanto a chegar a uma fase em que os utilizadores terão realmente de compreender a verdadeira dimensão dos problemas, uma vez que o número de ameaças deste género cresce de forma preocupante a cada semestre.

TeK: De que forma podem os utilizadores preparar-se em relação a questões de segurança na Internet?

P.S.: Há duas grandes tendências para o futuro: as “flashed threats” e o crime económico. O que entendemos por “flashed threats” são vírus capazes de se espalhar em milésimos de segundo por milhões de PCs. Isto será conseguido à custa do aperfeiçoamento dos métodos de propagação actuais e da descoberta de outros à medida que os sistemas vão adquirindo novas funcionalidades.

Esta tendência já foi iniciada, e actualmente é possível encontrar malware capaz de se distribuir em segundos por grandes quantidades de PCs, graças à utilização de programas até agora insuspeitos, como os de instant messaging. No futuro, os tempos de infecção serão ainda menores, deixando os computadores que utilizam antivírus tradicionais completamente desprotegidos durante um largo período de tempo.

A tendência para o crime económico também já pode ser observado no comportamento dos criadores de vírus actuais: existem códigos maliciosos que codificam ficheiros com recurso ao PGP e pedem um resgate para os libertar, outros cuja única função é roubar passwords de sites de banca online ou de ecommerce para desviar dinheiro, ou mesmo códigos desenvolvidos com fins de espionagem industrial.

Neste grupo de motivações, também podem ser incluídos dois grandes perigos: o phishing e o pharming, utilizados normalmente para roubar informação económica, como dados de cartões de crédito, que é depois utilizada de forma fraudulenta.

O maior conselho que pode ser dado a todos os utilizadores é que estejam constantemente informados e que se preocupem na mesma medida em que se preocupam com a segurança da sua casa e dos seus bens físicos. Há que investir numa boa suite de segurança, preferencialmente com tecnologias que não necessitem de conhecer previamente o malware, estar minimamente informados dos riscos da utilização de um PC ligado à Internet e ser desconfiado. Nenhum antivírus é capaz de proteger o PC se o utilizador for enganado e instruído para o desligar.

TeK: Pensa que um sistema de certificação electrónica disseminado poderia eliminar este problema?

P.S.: Um sistema do género poderá resolver parte do problema, mas não passará de um placebo no caso de não se fazer algo idêntico relativo aos utilizadores. A solução passará por garantir a segurança da informação nos dois pólos de comunicação, certificando tanto o site perante o utilizador como o utilizador perante o site. Isto porque os maiores riscos continuam do lado do cliente, pelo que se for possível garantir que este se encontra em condições de enviar e receber informação segura eliminamos este factor da transacção.

Fátima Caçador