Rumo a uma ciência da segurança cibernética

À medida que a tecnologia avança e a dependência dos sistemas aumenta, o mesmo acontece com as ameaças e os desafios no espaço cibernético. Nesse contexto, surge a questão de saber se a segurança cibernética poderia, em algum momento, ser considerada uma ciência por si só. Na postagem a seguir, exploraremos os elementos que apoiam e impedem seu desenvolvimento como ciência, examinando sua relação com as disciplinas existentes, a necessidade de abordagens sistemáticas, sua medição e os desafios éticos. Por meio dessa análise, procuramos apresentar a questão e entender as possibilidades e limitações de estabelecer uma base científica sólida para enfrentar seus desafios.

Abordagem integrada

Uma orientação científica para a segurança cibernética tem várias vantagens na quantificação e na determinação do que impedirá, interromperá ou deterá os ataques. Uma ciência da segurança cibernética poderia demonstrar objetivamente o que funciona, de modo a não depender de opiniões, experiências ou crenças ao tomar decisões. O desafio de defini-la como tal decorre de seus aspectos peculiares, e ela está vagamente ligada ao universo físico, indicando poucas limitações a priori para atacantes e defensores. Como aplicação da segurança ao espaço cibernético, ela denota pesquisa aplicada, que busca entender até que ponto um modelo atende aos requisitos de seu projeto, enquanto a experimentação esclarece o comportamento de um sistema existente.

Devido à sua natureza, seus aspectos essenciais não podem ser facilmente formalizados matematicamente, o que é parte da dificuldade de se desenvolver como ciência. Os profissionais lidam com a incerteza e enfrentam adversários reais, que mudam suas técnicas, táticas e procedimentos com frequência, exigindo adaptação constante. Essa complexidade torna a pesquisa formal muito exigente, mas não a isenta de contar com a mesma abordagem sistemática de descoberta e validação que em outras disciplinas científicas e tecnológicas[1].

Na segurança cibernética, não há leis naturais intrínsecas como na física ou na química, pois é uma disciplina aplicada que se baseia em construções matemáticas da ciência da computação, como a teoria dos autômatos, a complexidade algorítmica e a lógica. Muitos pontos de interconexão com campos formais estão no domínio da ciência da computação, como criptografia, teoria de tipos e verificação de modelos. Como o pano de fundo em que se desenvolve é quase totalmente criado pelo homem e digital, as partes constituintes são inerentemente compreensíveis, mas o universo cibernético é complexo e, às vezes, apresenta comportamentos emergentes que não são previstos nem explicados. Embora as disciplinas científicas se baseiem na descrição e na compreensão das coisas naturais, e a engenharia proponha como projetar e fabricar artefatos artificiais que tenham as propriedades desejadas, a segurança cibernética pode conter elementos de cada uma delas. Mesmo antes de uma ciência ser desenvolvida, a engenharia induz regras de ouro e práticas recomendadas que, embora úteis, nem sempre funcionam[2].

Além disso, a existência de "mocinhos e bandidos" exige o gerenciamento da tensão dinâmica para manter o que se supõe ser um consenso (análogo a um contrato social). Com oponentes intencionais, o raciocínio deve se referir tanto ao universo construído quanto às ações e reações das contrapartes, o que cria um terreno fértil para a teoria dos jogos, que tem base matemática. Pode-se especular que a segurança cibernética tem a matemática como uma maneira natural de raciocinar sobre ela, mas nenhuma ciência (exata ou social) é semelhante o suficiente para derivar seus métodos dela, embora haja analogias com alguns campos e ela compartilhe características com ciências que fornecem direções para pesquisa[3].

A importância dos dados

A medição é fundamental para a ciência e, para quantificar a segurança, as métricas devem mudar com o tempo para se adaptar aos ambientes, mas grande parte da experiência envolvida na pesquisa é observacional e, portanto, as métricas são limitadas ao observável. Por exemplo, listar vulnerabilidades e garantir que um sistema não seja vulnerável a elas é, na melhor das hipóteses, uma abordagem retrospectiva. A detecção de alterações ajuda a identificar anomalias, mas correlacioná-las com ataques reais exige mais pesquisas e a aplicação de percepções de outros campos. Além disso, as métricas são empíricas e estatísticas por natureza, portanto não podem ser aplicadas a cenários que não são bem definidos, e o que não pode ser observado (como um ataque desconhecido) não pode ser medido. Além disso, é necessária a repetibilidade dos resultados, o que depende da adesão a critérios e padrões. Portanto, não é óbvio como compor as medidas em uma única representação abrangente, o que dificulta a determinação de níveis universais de segurança cibernética[4].

A característica crucial dos dados, sejam eles observacionais ou experimentais, é que eles são generalizáveis; portanto, a experiência só faz avançar a ciência na medida em que podemos descobrir o que um resultado significa em configurações mais gerais. De qualquer forma, na segurança cibernética, há uma falta de resultados experimentais, aliada a baixos padrões de realização e comunicação de experimentos. Muitos profissionais seguem princípios e métodos formais, apesar de suas diferenças de objetivos e prioridades, que se refletem em procedimentos e níveis díspares de abstração ou profundidade. Concentrar-se mais nas necessidades do mercado leva a uma tendência maior para a pesquisa aplicada e o desenvolvimento de tecnologias e práticas implantáveis no mundo real, em vez de um trabalho mais teórico ou exploratório, que também é necessário [5]. Além disso, é fundamental recorrer à pesquisa em outras áreas como base para compreender e resolver os próprios problemas.

Um ponto de contato entre a ciência e a segurança cibernética é a chamada "ciência de dados", com aplicações comuns de interesse, como a identificação de padrões. Um exemplo é a análise de dados, com os modelos atuais altamente avançados, precisos e de alto desempenho, envolvendo processamento e visualização. Outro exemplo é a análise de eventos, que usa técnicas estatísticas para analisar dados de várias fontes convergentes e é aplicada em sistemas avançados de monitoramento. Por fim, a própria segurança em nível de dados usa técnicas científicas baseadas em criptografia para proteger a confidencialidade.

A segurança cibernética moderna busca apoio na inteligência artificial (uma área da ciência da computação) e especialmente no ramo de aprendizado de máquina, em que os algoritmos são treinados para identificar padrões, fazer previsões ou tomar decisões. Isso é visto como uma tentativa de automatizar partes do método científico por meio de técnicas matemáticas, portanto, é um processo de indução de conhecimento no qual os dados são observados para criar um modelo que é moldado como uma hipótese[6].

Analogias e limites

A busca de analogias com outras ciências nos permite encontrar caminhos já traçados de acordo com tipos de problemas e características semelhantes. Podemos citar a economia, em termos do estudo de agentes e tendências concorrentes; a meteorologia (baseada na física), em termos do estudo de modelos e previsões complexas; a astronomia, por seu estudo eminentemente observacional; e a agricultura, por seu desenvolvimento sob atenção contínua na presença de agentes evolutivos externos. Uma menção especial vai para a medicina, por estudar sistemas vivos com diferentes níveis de abstração, além da dificuldade de quantificar resultados para a saúde, que, assim como a segurança, se degrada com o tempo. Em particular, a especialidade da imunologia é singularmente semelhante à segurança cibernética, pois o sistema imunológico tem uma resposta adaptativa, vários mecanismos de censura e reação imediata à detecção, e coincide com a necessidade de experimentos controlados e em diferentes escalas de tempo[7].

Em termos de condições limitantes para a segurança cibernética científica, a complexidade é frequentemente apontada, mas em muitas disciplinas (como a biologia) os objetos de estudo estão longe de ser simples e, ainda assim, foram encontradas maneiras de fazer experimentos. A ética também é apontada como uma restrição para definir ações de pesquisa justificáveis e comportamentos inaceitáveis, mas em muitas áreas (como a medicina) as questões éticas têm diretrizes para orientar a experimentação.

Assim, os obstáculos aparentes para estabelecer a segurança cibernética como uma ciência não devem ser encarados como uma grande limitação, pois toda ciência desenvolveu maneiras de avançar com suas próprias restrições fundamentais. Isso leva à necessidade de promover uma segurança que seja construída por projeto a partir de princípios racionais e éticos baseados em definições, conceitos e teorias logicamente coerentes, publicamente visíveis e criticáveis[8].

Conclusões

Embora a segurança cibernética enfrente desafios para se estabelecer como uma ciência devido à sua natureza complexa e à falta de leis naturais intrínsecas, há disciplinas científicas e tecnológicas que podem fornecer orientação e inspiração. Embora a experimentação e a medição apresentem desafios, é importante promover a segurança baseada em princípios racionais e éticos, com base em definições claras e teorias coerentes. Apesar dos obstáculos, a segurança cibernética pode avançar como uma disciplina científica por meio de uma abordagem sistemática, padrões de experimentação e comunicação e pesquisa interdisciplinar.