“Basta um computador, um email, para infectar a rede toda.”
As vantagens da tecnologia Blockchain na Cybersecurity
Entrevista com Patricia Miranda, Advogada Sênior do Banco Mundial
Vamos à entrevista:
1. Me conte um pouco a respeito do seu envolvimento com Segurança e Blockchain.
Meu interesse surgiu quando reassumi uma posição no grupo do jurídico dedicado a administração interna do Banco Mundial. Interesse por segurança surgiu porque é um assunto que afeta todos nós, independente de trabalho, vida profissional ou pessoal. Já o interesse por blockchain surgiu por curiosidade e pelo desafio em entender o que é blockchain.
2. Para os leigos, conceitue o que é Blockchain e porque ela seria considerada mais segura?
Blockchain nada mais é do que o programa de computador usado para criar um banco de dados que possa gravar e/ou rastrear dados ou qualquer coisa de valor. É uma versão digital do “antigo” livro de contabilidade, por exemplo. A diferença é que usando blockchain o banco de dados é “ao vivo” e pode ser compartilhado em tempo real em uma rede entre participantes diferentes o que, na verdade, confere à blockchain os atributos de ser descentralizada, distribuída, compartilhada e replicável.
3. Quais seriam as melhores aplicações de Blockchain? Como tal uso da blockchain fortalece questões relacionadas à Segurança? Cite alguns exemplos.
Qualquer área que utiliza processos, formulários, e procedimentos variados para um fim comum, por exemplo, remessa e frete, pode se beneficiar com o uso da blockchain. Isso porque, ao usar blockchain, as partes estão concordando com um padrão único para representar a veracidade dos dados e das informações a serem compartilhadas entre as partes. Isso elimina duplicidade de documentos e agiliza as ações necessárias para concluir um procedimento. Também confere mais transparência, já que todas as partes envolvidas têm acesso aos mesmos dados em tempo real.
Como blockchain usa criptografia para proteger a informação gravada no banco de dados, blockchain dificulta a alteração da informação. Ou seja, o que é gravado no banco de dados usando blockchain só pode mudar se houver consenso na rede toda de blockchain para mudar a informação. Isso faz com que a informação gravada no banco de dados usando blockchain seja imutável, ou pelo menos muito difícil de ser alterada, já que grande parte de rede tem que concordar com a alteração. Isso é uma vantagem, por exemplo, para gravar escrituras e confirmar a veracidade do documento.
Um dos três pilares em segurança é a integridade da informação; os outros dois pilares são confidencialidade e accesso (em inglês, isso é referido como a tríade “CIA”, confidentiality, integrity and accessibility). Blockchain reforça a proteção que pode ser dada à integridade, o que fortalece a proteção em si e a informação. Outra forma que a blockchain pode dar mais segurança à informação é usando blockchain como o endereço de onde está a informação, mas não fornecendo a informação em si. Dessa forma, a blockchain funciona como os cartões de referência de biblioteca, ou como o endereço de alguém, sem dizer o que tem dentro de casa, enquanto a informação em si (o livro ou tudo o que tem dentro de casa) pode ficar fora da blockchain e com acesso muito mais restrito.
4. Blockchain + Segurança é algo viável e confiável?
Primeiro, é importante definir o que se entende como “segurança”. Em matéria de segurança da informação na rede, vale lembrar que segurança de informação tem três pilares, i.e., confidencialidade, integridade e acessibilidade. Entendendo segurança nessa pergunta como o aspecto da confidencialidade e acesso a informação, depende do tipo de blockchain. Blockchain pública, onde qualquer um pode participar, pode ter mais risco dependendo da informação que for gravada na rede. Por exemplo, se a blockchain é pública e vai armazenar dados da identidade das pessoas ou até informação de saúde (considerado dado sensível pela Lei Geral de Proteção de Dados – LGPD, legislação brasileira de privacidade), talvez não seja a melhor aplicação para proteger a confidencialidade e o acesso a essas informações. Porém, se for uma blockchain privada, essas informações podem estar mais protegidas comparada a uma blockchain pública, porque não é todo mundo que tem acesso a uma blockchain privada.
Em matéria de segurança da rede, outros dois aspectos da blockchain devem ser considerados: (a) se a rede é autorizada ou não, e (b) qual o sistema de gerência adotado para ajustar o protocolo da rede. Redes autorizadas são aquelas que só permitem mudanças no protocolo da rede por participantes conhecidos. Redes não autorizadas permitem mudanças na rede por qualquer participante do público. Claro que essas opções sozinhas não são nem boas nem ruins; tudo depende de como essas opções são combinadas com a gerência da rede. Por exemplo, a rede pode ser gerenciada on-chain and off-chain. On-chain (Tezos, Dfinity, e Decred) é quando qualquer mudança no protocolo e automática, sem qualquer interferência manual; off-chain (Bitcoin e Ethereum) é quando mudanças no protocolo devem ser aprovadas antes de serem incorporadas na rede. Claro que se uma blockchain é pública e on-chain, a chance de mudar o protocolo para pior é maior do que se a rede for pública e off-chain, onde qualquer mudança no protocolo deve ser vetada por um processo pré-determinado.
Porém, podemos entender segurança também como algo mais amplo, por exemplo, como segurança contra atos criminosos. Porque blockchain não revela a identidade do usuário, uma blockchain pública pode ser mais segura para proteger a identidade do usuário, mas também, pelo mesmo atributo, mais difícil de identificar atores criminosos.
Qualquer consideração de blockchain para solucionar qualquer problema deve considerar os prós e contras de todas as opções disponíveis para construir a rede. Blockchain ainda está no começo e tanto a sua utilidade, como o seu valor, ainda estão a ser confirmados.
5. Cite alguns problemas de vulnerabilidade, que não teriam acontecido com o Blockchain.
A vantagem mais forte da blockchain em matéria de segurança é por ela oferecer uma rede descentralizada e distribuída. Ou seja, a blockchain não oferece um único ponto de entrada. Ataques a redes que não estão em blockchain acontecem facilmente porque basta um computador, um email, para infectar a rede toda. Já em blockchain, para alterar a rede em si ou qualquer dado, um hacker tem que assumir o controle de 51% dos computadores na rede para atingir o famoso consenso. Um hacker precisa alterar o protocolo da blockchain para infectar a rede; porém, para isso, o processo de consenso da blockchain precisa concordar e aí reside a dificuldade de infectar uma rede usando blockchain.
6. Como fica a questão da Privacidade de Dados no Blockchain?
Ótima pergunta, porque a resposta tem dois lados. Usuários de uma rede usando blockchain pública são anônimos. Por um lado, o anonimato e ótimo para manter privacidade dos usuários. De outro lado, o mesmo anonimato também protege a identidade de atores criminosos.
Quanto à privacidade da informação, que é armazenada ou gravada na blockchain, isso cabe ao dono da informação a decisão pessoal se vale a pena armazenar tal informação na própria blockchain ou não. Blockchain pode oferecer as coordenadas de onde está a informação, mas não armazena a informação em si, garantindo que o acesso à informação seja sujeito a controle mais rigoroso por estar fora da blockchain.
7. Conclusão
Blockchain ainda está se desenvolvendo como tecnologia para criar aplicativos capazes de solucionar problemas diversos. Desde fretes e remessas, rastreamento de remédios ou produtos, disponibilidade de registros públicos, e assim vai. A maioria dos usuários de aplicativos não terá a menor idéia se um aplicativo funciona com base em uma rede blockchain ou não. As opções são muitas e as considerações, também. O mais importante é saber qual problema está a ser considerado e porque blockchain e a melhor solução. Depois disso, deve-se considerar todas as opções disponíveis, pública/privada, autorizada/não autorizada, gerenciamento da rede, e as combinações possíveis para realmente decidir qual oferece mais benefícios para solucionar o problema específico.
Breve Currículo da entrevistada:
Patricia Miranda é advogada sênior com 20 anos de experiência profissional no Banco Mundial. Atualmente, ela atua em tecnologia da informação, incluindo: segurança cibernética; tecnologias disruptivas com foco em blockchain; processamento de dados (exceto licenciamento); termos e condições para uso de dados; confidencialidade, uso, proteção e armazenamento de informações; computação em nuvem. Relacionada a esta área de especialização, ela escreveu um capítulo sobre segurança cibernética e blockchain para a FinTech, Lei e Regulamento, editado por Jelena Madir, Chief Counsel, BERD, publicada pela Elgar Financial Law and Practice e lançada em 8 de outubro de 2019, em Londres. Ela também palestrou sobre segurança cibernética e blockchain na conferência EBRD Fintech em outubro de 2019 (Londres); moderou uma sessão sobre Tecnologia Emergente e Lei e Política na LJD Week 2019 no Banco Mundial (Washington, DC), e moderou um painel sobre blockchain na Africa Blockchain Summit em novembro de 2019 (Marrocos).
Ela também atua em nomes de domínio/ICANN; mídias sociais e outras declarações públicas; privilégios e imunidades; e na política de acesso à informação do Banco Mundial. Antes de tais atribuições, ela foi designada para atuar em outros assuntos corporativos, incluindo questões imobiliárias e de recursos humanos no leste da Ásia e Pacífico, e sobre operações de financiamento de projetos selecionadas no Brasil e no leste da Ásia e no Pacífico.
Patricia se formou em direito pela Pontifícia Universidade Católica de São Paulo e tem LLM em Direito Internacional pela American University.
As opiniões deste texto são pessoais e não representam o entendimento do Banco Mundial.