A indústria de segurança de TI é incapaz de lidar com a cibercriminalidade e precisa chegar a uma melhor forma de proteger os clientes. A frase é de Eugene Spafford, um especialista em segurança de computadores e professor de ciência da computação na Universidade de Purdue na abertura do FIRST Conference on Computer Security Incident Handling, em Boston. Ele acrescentou que a indústria de segurança está apenas adicionando camadas de tecnologias defensivas para proteger os sistemas. No entanto, não pode lidar com os problemas mais importantes e subjacentes que sustentam a expansão do que ele chama de sindicato do cibercrime.
Spafford disse que os desenvolvedores de software continuam a entregar produtos crivados de vulnerabilidades, num ciclo incessante de patches para administradores de TI que drenam recursos das áreas mais críticas. O professor afirmou que o problema é tão ruim que hoje as empresas estão correndo para investir em muitas das mais recentes tecnologias de segurança projetadas para detectar infecções, mas sem qualquer capacidade de resolvê-las de forma eficiente. Em vez de construir sistemas seguros, eles estão ficando cada vez mais distantes da construção sólida ao colocar camadas e mais camadas sobre esses sistemas. Spafford disse que agora os fornecedores tratam de fazer as coisas irem para o mercado primeiro antes de fazer as coisas certas primeiro.
Segundo ele, software mal codificado, combinado com a crescente complexidade das redes aumentou a superfície de ataque em muitas organizações e isso está consumindo recursos financeiros, disse Spafford. Famoso por analisar o worm Morris, uma das primeiras ameaças à internet, o professor disse que existem 220 milhões de famílias de malware conhecidos ou instâncias de malware e isso está aumentando em 52 milhões de unidades por mês. A detecção de ameaças não melhorou muito, disse ele, e o malware continua em sistemas por meses, muitas vezes não é descoberto até que criminosos furtem propriedade intelectual e outros dados confidenciais. Os fornecedores de segurança produzem, diz ele, plataformas de segurança inadequadas, destinadas a proteger software cheio de buracos.
Para piorar, ele diz que forças policiais foram inadequadamente equipadas em outros países e comprometidas por gangues criminosas com suborno. Ele disse que é preciso haver investimentos em educação de programação de computadores e um movimento por parte dos fabricantes de software para incorporar conceitos de segurança mais cedo no processo de desenvolvimento.
