Um estudo recente da consultoria Aite Group mostrou que os internautas brasileiros têm preocupações muito elevadas sobre fraudes digitais. Por exemplo, 75% têm medo de contas comprometidas por violações de dados, contra apenas 50% nos Estados Unidos e 48% no Canadá. E para 74% dos brasileiros, o roubo de identidades digitais é um perigo real. Nos Estados Unidos e Canadá, essas taxas são de 55% e 51%, respectivamente.
Atualmente, há vários modos de se desenvolver aplicativos, seja de forma nativa, híbrida ou por meio de site e app builders. Assim, a criação desse tipo de software é acessível a qualquer pessoa que tenha conhecimentos básicos de codificação, que se confirma pela quantidade de opções lançadas diariamente nas lojas de apps.
O problema é que apenas uma parcela desses aplicativos é escrita levando em conta padrões de segurança elevados, enquanto os demais, a depender da maneira como foram codificados e implementados, podem passar por processo de engenharia reversa e serem decompilados, revelando mais do que se gostaria, como chaves de acesso e detalhes a respeito das APIs necessárias para a comunicação com outros sistemas.
O problema da preocupação com segurança também é relevante quando se analisa o crescimento do mercado de produtos da Internet das Coisas (IoT). Segundo pesquisa do Gartner, 11,4 bilhões de dispositivos estarão conectados à Internet em 2018, e os gastos com segurança para esses equipamentos chegarão a US$ 547 milhões. Mesmo com valores desse montante, diz a consultoria, em 2020, um em cada quatro ataques a corporações irão envolver a IoT. Mas mesmo assim, apenas 10% do orçamento de segurança das equipes de TI serão destinados à Internet das Coisas.
As vulnerabilidades dos aplicativos, sejam destinados a dispositivos móveis ou à IoT, são mais facilmente exploradas em plataformas abertas, embora não sejam exclusivas delas, e estão diretamente relacionadas à qualidade e complexidade do código produzido. Por meio delas, pessoas mal intencionadas podem simular um app, conseguindo enganar os sistemas de controle, permitindo a obtenção de informações sensíveis do cliente ou sistema. Transfira esse cenário para o mundo corporativo, e você verá a dimensão que isso pode tomar.
O Brasil está na vanguarda do autoatendimento de internet banking, que é extremante eficiente, rápido e seguro. Softwares desenvolvidos para bancos, empresas de cartão de crédito, seguradoras e programas de fidelidade devem seguir as políticas de segurança dessas empresas, muitas delas baseadas nas diretrizes elaboradas pelo PCI Security Compliance Council. Isto possibilitou alcançar o nível de segurança que essas transações exigem, mas todo o processo de homologação é criterioso, longo e principalmente oneroso.
Replicar tais práticas para outros setores parece ser um caminho interessante, mas também exigiria considerável investimento em tecnologia, recursos e tempo de desenvolvimento, motivo pelo qual os apps desenvolvidos para outras finalidades nem sempre obedecem a critérios tão rígidos. Por isso, a preocupação com a segurança, muitas vezes, fica restrita às aplicações core, e parte das soluções de frontend e de backend acabam sendo transferidas para empresas terceiras que não se preocupam tanto com questões envolvendo segurança, o que deixa brechas para que o sistema seja atacado.
Ocorre que, ao realizar a precificação de cada funcionalidade do app, os recursos humanos e a quantidade de horas necessárias para sua produção, o contratante e o fornecedor se deparam com uma solução “segura” cujo preço pode ficar acima do que a empresa está disposta a pagar ou que exigirá aguardar um tempo maior para sua produção.
Com muitos desenvolvedores ávidos por conquistar clientes, não é raro ver questões importantes – com destaque para aquelas relacionadas à segurança – serem colocadas em segundo plano, com o objetivo de se alcançar preços mais baixos ou diminuir o tempo de desenvolvimento, prática comum principalmente entre os fornecedores de pequeno porte ou pessoas que desprezam esse alerta por falta de conhecimento.
Além de canibalizar o mercado, tal prática tampouco ajuda na propagação da ideia de que a segurança precisa ser considerada fundamental também nas aplicações periféricas, mobile ou não, e que têm potencial de provocar danos, caso eventuais vulnerabilidades venham a ser exploradas. Isto é ainda mais relevante se considerarmos que o volume de downloads de aplicativos mobile no País, de acordo com projeções da empresa de pesquisas e análise App Annie, deve crescer 40%, incluindo aqueles produzidos por empresas e marcas para operações B2B ou B2C. Nesse contexto, a probabilidade de que mais vulnerabilidades possam ser exploradas se amplia significativamente, e com isso, cresce o risco de que uma marca possa ter sua imagem e reputação abaladas, e de ter que arcar com perdas financeiras.
Assim, estamos em um momento decisivo para desenvolvedores e contratantes, que devem ver a segurança como uma de suas prioridades.
*Renato Virgili é CEO da Pontomobi