O Reino Unido, os ataques, e as ameaças de retaliação

Lord West of Spithead, ministro responsável pela segurança no UK:

Não existe nenhuma dúvida que alguns Estados extraíram quantidades enormes de propriedade intelectual, planos completos para motores para aeronáutica, coisas que levaram anos e anos a serem desenvolvidas (...) Se algum Estado patrocinador continuar a tentar entrar nos seus sistemas, provavelmente para espionagem industrial, você vai retaliar? Somos todos capazes de fazer estas coisas. Neste momento não faríamos isso, mas talvez seja neste ponto que temos que focar as discussões.

in Britain fends off flood of foreign cyber-attacks.

Merece um comentario breve, naturalmente. Dois pontos apenas.

Primeiro ponto: É evidente que a legitimidade para contra-ataques, num cenário de guerra electrónica, não pode ser posta em causa, desde que seja muito claro, muito evidente, quem são os nossos inimigos. No entanto, no contexto da Internet, nem tudo é claro, muito pouco é óbvio.

Segundo ponto: Parece-me muito mais útil, em face do estado que podemos observar na segurança da informação — num âmbito global, note-se (!) — parece-me mais útil, dizia eu, focar a nossa atenção, focar os nossos esforços, na concretização de controlos técnicos e processuais que, na verdade, já estão disponíveis há muito tempo, são conhecidos e evangelizados pelos profissionais há muitos anos, e que continuam a ser ignorados sistematicamente.

Terceiro ponto (eram só dois pontos, eu sei, mas apeteceu-me pôr mais um): Enquanto as organizações continuarem a aceitar que os erros na construção das infra-estruturas, na configuração dos sistemas, e no desenvolvimento das aplicações, enquanto continuarem a aceitar que estes erros podem ser corrigidos aligeirando os controlos de segurança, não vai haver defesa possível contra atacantes bem motivados.

Retaliação? Defesa efectiva em primeiro lugar, digo eu, que nem percebo nada disto.