Um Blockchain Privado pode ser usado para proteger dados confidenciais?

A discussão sobre se blockchains privados podem ou não ser usados para proteger dados confidenciais é complexa e não sou de forma alguma um especialista. O termo “blockchain” tornou-se um dos chavões da indústria, mas apesar de todo o entusiasmo em torno da tecnologia, a maioria das empresas ainda não tem certeza de como usá-la em seu benefício. Gostaria de começar fazendo algumas perguntas simples…

Em primeiro lugar, o uso de um blockchain impedirá que um funcionário envie PII não criptografadas ou credenciais de login por e-mail? Isso impedirá que um funcionário copie dados confidenciais em uma unidade USB e depois os perca no ônibus? Isso impedirá que um funcionário instale ransomware em seu dispositivo? É possível para uma organização encerrar uma conta de usuário inativa ou redefinir a senha de um usuário no blockchain? Da forma como está atualmente, a resposta a essas perguntas é não! Não me interpretem mal, a blockchain é uma peça de tecnologia impressionante, que nos fornece um meio muito seguro de armazenar e trocar dados, mas devemos ter cuidado para não vê-la como uma espécie de panaceia para proteger os nossos ativos digitais.

O objetivo do blockchain é alcançar o consenso distribuído e não é o único caminho. Criptomoedas como IOTA usam um novo tipo de livro-razão distribuído conhecido como Gráfico Acíclico Direcionado (DAG). A Maidsafe, uma empresa de software com sede na Escócia, lançou recentemente o código para um protocolo de consenso de código aberto chamado PARSEC, que muitos especialistas do setor acreditam ser muito superior ao blockchain. Ao procurar soluções para proteger os nossos dados sensíveis, não estamos realmente interessados no consenso distribuído, uma vez que os mecanismos de consenso distribuído só são necessários quando não existe uma autoridade centralizada para verificar as transações. Além do consenso distribuído, o blockchain também proporciona imutabilidade ao vincular blocos de dados em uma cadeia, onde cada bloco contém uma assinatura digital do conteúdo dos blocos anteriores. Portanto, se alguém tentasse alterar um dos blocos anteriores, quebraria a cadeia e seria rejeitado. No entanto, isso ainda pode ser alcançado sem o blockchain. Por exemplo, o Git - um repositório de código usado por desenvolvedores de software - tem usado uma estratégia semelhante desde 2005.

Blockchains privados podem estar sujeitos ao que é conhecido como “ataque de 51%”. Se um hacker obtivesse controle sobre 51% dos nós da rede, ele poderia alterar o conteúdo da cadeia. Isto não é impossível. Por exemplo, foi sugerido que seriam necessários aproximadamente US$400 milhões em equipamentos de mineração para hackear o Bitcoin. Atualmente, o Bitcoin tem algo entre 3 e 6 milhões de usuários ativos e, portanto, deve ser muito mais seguro do que um blockchain privado. É claro que o hacker médio não tem esse tipo de dinheiro, mas os governos têm. No final das contas, há muitas complicações e desvantagens no uso de um blockchain privado para proteger dados confidenciais. Dito isto, um blockchain exigiria pelo menos credenciais de login criptograficamente seguras.

Mas e quanto ao ransomware? Certamente um livro-razão distribuído seguro tornaria tais ataques inúteis, uma vez que sempre haverá uma cópia dos dados confidenciais em outro lugar da rede. Isto é verdade, e uma blockchain certamente ajudaria a garantir que todos os outros nós da rede armazenassem o mesmo conjunto de dados, o que facilitaria a recuperação de arquivos perdidos. Mas podemos fazer isso sem usar blockchain? Bem, a maioria das grandes empresas que armazenam grandes quantidades de dados confidenciais já terá um meio de replicar dados em vários servidores. Você acha que o Google armazena todos os seus dados em um servidor? Claro que não. Atualmente, a maioria dos aplicativos de banco de dados de código aberto modernos usam algum tipo de protocolo de replicação para alcançar um consenso seguro e distribuído. A principal diferença é que estas bases de dados são alojadas por uma autoridade centralizada, o que faz sentido se precisar de uma autoridade centralizada para gerir a autenticação e autorização.

Não tenho dúvidas de que as tecnologias descentralizadas desempenharão um papel importante no futuro da segurança de dados; no entanto, talvez fizesse mais sentido concentrar-se no aproveitamento das tecnologias existentes e nas ameaças imediatas. Dado que a maioria das violações de dados é causada por pessoas internas negligentes ou mal-intencionadas, educar os funcionários e auditar dados sensíveis deve ser a nossa prioridade. Se você não tiver meios para detectar, alertar, relatar e responder às alterações feitas em contas privilegiadas e arquivos críticos, uma violação de dados será inevitável, independentemente de você estar usando um blockchain ou não.