Por Redação do COMPUTERWORLD

Muitas organizações estão criptografando seus dados armazenados para aliviar preocupações com roubos ou perda de dados, por exemplo, mas leis obrigatórias norte-americanas relativas a quebra de dados não se aplicam a dados criptografados.

Entretanto, especialistas da IBM Internet Security Systems, Juniper, nCipher e outras dizem que a criptografia de informações também pode trazer novos riscos, em particular via ataques – intencionais ou acidentais – na infra-estrutura de gestão das chaves criptográficas.

A mudança vem particularmente com a alteração do dado criptografado em trânsito para a armazenagem deste dado – frequentemente em resposta a demandas regulatórias, afirma Richard Moulds, da nCipher.

“Muitas organizações são novas na criptografia”, acrescenta. “A única experiência delas a isso foi com o SSL, mas isso foi apenas uma sessão. Quando você criptografa os dados do seu laptop e perde a chave de tradução, você perde os dados para sempre – como resultado, isso é uma espécie de ataque de negação de serviço contra você.

“Organizações com mais experiência com criptografia estão recuando em suas estratégias e dizendo que isso é potencialmente um pesadelo. Tem o potencial de trazer a sua empresa para um momento de crise”, diz.

A criptografia também é um interesse tão grande das pessoas más quanto das boas, alerta Anton Grashion, especialista de estratégia de segurança européia da Juniper. “Assim que você deixar o gato para fora da mala, eles também vão estar usando isso”, explica. “Por exemplo, isso parece uma grande oportunidade para começar o ataque chave a infra-estuturas”, diz.

Outros destaques do COMPUTERWORLD:
Problemas com drivers ainda assombram o Vista
O que fazer após uma demissão: seus primeiros 90 dias
Quatro megafusões que podem desanimar o negócio Microsoft-Yahoo
5 coisas que você vai adorar no Firefox 3
Open source no data center. Funciona?

“É uma nova classe do ataque DoS”, concorda Moulds. “Se você pode acessar a rede e cancelar uma chave e depois demandar o resgate, é uma forma fantástica de atacar um negócio”, afirma.

Outro risco é que uso super zeloso da criptografia vai danificar a habilidade (capacidade) de uma organização para legitimar parte e usar dados críticos de negócios, observa Joshua Corman, estrategista de segurança da IBM ISS.

“Um medo que eu tenho é que nós estejamos todos escondendo todas as nossas informações, mas as companhias são dirigidas por informações, então nós temos d tomar decisões táticas com a capacidade de colaborar reprimida”, acrescenta.

“Algumas vezes, o resultado da implementação da tecnologia de segurança é na verdade um aumento líquido do risco”, finaliza Richard Reiner, diretor de tecnologia e segurança da Telus Security Solutions.