2018 começou mal do ponto de vista da segurança da informação. Repercutiu nos últimos dias a constatação de que há duas falhas de desenho nos principais processadores utilizados por computadores, celulares e outros dispositivos.

Essa falha é capaz de expor informações sensíveis, incluindo senhas, certificados e outros dados confidenciais.

As falhas foram batizadas de Meltdown e Spectre. A primeira, mais fácil de ser explorada por hackers, afeta praticamente todos os processadores da Intel. Por exemplo, torna vulneráveis serviços de armazenamento de dados na nuvem, permitindo a um hacker "roubar" dados dos clientes desses serviços.

A boa notícia é que já estão disponíveis atualizações de software capazes de mitigar os efeitos da falha. Só que com um grande problema: essa atualização pode levar a perdas de até 30% na velocidade do processador. É como se voltássemos no tempo sete anos em capacidade de processamento, no melhor estilo do livro "Ubik", do escritor Philip K. Dick.

Já o Spectre está presente em basicamente todo e qualquer tipo de microprocessador, incluindo marcas como AMD, ARM e também Intel. A má notícia é que essa falha não pode ser corrigida. Ela traz consigo a necessidade de reformulação completa da arquitetura dos chips utilizados hoje.

Ou seja, o problema estará conosco por todo o ciclo de renovação do hardware que utilizamos, o que pode levar uma década ou mais.

Essas falhas surgiram em razão de um dilema que afeta o desenho de qualquer hardware. O que deve ser privilegiado, segurança ou velocidade? Ao longo dos últimos anos, as empresas que fabricam processadores decidiram priorizar velocidade, deixando de abordar questões essenciais sobre segurança.

Estamos agora começando a pagar o preço dessas escolhas.

Vale mencionar que as falhas foram descobertas por uma equipe que pode ser chamada de "multissetorial", isto é, composta por vários setores da sociedade, em especial o setor privado, academia e terceiro setor.

Entre os que primeiro reportaram as falhas estão Jann Horn, programador da área de segurança do Google, pesquisadores de universidades como a de Graz, na Áustria, Pensilvânia, Maryland e Adelaide, entre outros. Ou ainda membros do interessante grupo híbrido australiano Data61.

Chama a atenção nessa lista a ausência de atores estatais típicos. Segurança da informação é obrigação do Estado. No entanto, o Estado sozinho pode fazer pouco para descobrir, prevenir ou remediar falhas com essas.

Para que qualquer iniciativa de cibersegurança tenha efetividade, ela precisa ser multissetorial, promovendo a cooperação com vários setores da sociedade.

Quanto mais isolado e autocrático o Estado se mantiver nessa área, mais impotente será contra ameaças digitais. É o caso do Brasil.

Estamos privilegiando modelos institucionais de concentração e isolamento em políticas digitais, em detrimento do multissetorialismo. No futuro, também vamos pagar o preço dessas escolhas.

Ronaldo Lemos - advogado, diretor do Instituto de Tecnologia e Sociedade do Rio de Janeiro (ITSrio.org). Mestre em direito por Harvard. Pesquisador e representante do MIT Media Lab no Brasil.