Entenda como, apesar de investimentos em cibersegurança, empresas públicas e privadas continuam sob ataque Os investimentos em cibersegurança parecem não ser suficientes para barrar o avanço dos criminosos digitais e seus ataques cada vez mais sofisticados e frequentes. Para entender como e por que isso acontece conversamos com o especialista em segurança cibernética Ricardo Tavares e com Cristiano Lincoln, fundador e CEO da Tempest. Eles ajudaram a compreender alguns fatores que contribuem para que, nessa corrida de gato e rato, os criminosos levem tanta vantagem. Aceleração digital As empresas dependem mais e mais da tecnologia para entregar seus serviços e produtos. “Hoje, qualquer empresa é digital, senão ela tende a não sobreviver por muito tempo”, diz Tavares. Esse cenário levou muitas empresas a aumentarem a presença no meio digital da forma mais rápida e com o menor custo possível. “Isso quer dizer que quando esses serviços foram entregues, em sua grande maioria, não se pensou na segurança. Faltou o que chamamos de security by design”, explica o especialista. Ou seja, não se pensou nos riscos e nos fatores de proteção já na fase de desenvolvimento dos produtos e serviços, deixando vulnerabilidades e brechas abertas. “A segurança precisa ser entregue na hora em que um produto é entregue e acompanhar todo o seu ciclo de vida, senão ele já nasce inseguro.” Além disso, o crescente número de interconexões – entre dispositivos e entre empresas – aumenta a complexidade dos sistemas. “Assim, naturalmente há mais vulnerabilidades, falhas e possibilidades de exposição”, diz Lincoln. “Hoje, monitorar a rede de uma grande empresa é como vigiar todas as ruas de São Paulo” Investimento em “caixas mágicas” em vez de pessoas Empresas investiram no que Tavares chama de “caixas mágicas”, ferramentas que elas acreditavam que resolveriam todos os problemas de segurança. “Só que, quando se fala de segurança, o que resolve o problema não são ferramentas milagrosas; são pessoas com conhecimento em segurança, que entendem a infraestrutura da empresa, seus pontos frágeis e que sabem como aplicar as estratégias e ferramentas para colocar os controles à prova e proteger as empresas”, diz. Falta cuidar do básico Tavares é taxativo: “Por que estão acontecendo os ataques? Porque as empresas são negligentes”, diz ele. Em sua experiência, 95% dos ataques acontecem por falhas básicas, inclusive os incidentes de grande repercussão. “Essas falhas aconteceram porque a empresa não tinha profissionais com conhecimento suficiente para proteger a empresa ou porque esses profissionais estavam sobrecarregados por conta do tamanho e da complexidade da infraestrutura, o que quer dizer que a empresa não tinha uma área de segurança com o tamanho adequado para o que ela precisava”, detalha. Só se pensa em segurança depois que o problema acontece As empresas brasileiras, em geral, só implementam as políticas de segurança depois que um ataque acontece. Segundo Tavares, isso ocorre porque a segurança não é tratada de forma estratégica pelas empresas, tornando mais difícil a implementação dos controles. “Os riscos cibernéticos têm que fazer parte da governança corporativa da empresa e serem acompanhados pelos executivos, para que eles forneçam os recursos necessários para mitiga-los.” Na avaliação de Lincoln, esse cenário já está se transformando. “Especialmente nesses últimos dois anos com a pandemia, o tema subiu na pauta das empresas (sobre isso, confira o texto Segurança cibernética é presença inegociável na agenda dos líderes empresariais). Começamos a ver legislações novas, como a Lei Geral de Proteção de Dados Pessoais (LGPD), novas regulamentações, como do Banco Central e no setor elétrico, e mais pessoas se preocupando com o tema. Quando os consumidores e a sociedade acordam para o problema, eles passam a exigir segurança das soluções oferecidas pelas empresas”, diz. A consciência sobre os riscos de segurança também tende a aumentar quando mais ataques acontecem. “Quando sai notícia de um ataque no jornal, o empresário pergunta: e se acontecer com a gente? Estamos protegidos? Quanto nos custaria retomar a operação?”, exemplifica Lincoln. “A realidade no Brasil é que a segurança não é feita por maturidade no tema, mas pela dor”Um crime de baixo risco, menor esforço e altos lucros Aplicar uma estratégia de defesa é mais complexo do que explorar uma vulnerabilidade e atacar. “Para defender, eu preciso saber fechar todas as portas. As variáveis são muito maiores e é preciso um conhecimento mais amplo. Para atacar, basta entrar por uma porta”, explica Tavares. Além disso, o criminoso tem pouco a perder e muito a ganhar nesse tipo de ataque. “O cibercrime ainda é, e provavelmente vai continuar a ser, por certo tempo, um tipo de crime de baixíssimo risco e alto retorno”, diz Lincoln. Hoje, os ataques de ransomware envolvem milhares de dólares. “Não é mais difícil roubar 150 mil reais do que 15 mil reais: é só um zero a mais”, diz o especialista. Além do risco físico ser mais baixo, as chances do criminoso ser identificado pelas autoridades são baixas. “Se o atacante está em outro país, anonimizado, dificilmente será preso”, diz Tavares. O crime é organizado “Esse estímulo é um dos fatores que tem puxado o desenvolvimento de uma economia underground e um supply chain do crime”, explica Lincoln. Os criminosos atuam de maneira organizada e com mais troca de informação em comunidades tanto na internet como na deep web, desenvolvendo ferramentas novas com mais agilidade. “Existem marketplaces para troca e venda de informação pessoal, de cartão de crédito roubado, de conta corrente”, diz Lincoln. O ataque feito por um hacker agindo sozinho de seu quarto já está em extinção. “Existe um grupo de ransomware que funciona como se fosse uma empresa”, conta Tavares. “Um criminoso cria o malware (o artefato malicioso) e contrata um grupo de pessoas que vão colocá-lo dentro da empresa e outro grupo que vai negociar o resgate. Há, inclusive, turnos de seis ou oito horas. Existem especialistas em conseguir senhas e outros que usam uma ferramenta de um terceiro e ganham um percentual, como se fosse uma franquia. Existe até mesmo uma espécie de sindicato, que entra em ação se um grupo não paga os seus terceiros”, detalha Tavares. “São grupos que atuam como máfia, sofisticados, profissionais, com muito recurso”, completa Lincoln. Faltam profissionais especializados em segurança cibernética No mundo, a demanda por profissionais de segurança só cresce. No Brasil, essa defasagem se agrava com a competição com o mercado global pela mão de obra especializada, que cresceu após a pandemia. “Perdemos muitos profissionais porque eles podem trabalhar de casa para uma empresa de fora, que vai pagar menos do que o faria para profissional local, mas um salário que, com o dólar alto, ainda tem um valor alto para o brasileiro”, explica Tavares. Para Lincoln, investir em formação desses profissionais é a chave para mudar o jogo. “É o que vai nos tirar desse atoleiro, junto com a maior conscientização. Mas tudo isso leva tempo, então acho que a situação ainda piora um pouco antes de melhorar.” Essa corrida pode mudar? No passado, os fornecedores ofereciam produtos que agiam como vacinas para determinados vírus conhecidos, uma estratégia que se tornou insuficiente com vírus novos surgindo rapidamente e até mesmo se modificando sozinhos. As novas tecnologias em segurança apostam em uma abordagem que tem foco em comportamento: em táticas, técnicas e procedimentos. “Quando o autor da ameaça entra em um ambiente para fazer o ataque, ele deixa rastros. São comportamentos, ações que aquele ambiente não faria normalmente. As soluções mais modernas de segurança usam essas informações e inteligência artificial para fazer detecções mais efetivas”, explica Tavares. Ainda assim, ele reforça: para implementar bem qualquer ferramenta, o conhecimento humano é essencial. Lincoln reforça que investimento em inteligência é a forma de se colocar um passo à frente nessa corrida. “Cyber intelligence é conceito semelhante ao dos serviços de inteligência entre as nações: é entender as motivações do atacante, como opera, o que ele tem de recursos disponíveis e, com tudo isso, antever as linhas de ataque e se adiantar”, explica. Promover conhecimento e compartilhar boas práticas para ajudar as organizações a reduzirem os riscos relacionados à segurança é o objetivo deste especial “Cibersegurança”, produzido com o apoio da Microsoft e que contará com dezenas de reportagens, vídeos e podcasts sobre o tema. Outros conteúdos sobre o assunto também podem ser acessados no Security Series 2021, série de eventos voltados ao debate sobre as principais tendências em soluções e serviços para o setor. Acompanhe as atualizações.
Fonte: Valor Invest
