Explorando o futuro da cibersegurança: uma perspectiva focada na América Latina e no Caribe
30/05/2023
Kevon Swift– Líder de Assuntos de Segurança Pública
Se você já participou de algum evento tecnológico importante durante a última década, certamente terá se deparado com acaloradas discussões sobre cibersegurança. Este tópico tem compartilhado protagonismo com temas como computação em nuvem, tecnologia quântica, Internet das coisas e Inteligência artificial. Porém, em meio desta estridente cacofonia… o que faz com que um painel sobre cibersegurança organizado durante o recentemente concluído evento LACNIC 39 seja tão relevante? A resposta está nas profundas transformações que deram formato novo ao panorama cibernético nos últimos dez anos, revelando verdades inquietantes sobre o estado infelizmente pouco desenvolvido da higiene cibernética no mundo. No entanto, em meio às inquietantes revelações, surge um raio de esperança. A sabedoria compartilhada nas conferências anteriores sobre cibersegurança, com ênfase no elemento humano e no poder da colaboração, continua sendo tão oportuna hoje como foi sempre.
No LACNIC 39 tive o privilégio de moderar o painel titulado “O Futuro da Cibersegurança”, acompanhado pelo Sr. Pablo Álvarez, SIIES Governo de Yucatán; o Sr. Sabas Casas, ACCENTURE México; o Sr. Wilberth Pérez, Reitor do CSIRT-UADY (Universidad Autónoma de Yucatán); o Sr. John Brown, Team Cymru Senior Security Evangelist; e o Embaixador Claudio Peguero, Assessor de Assuntos Cibernéticos do Ministério das Relaciones Exteriores da República Dominicana. Nossos caros cinco especialistas em cibersegurança esclareceram assuntos urgentes como o estado atual da higiene cibernética, as tendências mundiais na matéria de crime cibernéticos e incidentes, bem como nossas defesas mais potentes contra os riscos iminentes que espreitam o ciberespaço. A conversa começou aprofundando nas evidências e lugares comuns que minaram nossa decepcionante higiene cibernética. Uma destas revelações foi a desafortunada relegação da cibersegurança a um mero problema informático, frequentemente subestimado por aqueles que tomam decisões empresariais e não conseguem compreender a natureza multiface de seus riscos.
O painel constatou erros de comunicação, equivalentes a “perdas na tradução” entre os diretores de segurança da informação (os CISO) e os que priorizam os lucros financeiros a curto prazo dentro das organizações. Resulta desalentador que ainda persista uma visão desinformada do campo de segurança da informação, o que faz com que perpetue a ideia errada de que as medidas de segurança se reduzem apenas à compra de firewalls e antivírus. Na verdade, a desconexão entre os profissionais das diversas áreas não é um fenômeno novo. Então, o que mudou realmente no nosso entorno?
São três os fatores importantes que nos levaram a impulsionar e a agir nesta ocasião. Em primeiro lugar, a pandemia global nos impulsionou a uma dependência sem precedentes dos serviços e das tecnologias da Internet, introduzindo assim muitos clientes para os quais tudo o que era digital, considerava-se novo e, além disso, possuíam diferentes níveis de competência tecnológica e consciência no âmbito digital. Surgiram tendências alarmantes, revelando que tanto os adultos jovens quanto os adultos maiores são particularmente vulneráveis a serem vítimas do crime cibernético. A atitude displicente perante a privacidade dos dados ou a limitada familiaridade com ferramentas digitais, como é o caso das pessoas maiores de 75 anos, fez com estas que se tornassem alvos fáceis. Em segundo lugar, a rápida digitalização observada nos governos, nas empresas e no setor da educação superou o desenvolvimento de sólidos planos de contingência e segurança por parte dos CISO. Ao migrar rapidamente os ativos para o âmbito virtual, tornou-se evidente a necessidade crítica de contar com medidas de segurança integrais. Porém, a implementação destas medidas teve dificuldades para continuar o ritmo acelerado da transformação digital. Além disso, o aumento do trabalho remoto e a adoção global de dispositivos usados como estações de trabalho requereram um aumento imediato e substancial das medidas de cibersegurança. Um relatório de 2020 sobre o argumento de negócio para uma melhor cibersegurança trouxe à tona uma realidade inquietante: apesar de ser prático trabalhar de casa, 57% dos entrevistados disse se sentir mais distraídos que no entorno do escritório tradicional. Esta distração teve uma correlação direta com uma maior vulnerabilidade aos golpes cibernéticos, incluindo a insidiosa ameaça das estafas de phishing.
Há também uma outra razão importante para organizar neste momento uma discussão sobre cibersegurança. De acordo com a Deloitte, na era anterior à pandemia, aproximadamente 20% dos ataques cibernéticos usavam técnicas ou malware previamente desconhecidos. No entanto, com o início da pandemia, esta porcentagem aumentou para 35% neste primeiro ano. Entre os métodos de ataques emergentes, alguns aproveitam as capacidades de aprendizado automático para se adaptarem e driblarem a detecção. Outra tendência preocupante é a crescente complexidade dos golpes de ransomware, empregando estratégias persuasivas com o intuito de obrigar as vítimas a pagarem resgate.
Com o surgimento de modelos inovadores de serviços como o malware, a economia do crime cibernético mudou radicalmente. Os criminosos experientes transformaram seus serviços em um bem de consumo e colocaram suas capacidades de ameaça à disposição dos mercados criminais para que os cibercriminosos que estão dando seus primeiros passos possam adquirir facilmente malware e serviços para implementá-lo, e, ao mesmo tempo, vender credenciais e dados roubados a granel. Esta prática da indústria manifestou a quantidade de golpes cibernéticos, embora a escala e a intensidade de cada ataque tenha sido alterada à medida que os criminosos experientes se posicionam num patamar mais alto na cadeia de valor criminal para evitar serem detectados. Os grupos de cibercriminosos evoluíram até se tornarem entidades organizadas que refletem a estrutura dos negócios legítimos. Por exemplo, a organização criminal Conti estava repleta de departamentos de marketing, de recursos humanos e de pessoal remoto que talvez ignorassem que estavam participando em atividades criminosas.
A fim de avaliar as capacidades cibernéticas da nossa região, focamos em três perspectivas reveladoras na revisão sobre preparação em cibersegurança na América Latina e no Caribe. Entre 33 economias da região, encontramos que 18 já possuíam planos estratégicos de cibersegurança nacionais ou estavam desenvolvendo-os ativamente. Estes planos servem como documentos integrais e colaborativos que descrevem áreas estratégias para melhorar a resiliência no ciberespaço, responder às ameaças cibernéticas, promover a consciência cibernética e garantir medidas legais para oferecer justiça às vítimas do crime cibernético. É fundamental que os planos estratégicos sejam atualizados regularmente, que contem com recursos adequados e que sejam implementados de forma eficaz para habilitar esforços coletivos em matéria de cibersegurança. Quanto às respostas técnicas aos ataques cibernéticos e incidentes, uma grande maioria dos países da região haviam estabelecido Equipes de Resposta a Incidentes de Segurança Informática (CSIRT). Estas equipes operavam em diferentes níveis e incluíam entidades nacionais, governamentais, militares e setoriais. Aliás, com exceção de quatro, quase todos os países tinham promulgado legislação sobre crime cibernético. Porém, cabe destacar que não avaliamos a eficácia desta legislação em termos da relevância das definições de crime cibernético nem a idoneidade das disposições processuais para facilitar as investigações e a cooperação transnacional entre as diferentes agências de aplicação da lei. A instantânea nos ajudou a identificar componentes básicos importantes para a resiliência cibernética a nível macro, que de fato seriam para respaldar qualquer coisa que façamos corporativamente.
A nível médio e micro, nossos especialistas sinalizaram a importância de gerar consciência nas múltiplas áreas das organizações e inclusive nos lares, visando a geração de uma cultura de segurança cibernética. Uma cultura de cibersegurança refere a uma mentalidade coletiva e a um conjunto de práticas que priorizam e integram a cibersegurança em diferentes aspectos de nossas vidas. Abrange tanto as práticas corporativas dentro das organizações quanto o comportamento e os hábitos que devem ser fomentados nos lares e nas famílias.Em um contexto corporativo, uma cultura de ciberseguança implica criar um entorno no qual a segurança cibernética seja considerada uma responsabilidade compartilhada entre todos os empregados, do pessoal diretivo ao pessoal de primeira linha. Implica promover programas de conscientização, educação e capacitação para garantir que todos entendam a importância da cibersegurança e saibam como identificar e responder às potenciais ameaças. Além disso, conforme nossos especialistas as organizações devem estabelecer políticas e procedimentos claros no que diz respeito à proteção de dados, à privacidade e à resposta a incidentes. É essencial também fomentar uma cultura de comunicação aberta e transparente, onde os empregados se sintam à vontade ao informarem um incidente de segurança ou um eventual risco. Alentar uma cultura de cibersegurança em casa implicaria princípios semelhantes, mas com ênfase na responsabilidade individual e na consciência familiar. Espera-se que os pais se eduquem a si mesmos, bem como a seus filhos sobre a segurança on line, a privacidade e os potenciais riscos associados ao uso dos dispositivos digitais e da Internet. Os avós não devem ficar fora da equação, já que devemos prestar especial atenção a suas necessidades quanto ao uso das ferramentas digitais e da Internet.
Durante a discussão os especialistas também focaram sua atenção ao tema da cooperação, enfatizando na natureza interconectada e sem fronteiras da cibersegurança. É preciso cooperação nas múltiplas frentes, dentre elas na criação e fomentação de comunidades de confiança entre os técnicos responsáveis pelas operações de segurança junto aos organismos responsáveis pela observância da lei, assim como em todos os setores onde os riscos de reputação e operação legais possam se ver exacerbados (por exemplo, nos bancos).
Em última instância, devemos promover também medidas para gerar confiança no âmbito cibernético em todos os países, mediante o uso da ciberdiplomacia, com o objetivo de melhorar a cooperação transnacional e a previsibilidade das maquinarias estatais quando ocorre um golpe. Tendo em vista que uma boa ciber higiene e cibersegurança resultam de um esforço coletivo, os objetivos de alto nível de uma cooperação reforçada seriam a redução e a mitigação do impacto dos ataques e crimes cibernéticos.
Uma lição que surgiu nas primeiras discussões sobre segurança cibernética nas conferências tecnológicas, e que continua vigente, é que as pessoas – o elemento humano – devem permanecer em primeiro lugar, inclusive em relação às propostas de cibersegurança mais importantes. Nossos focos para aprimorar a cibersegurança e salvaguardar os ativos digitais devem ser interativos e persistentes com o intuito de manter o ritmo e eventualmente superar a mutação dos riscos cibernéticos. Nesse sentido, todos temos um papel para desempenhar. A cibersegurança já não é “apenas” um problema informático.