O número de ataques cibernéticos cresce a cada ano. O Brasil tem gargalos, inclusive de mão de obra, que não poderiam ser solucionados. A solução pode estar na automação da segurança
Se a pandemia representou um aumento no número de pessoas e empresas conectadas, houve ainda um crescimento que poderia ser apontado como um efeito colateral da transformação digital: o de ataques cibernéticos, especialmente entre as empresas.
Um recente estudo global feito pela consultoria Ernst & Young chamado “How Covid-19 is impacting future investment in security and privacy” mostra que os ataques ilícitos em sistemas tecnológicos corporativos aumentaram em cerca de 300% em relação aos meses pré-pandemia.
Outro estudo, desta vez produzido pela Fortinet, consultoria em cibersegurança, aponta que o Brasil foi um dos alvos preferidos, com mais de 88,5 bilhões de tentativas de ataques em 2021.
Não é preciso ser um especialista em segurança da informação para concluir o óbvio: pelo grande volume de ataques, criminosos têm utilizado automações ou softwares para alcançar o maior número de companhias. E o contra-ataque precisa vir na mesma moeda.
LGPD impulsiona o debate
Nesta segunda-feira (30), a ABO2O, FecomercioSP, Microsoft e o Grupo Innovattion Experience promoveram debate no canal da INOVATIVOS sobre a importância de uma cibersegurança inteligente – por meio de uma inteligência artificial (IA) e machine learning – e que poderá levar a uma maior eficiência nas estratégias de proteção das informações nas empresas.
Segundo Vitor Magnani, presidente da ABO2O e conselheiro da FecomercioSP, mediador do encontro, a Lei Geral de Proteção de Dados (LGPD), se não inaugurou o debate no País, ao menos popularizou o debate sobre segurança cibernética no País. “O tema sempre existiu, mas ganhou contornos de maior importância principalmente para os consumidores e o poder público, que agora tem uma Agência Nacional de Proteção de Dados (a ANPD).
No entanto, apesar do avanço sobre o tema no País, existem gargalos realmente preocupantes. Hoje, em muitos casos, há dificuldades em entender a simples diferença entre proteção de dados e cibersegurança.
“O dado é de propriedade do consumidor, do paciente ou de quem contrata uma empresa. A segurança da informação está cuidando da propriedade da empresa. São coisas complementares, mas estão interligadas”, afirma Marcelo Queiroz, Head of Market Strategy da ClearSale.
O setor bancário é um dos setores que investem há mais tempo em segurança cibernética no País, inclusive antes da pandemia. Mas isso tem uma explicação e não está associado apenas à proteção do dinheiro do correntista.
“Por que o setor financeiro investe há muito tempo na segurança da informação? Esse sempre foi o asset deles, ou seja, dado ou informação do cliente é um dos ativos da companhia”, conclui Marcelo.
No entanto, mesmo entre aqueles que apostam na segurança cibernética, existem grandes desafios para os próximos anos. No caso dos bancos, o setor vive às voltas com o desafio de implementação do open finance. Mas o que isso significa?
Em linhas gerais, no open finance, os dados dos correntistas do País vão circular em uma rede administrada pelos bancos, o que levanta um desafio para o setor: todas as instituições, inclusive as menores, devem estar envolvidas no aprimoramento constante da segurança da rede e na transição dos dados entre as empresas.
No fim, a maneira como cada empresa se protege será o grande segredo do negócio. “Se no passado o xarope da Coca-Cola era o grande segredo industrial, hoje, no ambiente de uso de dados dos clientes, segurança é o grande negócio. Perder essas informações pode comprometer toda a estrutura”, afirma Magnani.
Poucas empresas
Mas se os bancos representam uma espécie de ilha de excelência sobre o tema, como estão os demais atores econômicos?
Entre as empresas que se relacionam com o consumidor final, o cenário preocupa. Uma recente pesquisa feita pelo Instituto Datafolha para a Mastercard, chamada de “Barômetro da Segurança Digital”, apontou que apenas 32% das empresas possuem área de cibersegurança no Brasil.
A pesquisa não aponta uma causa para o número baixo de empresas que possuem uma área de segurança, porém existem algumas hipóteses. Uma delas é que existem poucas empresas de cibersegurança à disposição no País.
É o que acredita Gustavo Zimmermann, ISV & Digital Native Tech Lead Latin America da Microsoft. Segundo ele, um dos motivos teria relação, entre outros motivos, com a inversão de prioridade regulatória no Brasil: pensou-se primeiro no tratamento e deixou a prevenção de lado.
“Regulamos muito a parte de privacidade e proteção de dados e não conseguimos olhar para trás, que é justamente a base para a implementação da segurança. Uma coisa é implementar uma política pública, definir um conjunto de regras e apontar as soluções tecnológicas. Outra é simplesmente definir políticas e não ter as ferramentas para implementar”, explica Gustavo.
Escassez profissional
Além disso, existe ainda um conhecido problema de escassez de mão de obra qualificada para diversos setores da economia, incluindo a de segurança cibernética.
Outro levantamento, desta vez da Brasscom, aponta que a procura por profissionais na área de TI será de 420 mil pessoas, até 2024, no país. Porém, hoje, segundo a entidade, o Brasil forma 46 mil profissionais com perfil tecnológico por ano.
“Esse dado é ainda pior se pararmos para analisarmos. Estamos em um mercado global, então muitos profissionais hoje trabalham no Brasil, mas trabalham para uma empresa de fora, ou seja, ganham em dólar. Boa parte desses formandos sequer vai trabalhar para empresas daqui”, comenta Magnani.
Por outro lado, Guilherme Kato, CTO na Dr.consulta e Líder do Comitê de Tecnologia da ABO2O, tem uma visão otimista para o futuro da cibersegurança. Ele acredita que a profissão deve ganhar tração no País.
“(O perfil do profissional de cibersegurança) é um pouco diferente de um programador e desenvolvedor, que possuem características de engenheiro. A segurança da informação é um pouco mais abrangente em termos de perfis, ou seja, um perfil mais analítico ou executor. É uma área mais democrática”, afirma.
Já na visão de Gustavo, o profissional de cibersegurança precisa ter nível elevado de maturidade, principalmente por existir a necessidade de um conhecimento maior de infraestrutura e de desenvolvimento de software para realmente trabalhar.
O futuro é a automação da cibersegurança?
Nesse cenário de escassez de empresas e mão de obra qualificada, há quem defenda o uso da automação na segurança cibernética. E essa é uma das grandes apostas do setor.
Segundo Kato, a solução baseada em machine learning ou aprendizado de máquina é a mais cara, porém tem um desempenho superior ao software que possui o chamado motor de regra, ou seja, ele é programado para executar comandos.
“Por exemplo, você está comprando algo no e-commerce e o seu CEP é de uma região suspeita. Tem tecnologia que simplesmente bloqueia a compra. Agora, no aprendizado de máquina, ele vai tentar entender o seu comportamento junto com o seu CEP. Dessa forma, ele avalia se faz sentido ou não bloquear o produto para a venda”, afirma.
No entanto, essas soluções possuem desafios importantes. Uma delas é o viés, que mesmo baseado em informações, poderá ter uma decisão interpretada como preconceituosa. Entra a importância de uma programação inclusiva, que evite esses problemas nas decisões feitas pela machine learning.
Melhor estratégia
Para os especialistas, a construção de um bom sistema de segurança cibernética está proporcionalmente relacionada ao tamanho do negócio. Por exemplo, em uma startup com poucos funcionários, é mais barato o envolvimento dos donos da empresa na segurança.
Já para empresas maiores, o caminho, além do investimento em tecnologia, é ficar atento aos processos de segurança. Funcionários precisam adotar novas rotinas, principalmente porque a intensidade será maior em um futuro próximo. Todos devem estar engajados no tema.
“Hoje são poucas as soluções em segurança da informação com IA e machine learning que fazem sentido. O antivírus é a melhor delas, o que alguns chamam hoje de EDR. Para a segurança da informação não adianta sair comprando soluções. Pesquise, compare e coloque as pessoas certas”, conclui Felipe Kemper, especialista em Cybersecurity na Hurb.
Em um dos maiores roubos de criptomoedas da história, em agosto de 2021 hackers roubaram cerca de US$ 600 milhões da plataforma Poly Network. Os sócios da Poly disseram que os criminosos cibernéticos exploraram uma vulnerabilidade em seu sistema e furtaram milhares de tokens digitais como o Ether.
Outro ataque expressivo envolvendo criptomoedas aconteceu ainda em agosto. A bolsa japonesa de criptomoedas Liquid foi invadida por hackers, que levaram mais de US$ 90 milhões em criptomoedas.
A Liquid informou que algumas das carteiras de moeda digital haviam sido comprometidas e suspendeu depósitos e retiradas por tempo indeterminado.
Três grandes empresas brasileiras também sofreram com os crimes cibernéticos em 2021. O ataque à JBS foi informado no dia 30 de maio e afetou as operações das unidades da empresa brasileira nos EUA, Canadá e Austrália. No dia 3 de junho, a empresa informou que havia recuperado todos os acessos.A invasão foi do tipo ransomware, sistema que acessa todos os dados e os “sequestra”.
Nas Lojas Renner, o ataque hacker aconteceu em agosto. A companhia informou que sofreu uma invasão em seu ambiente de tecnologia da informação, o que afetou parte de seus sistemas. Não foram especificadas quais operações e sistemas foram atingidos. O site de compras ficou fora do ar e só foi normalizado dois dias depois.
No início de outubro, a CVC anunciou que sua segurança digital havia sido comprometida, mas não deu detalhes sobre que tipos de informações foram acessadas. A central de atendimento da companhia ficou indisponível e o site da CVC Corp, holding da operadora de turismo, também permaneceu fora do ar. O embarque de clientes com viagens marcadas e as reservas confirmadas não foram impactados, segundo comunicado do grupo.
Na madrugada do dia 10 de dezembro, o site do Ministério da Saúde sofreu um ataque hacker que tirou do ar diversos sistemas da pasta, inclusive informações do Programa Nacional de Imunização, o ConecteSUS, e do programa de emissão do Certificado Digital de Vacinação.
Ao todo, dados de 243 milhões de dados pessoas, entre mortas e vivas, foram copiadas dos arquivos da pasta.
Assista ao Painel na íntegra ou escute o Podcast.