Explorando o futuro da cibersegurança na América Latina e no Caribe

Se você já participou de algum evento tecnológico importante durante a última década, certamente terá se deparado com acaloradas discussões sobre cibersegurança. Este tópico tem compartilhado protagonismo com temas como computação em nuvem, tecnologia quântica, internet das coisas (IoT) e inteligência artificial (IA).

No LACNIC 39 tive o privilégio de moderar o painel titulado “O Futuro da Cibersegurança”, acompanhado pelo Sr. Pablo Álvarez, SIIES Governo de Yucatán; o Sr. Sabas Casas, ACCENTURE México; o Sr. Wilberth Pérez, Reitor do CSIRT-UADY (Universidad Autónoma de Yucatán); o Sr. John Brown, Team Cymru Senior Security Evangelist; e o Embaixador Claudio Peguero, Assessor de Assuntos Cibernéticos do Ministério das Relaciones Exteriores da República Dominicana. Nossos caros cinco especialistas em cibersegurança esclareceram assuntos urgentes como o estado atual da higiene cibernética, as tendências mundiais na matéria de crime cibernéticos e incidentes, bem como nossas defesas mais potentes contra os riscos iminentes que espreitam o ciberespaço. A conversa começou aprofundando nas evidências e lugares comuns que minaram nossa decepcionante higiene cibernética. Uma destas revelações foi a desafortunada relegação da cibersegurança a um mero problema informático, frequentemente subestimado por aqueles que tomam decisões empresariais e não conseguem compreender a natureza multiface de seus riscos.

O painel constatou erros de comunicação, equivalentes a “perdas na tradução” entre os diretores de segurança da informação (os CISO) e os que priorizam os lucros financeiros a curto prazo dentro das organizações. Resulta desalentador que ainda persista uma visão desinformada do campo de segurança da informação, o que faz com que perpetue a ideia errada de que as medidas de segurança se reduzem apenas à compra de firewalls e antivírus. Na verdade, a desconexão entre os profissionais das diversas áreas não é um fenômeno novo. Então, o que mudou realmente no nosso entorno?

São três os fatores importantes que nos levaram a impulsionar e a agir nesta ocasião. Em primeiro lugar, a pandemia global nos impulsionou a uma dependência sem precedentes dos serviços e das tecnologias da internet, introduzindo assim muitos clientes para os quais tudo o que era digital, considerava-se novo e, além disso, possuíam diferentes níveis de competência tecnológica e consciência no âmbito digital. Surgiram tendências alarmantes, revelando que tanto os adultos jovens quanto os adultos maiores são particularmente vulneráveis a serem vítimas do crime cibernético. A atitude displicente perante a privacidade dos dados ou a limitada familiaridade com ferramentas digitais, como é o caso das pessoas maiores de 75 anos, fez com estas que se tornassem alvos fáceis.

Em segundo lugar, a rápida digitalização observada nos governos, nas empresas e no setor da educação superou o desenvolvimento de sólidos planos de contingência e segurança por parte dos CISO. Ao migrar rapidamente os ativos para o âmbito virtual, tornou-se evidente a necessidade crítica de contar com medidas de segurança integrais. Porém, a implementação destas medidas teve dificuldades para continuar o ritmo acelerado da transformação digital.

Além disso, o aumento do trabalho remoto e a adoção global de dispositivos usados como estações de trabalho requereram um aumento imediato e substancial das medidas de cibersegurança. Um relatório de 2020 sobre o argumento de negócio para uma melhor cibersegurança trouxe à tona uma realidade inquietante: apesar de ser prático trabalhar de casa, 57% dos entrevistados disse se sentir mais distraídos que no entorno do escritório tradicional. Esta distração teve uma correlação direta com uma maior vulnerabilidade aos golpes cibernéticos, incluindo a insidiosa ameaça das estafas de phishing.

Há também uma outra razão importante para organizar neste momento uma discussão sobre cibersegurança. De acordo com a Deloitte, na era anterior à pandemia, aproximadamente 20% dos ataques cibernéticos usavam técnicas ou malware previamente desconhecidos. No entanto, com o início da pandemia, esta porcentagem aumentou para 35% neste primeiro ano. Entre os métodos de ataques emergentes, alguns aproveitam as capacidades de aprendizado automático para se adaptarem e driblarem a detecção. Outra tendência preocupante é a crescente complexidade dos golpes de ransomware, empregando estratégias persuasivas com o intuito de obrigar as vítimas a pagarem resgate.

Com o surgimento de modelos inovadores de serviços como o malware, a economia do crime cibernético mudou radicalmente. Os criminosos experientes transformaram seus serviços em um bem de consumo e colocaram suas capacidades de ameaça à disposição dos mercados criminais para que os cibercriminosos que estão dando seus primeiros passos possam adquirir facilmente malware e serviços para implementá-lo, e, ao mesmo tempo, vender credenciais e dados roubados a granel. Os grupos de cibercriminosos evoluíram até se tornarem entidades organizadas que refletem a estrutura dos negócios legítimos. Por exemplo, a organização criminal Conti estava repleta de departamentos de marketing, de recursos humanos e de pessoal remoto que talvez ignorassem que estavam participando em atividades criminosas.