Atualmente, está evidente que os riscos de segurança cibernética e a proteção de dados (entenda-se como informação), estão se tornando mais relevante nas agendas governamentais e corporativas. O tema segurança da informação está ganhando mais “musculatura” pelo fato de garantir a segurança do ambiente tecnológico (infraestrutura), proteger e preservar determinados dados que possuem valores operacionais e estratégicos.

Verificando a história a informação é um tema tão antigo quanto a humanidade desde os primeiros registros, no qual podemos fazer uma analogia da utilização de criptografia das informações, exemplos, as escritas cifradas hebraicas, consistia na substituição da primeira letra do alfabeto deveria ser trocada pela última e assim sucessivamente, as comunicações realizadas por Júlio Cesar, consistia na substituição de uma letra do alfabeto por outra letra correspondente três casas e até um passado um pouco mais recente como a máquina enigma utilizada pelo exército alemão com o propósito de codificar e decodificar mensagens. Desde então a sociedade em geral e os ambientes corporativos vem passando por notáveis transformações culturais e tecnológicas mais rápido e a informação se tornando progressivamente mais valiosa.

Entretanto, nós profissionais de segurança da informação sempre soubemos da necessidade da proteção das informações nas organizações e particularmente na minha visão lutamos em guerras silenciosas e com atos “heroicos” para estabelecer algumas barreiras básicas discutidas deste 1967. Ficou mais claro com a publicação do primeiro documento com recomendações de segurança para proteger as informações “Security Control for Computer System: Report of Defense Science Boad Task Force on computer Security”,ou seja, tentamos fazer “o mais do mesmo” sem sucesso.

Analisando o relatório “The Global Risks Report 2018”, divulgado anualmente pelo World Economic Forum que lista os principais riscos que podem afetar negativamente pessoas, instituições e economias globais nos próximos anos, apontou pela primeira vez, em sua 13 edição, os ataques cibernéticos, roubos ou fraudes massivas de dados aparecendo entre os cinco principais riscos globais, ficando atrás apenas de condições climáticas extremas e desastres naturais. Na conferência de imprensa, Margareta Drzeniek-Hanouz, chefe de progresso econômico do fórum econômico mundial, informa que os riscos cibernéticos estão afetando a sociedade e a economia de "maneiras novas e mais amplas", impactando não apenas o setor corporativo, mas também as infraestruturas governamentais e esferas geopolíticas e a sociedade em geral.

Esse relatório está deixando claro que juntamente com o aumento de tentativas de ataques a organizações privadas e ataques a infraestruturas críticas e estratégicas das nações pode desencadear problemas sociais, uma vez que, os ataques podem ser direcionados aos pilares básicos de um país como o funcionamento de água, luz, comunicação, sistema financeiro, sistemas aéreos e hospitais, tornando os incidentes tecnológicos, que uma vez foram considerados extraordinários, se tornando paulatinamente mais comuns e evidentes. A preocupação está tão grande com os temas de segurança cibernética e a proteção de dados que Richard Samans, membro do conselho de administração do fórum econômico mundial, informou que será lançado um Centro Global de Segurança Cibernética com sua sede em Genebra na Suíça sendo uma organização autônoma sob supervisão o Fórum Econômico Mundial.

Em um passado recente podemos relembrar exemplos notáveis de ataques cibernéticos cujo o objeto principal era o sequestro das informações das organizações e exigiam pagamento de resgate utilizando moedas virtuais (bitcoins), exemplo, o ataque “WannaCry” que utilizou uma falha no sistema operacional Windows já identificada e com “vacina” de correção, conseguiu afetar mais de 200 mil computadores em 150 países, logo em seguida ocorreu outro ataque “NotPetya” explorando falhas do mesmo sistema operacional Windows conhecida desde 2016 também com “vacina” de correção afetando muitas outras empresas, posteriormente ocorreu o ataque “BadRabbit” . Outros exemplos de organizações que sofreram ataques cibernéticos, como a FedEx empresa de entrega, adquiriu uma outra empresa TNT que acabou sendo infectada e apontou no seu relatório financeiro do terceiro trimestre de 2017 perda de US$ 300 milhões nas receitas, também podemos relembrar que o banco nacional da Ucrânia, a fornecedora estatal de energia e o aeroporto de Kiev também foram infectados. Mais alguns exemplos de empresas que foram afetadas por ataques cibernéticos como a empresa russa de metais Evraz, a empresa de materiais de construção francesa Saint Gobain, a maior agência de publicidade do mundo WPP, a empresa de alimentos Mondelez Internacional, o banco central de Bangladesh ocorrendo o roubo de US$ 81 milhões, entre outras. Ressalto que além do impacto financeiro na qual as perdas são incalculáveis, as organizações acabam tendo grande impacto operacional e de imagem perante ao mercado.

Atualmente as organizações possuem um nível de conscientização razoável (“o mais do mesmo”) em relação aos cuidados para se prevenir de ataques cibernéticos e vírus, adquirindo ferramentas e soluções mais modernas, porém se preocupando pouco com o básico como, atualizações de patches, equipamentos com erros de configurações e controles estabelecidos poucos eficientes, sendo que, mais da metade de incidentes relacionados com segurança poderiam ser evitados com essas ações básicas discutidas deste 1967.

As mudanças tecnológicas e comportamentais estão em ritmo acelerado, os ataques cibernéticos estão intensificados, as informações sendo o alvo mais valioso para os atacantes, infraestruturas tecnológicas em processo de migração para data centers na nuvem, utilização de moedas virtuais sem rastreabilidade por instituições financeiras (antes utilizadas apenas na Deep Web) sendo comercializadas em mercados formais, demonstra que  o que era a poucos anos atrás apenas “ameaças” atualmente estão sendo vistas como oportunidades a serem exploradas e nada impede que a insegurança pública que sentimos acabe sendo sentida também no ambiente virtual.

As soluções não são simples, mas estamos vivenciando o momento histórico de ameaças cibernéticas e roubo de informações com maior frequência e mais sofisticadas e estes fatores devem ser discutidos com mais intensidade no Brasil, onde as organizações privadas necessitam aumentar e gerenciar seus investimentos em áreas e profissionais de segurança da informação com total apoio da alta gestão e agências governamentais competentes pois ainda estamos nos primeiros passos para a criação de uma política nacional de segurança cibernética.

 

Paulo Baldin

Coordenador de Auditoria Interna de Tecnologia da Informação na Natura