Por que as empresas não realizam ações preventivas contra os ataques cibernéticos? Incompetência? Negligência? Negação?
Prof. Dr. Antonio Celso Ribeiro Brasiliano, CEGRC, CIEAC, CIEIE, CPSI, CIGR, CRMA, CES, DEA, DSE, MBS
Doutor em Ciência e Engenharia da Informação e Inteligência Estratégica pela
Université Paris – Est (Marne La Vallée, Paris, França); presidente da Brasiliano INTERISK.
Maio | 2022
Executivos C-Level, líderes de segurança de TI e Cibernética deveriam priorizar as ações preventivas em vez de ficar à espera do próximo ataque. Não há justificativa, em qualquer nível de gestão, seja do Conselho de Administração, Presidente e Vice-Presidentes, diretorias executivas das mais diversas áreas de qualquer empresa, para pensar que a tarefa de cibersegurança é de responsabilidade de uma única área da empresa. É muita ingenuidade e diria até inocência. Um executivo, com uma visão míope destas, não possui competência para gerir qualquer tipo de empresa, de qualquer tamanho ou segmento de negócio.
Os números falam por si: em dezembro de 2021, o site do Ministério da Saúde foi alvo de criminosos virtuais. Mais tarde, portais dos governos do Rio Grande do Sul e do Distrito Federal foram hackeados através de malware. Situações como essas paralisam as operações do Estado, à semelhança do que ocorre com as empresas. Para citar só dois dos vários casos recentes: em março, criminosos virtuais drenaram US$ 625 milhões do tesouro do jogo e das carteiras digitais dos usuários do Axie Infinity, inviabilizando o game online. No mês anterior, as Lojas Americanas reportaram um acesso não autorizado aos seus sistemas, tornando o e-commerce indisponível por quatro dias. Segundo estimativa da corretora XP, o ataque legou às Americanas um prejuízo de R$ 250 milhões. Pergunto: como acontecem ataques desta magnitude? As empresas, públicas ou privadas, não sabiam?
Os criminosos se aproveitam de fragilidades básicas, básicas demais para acreditar. Por exemplo a Pipeline nos Estados Unidos foi invadida através de uma VPN, mediante a senha de um usuário desligado da empresa, mas ainda válida. Então surge a pergunta: onde estava a gestão de identidade? Na planilha? Como eu digo sempre, na munheca, porque a empresa não tinha orçamento? Onde estão as análises de vulnerabilidades que deveriam ser executadas trimestralmente ou mesmo bimestralmente? Onde estão os estudos de inteligência de ameaças das empresas?
É preciso entender que os estratagemas dos nossos inimigos ganharam muito fôlego, especialmente nos últimos dois anos, com a expansão do trabalho remoto. As empresas mostram suas fragilidades por não terem sensibilizado o Fator Humano, o elo mais forte e ao mesmo tempo mais fraco da corrente de segurança cibernética. Com isso, criou-se um mercado negro de sequestro de dados como um serviço – o chamado “Ransomware as a Service”. Os hackers não precisam ser mais tão especializados nem precisam estudar profundamente o seu alvo. Basta adquirir na dark web programas de malware prontos para a penetração ou até contratar os serviços de especialistas, mediante o pagamento de uma taxa de sucesso. Vejam como o crime organizado cibernético se estruturou, por culpa exclusiva de nós mesmos. Isso mesmo, culpa dos gestores de riscos cibernéticos que não “gritam” o suficiente para a sua Alta Gestão.
Vejo cotidianamente muitos clientes nossos, ao serem avaliados segundo os padrões da NIST e ISO 27001 (numa escala de 01 a 10) receberem um grau de maturidade cibernética em torno de 2,67. Essas empresas estão expostas de forma massiva, mas os executivos ditos C-Level simplesmente consideram que a consultoria ou o gestor de riscos estão “fazendo terrorismo”. Parece piada este tipo de argumento.
Tenho um cliente que recebeu uma nota inferior a esta em fevereiro de 2022 e que, até o momento, não tomou nenhuma providência. Está trabalhando no gerúndio, aprovando o orçamento. Senhores, se esta empresa vier a sofrer um ataque, com sequestro de dados e paralização de suas atividades, o prejuízo pode ser de dez a vinte vezes o orçamento planejado e ainda não aprovado. Então pergunto: o que está faltando para que os executivos acordem?
Não se pode dizer que não há ferramentas ou sistemas. Muitos dirão que o problema é a falta de pessoal especializado em cibernética. Concordo que há um “gap”, só que este “gap” não justifica a negligência e a inação dos executivos diante da necessidade de medidas preventivas.
O Brasil é considerado o 4º alvo preferido dos hackers, segundo levantamento de 2022 da consultoria alemã Roland Berger. É impossível que os executivos não tenham conhecimento desta realidade. Muitos pensam que os ataques cibernéticos são materializados mediante processos de altíssima complexidade, mas isso também não é verdadeiro.
Os ataques utilizam a mesma lógica de qualquer tipo de fraude, como podemos observar no “diamante do ataque cibernético” abaixo:
Figura 1: Brasiliano INTERISK
Do lado da empresa, podemos perceber a existência de dois vetores estratégicos: as suas vulnerabilidades (pontos fracos) e o seu perfil como alvo dos hackers, ou seja, a sua capacidade de reação. Este segundo vetor está ligado à qualidade dos recursos humanos, tanto os técnicos quanto os responsáveis pela tomada de decisão.
Temos outro exemplo na figura abaixo, onde aparecem as ameaças provindas do ambiente externo e as pressões presentes do ambiente interno. É importante ter em mente que só se pode atuar sobre as variáveis do ambiente interno, já que as que caracterizam o ambiente externo são incontroláveis.
Figura 2: Brasiliano INTERISK
Vemos assim que a falta de agilidade, a escassez orçamentária e a carência de competências formam a tríade perfeita para gerar a incompetência gerencial. Ressalto que, quando nos referimos à falta de competência, queremos dizer competência gerencial, e não apenas falta de competência técnica.
Querem saber onde as empresas colocam suas prioridades? Vejam o quadro ao abaixo!
Quadro 1: Brasiliano INTERISK
Vejam os senhores que o investimento é na resistência, não na detecção, prevenção ou na recuperação. Ou seja, apostam todas as suas fichas em sistemas de resistência. Se houver uma falha, não há um plano B. Esse é um erro estratégico, decorrente de uma visão míope do problema. Foram aqui esquecidos os consagrados princípios de Clausewitz, segundo os quais a melhor forma de defesa é o ataque. Ou seja, é preciso ter condições de detectar e montar um contra-ataque.
Apesar de todo esse conhecimento já estar disponível, o que se percebe é um aparente contrassenso: o crescimento exponencial dos investimentos, em paralelo com o crescimento também exponencial do número de ataques cibernéticos. A causa está exatamente no fato de a estratégia presentemente praticada pelos C-Level ir na contramão de tudo que se conhece, buscando estruturar somente a resistência.
Com isso, falta ao sistema uma visão de antecipação, de detecção e de prevenção que proporcionem a base para uma reação coordenada. Precisamos dos planos B, C e D. Não vamos esquecer que estamos no mundo BANI.
Correndo o risco de sermos repetitivos, ressaltamos aqui uma tríade de erros que fazem com que as empresas fiquem sempre para trás:
1. Empresas são reativas e não proativas;
2. Empresas corrigem vulnerabilidades quando já sofreram ataques;
3. Empresas revisam o design e processos de desenvolvimento por meio de checkpoints, e não pelo contexto em que estão inseridas.
Definitivamente, esse não é o caminho. Adotar uma postura reativa faz com que o trabalho de identificação e resolução de problemas por parte da equipe de segurança cibernética e de todas as outras equipes seja muito mais difícil, lento e custoso.
Tem que haver uma mudança de mentalidade, de mindset, dos executivos C-Level, para que os ataques cibernéticos diminuam de forma exponencial. Esta precisa ser uma postura top down. Se esta postura não for adotada, infelizmente não teremos sucesso na guerra contra os criminosos virtuais.