Pensar forada Caixa:
Cybersecurity by Design
Prof. Dr. Antonio Celso Ribeiro Brasiliano, CIEIE, CPSI, CIGR, CRMA, CES, DEA, DSE, MBS
Doutor em Ciência e Engenharia da Informação e Inteligência Estratégica pela
Université Paris – Est (Marne La Vallée, Paris, França); presidente da Brasiliano INTERISK.
Foi descoberto, nestes tempos de pandemia do COVID-19 que os cibercriminosos vem utilizando uma nova tática, a dupla extorsão, através de ransomware. Eles atuam através de uma etapa extra: antes de criptografar a base de dados das vítimas, eles conseguem extrair uma grande quantidade de informações confidenciais, para ameaçá-las, com a publicação dessas informações, a menos que seja pago um resgate. Para demonstrar que a ameaça é séria, os hackers filtram uma pequena parte da informação crítica na Dark Web, de modo a aumentar o nível de intimidação caso o resgate não seja pago.
Riscos Cibernéticos
A natureza digital das tecnologias da 4a Revolução Industrial, 4IR, as tornam intrinsecamente vulneráveis aos ciberataques. Estes podem assumir uma série de formas – do roubo de dados e do ransomware, ao assalto de sistemas com consequências potencialmente prejudiciais em larga escala. Entretanto, utilizar os princípios da “segurança por design” para integrar os recursos da cibersegurança em novos produtos passa a ser uma das soluções holísticas para inserir produtos rapidamente no mercado.
Os ciberataques contra as empresas de qualquer segmento, nesta pandemia de COVID-19, passaram a ser um risco estratégico, classificado como o quinto principal risco de 2020, segundo o Relatório de Riscos Globais, do Fórum Mundial, edição 2020. Os ataques Cibernéticos tornaram-se o mais novos “atores normais” de setores, como energia, saúde, educação e transporte. Tais ataques já afetaram cidades inteiras. Os setores público e privado, juntos, estão em risco de se tornarem reféns.
As entidades do cibercrime organizado estão juntando forças, e estima-se que a sua probabilidade de detecção e de acusação sejam tão baixas quanto 0,05% nos Estados Unidos.
Dados Fragilizados e Vulneráveis
As tecnologias da 4a Revolução Industrial, 4IR, funcionam com dados, tornando a privacidade um grande desafio. Os dispositivos da IoT coletam e compartilham dados que são potencialmente considerados sensíveis para as pessoas, as instituições e os estados, da identificação pessoal e dos registros médicos à informação de segurança nacional. O mercado de intermediação de dados – agregar, copiar, buscar e vender dados para propósitos comerciais – vale uma estimativa de US$200 bilhões por ano. O roubo de dados pode permitir a manipulação do comportamento individual e coletivo, levando ao prejuízo físico e psicológico.
A Inteligência Artificial - IA, Computação Quântica, Computação na Nuvem, Quinta Geração – 5G, todas estas novas tecnologias integradas e utilizadas para multiplicar a produtividade, arriscam tornar obsoleta a maioria dos nossos sistemas de infraestrutura crítica e de segurança de dados, incluindo as redes militares, o e-mail e as redes elétricas.
Ainda mais crítico, as políticas nacionais e internacionais não estão acompanhando os avanços tecnológicos. A proliferação das normas as torna mais difíceis de convergirem em uma única arquitetura de governança global mais completa, inclusiva e ágil para abordar os problemas de segurança interligados e dinâmicos levantados pela quarta revolução industrial.
A “era da interdependência digital” beneficiará todas as sociedades apenas se os riscos de longo alcance geopolíticos, econômicos e sociais que ela puder trazer forem geridos de uma forma coordenada e inclusiva. A perturbação atual do sistema multilateral deixa o desenvolvimento de tal framework mais desafiador.
Brasil Alvo Fácil para Ataques Cibernéticos
Uma novidade é que nos últimos anos o cibercrime no Brasil cresceu muito e o país passou a ser considerado um dos novos centros de cibercrime mundial, juntamente com a Índia, Coreia do Norte e Vietnã. O Brasil já é o alvo número um e a principal fonte de ataques na América Latina. O país é a segunda principal fonte de ataques cibernéticos e o terceiro alvo mais afetado. 54% dos ataques cibernéticos relatados no Brasil são originários do próprio país. O país tem um ecossistema de cibercrime um tanto diferente do resto do mundo. Existe uma comunidade bem desenvolvida de hackers brasileiros e cursos de implementação de malware são vendidos abertamente online. Por aqui, a modalidade mais comum é o crime financeiro, vitimando principalmente os bancos e as instituições financeiras.
Entre os fatores que fazem o país se destacar neste mercado estão a rápida evolução das tecnologias que possibilitam sofisticação dos ataques e a monetização mais fácil, o número crescente de novos usuários on-line, sendo que na maioria das vezes este usuário tem pouco conhecimento sobre cibersegurança, e a facilidade de realizar ataques com o crescimento do “cibercrime as a service”, já que uma pessoa mal intencionada consegue comprar kits para a execução de malwares na Dark web sem precisar ter conhecimento técnico para desenvolver um ataque.
Só para que tenhamos uma ideia, nesta pandemia de COVID-19 no Brasil, golpes virtuais dispararam durante o isolamento social. Busca por informações pessoais e bancárias de brasileiros na Dark web aumentou 108% entre março e maio de 2020. Com o isolamento e o comércio eletrônico, tentativas de fraudes virtuais cresceram, as buscas diárias alcançaram um número estimado em torno de 19 mihões em comparação a 9 milhões ao mesmo período Pré-Covid. Já o phishing, que usa e-mail ou SMS para roubar dados, aumentou 70%, segundo a FEBRABAN – Federação Brasileira de Bancos. Neste caso os hackers enviam mensagens, geralmente um SMS, para chamar a atenção dos usuários, que permitem sem saber, ao clicar num link, a captura das informações. Boa parte das informações usam palavras atuais como COVID-19 e auxílio. Utilizam ainda e engenharia social, fazendo com que os usuários passem as informações necessárias. Os hackers sabem que é difícil transpor as barreiras de segurança, por esta razão focam no elo mais fraco da corrente, o elemento humano.
Para tentar fechar esta brecha é que surgiu a metodologia Cybersecurity By Design.
A Metodologia da Cybersecurity by Design
O Security by Design é uma nova abordagem à segurança cibernética que se baseia no pensamento de risco desde o início, permitindo uma inovação holística com maior eficácia.
Atualmente, a maioria das empresas sabem que devem adotar novas tecnologias e inovar continuamente para permanecer competitiva e relevante. No entanto, na pressa de modernizar seus sistemas e operações, eles introduzem múltiplas vulnerabilidades em seus negócios e se expõem a um número crescente de riscos.
Enquanto isso, os cibercriminosos sempre estão prontos para explorar esses pontos fracos, com acesso praticamente ilimitado a uma infinidade de softwares e serviços a apenas um clique de distância. Esses atores não se concentram mais no roubo de dados na visão da monetização, como costumavam fazer antes. Houve um grande aumento de ataques de motivação política, muitas vezes até no nível nacional. Também testemunhamos o surgimento do ‘hacktivismo’ e do ciberterrorismo como grandes ameaças à segurança cibernética em todo o mundo. Qualquer pessoa com ressentimento, um argumento a fazer ou simplesmente um desejo de causar danos pode, hoje em dia praticar uma chantagem.
As consequências para organizações e instituições podem ser catastróficas e até ameaçar sua própria sobrevivência.
O resultado mais óbvio dos ataques cibernéticos é a perda financeira, seja como resultado de uma fraude, sendo forçada a pagar resgates, sujeita a multas ou por falta de receita e custos de oportunidade. Estima-se que as empresas americanas tenham perdido, em 2019, cerca de US$ 654 bilhões em ataques cibernéticos.
No entanto, as empresas privadas não são mais os únicos alvos dos hackers. Uma parte crescente das infraestruturas críticas administradas pelos países modernos, são gerenciadas on-line, interconectadas e repletas das mesmas vulnerabilidades das empresas privadas. Os ataques a esses sistemas têm o poder de perturbar regiões e países inteiros, causar um caos incalculável e até resultar em danos físicos reais aos seus cidadãos. Em 2016, os hackers conseguiram desligar a rede elétrica de uma região inteira da Ucrânia, deixando 230.000 pessoas sem eletricidade por horas.
O cibercrime e o hacking podem ter um impacto material em escala social, em particular através da disseminação voluntária da desinformação. A disseminação de notícias falsas durante eventos políticos cruciais na história recente mostrou que, mesmo por meio de canais e conteúdos pouco confiáveis, muitas vezes mal construídos, a disseminação de informações falsas pode gerar graves consequências. Esses efeitos podem se estender ainda mais quando a desinformação é espalhada por canais legítimos. Quando, em 2013, a conta do Twitter da Associated Press foi hackeada para publicar uma manchete de última hora sobre um ataque a bomba na Casa Branca ferindo o presidente Barack Obama, US$ 136 bilhões em valor de mercado de ações foram varridos do Dow Jones quase que instantaneamente.
Em última análise, o efeito mais prejudicial e duradouro destes incidentes, particularmente quando não são tratados e mitigados rapidamente, é a perda de confiança entre as pessoas e as organizações ou instituições de que dependem.
As partes interessadas, funcionários, terceiros e consumidores, por um lado, contribuintes e eleitores, por outro; todos esperam um desempenho consistente e confiável, bem como a salvaguarda da sua própria segurança e proteção, tanto em linha como fora de linha. Quando a confidencialidade, integridade ou disponibilidade dos dados são comprometidas, ou produtos e serviços deixam de funcionar como esperado, a confiança construída ao longo dos anos pode ser perdida em um dia.
As empresas públicas e privadas estão lutando para manter uma função de segurança cibernética clara, coesa e eficiente.
Muitas instituições hoje em dia adotam uma abordagem meramente reativa à cybersecurity, tomando medidas somente após um ataque ter ocorrido, uma falha ter sido encontrada, multas incorridas, ou legislação aprovada.
Pesquisas realizadas mundialmente, entre elas pela EY, em seu Relatório “Global Information Security Survey 2020”, com quase 1.300 líderes de segurança cibernética, revela que 65% das empresas só consideram a segurança cibernética depois que já é tarde demais. Ou seja, as empresas ainda são reativas. Há uma clara tendência para a adaptação de ferramentas de segurança em torno de sistemas existentes, simplesmente marcando itens nas listas de verificação de conformidade, em vez de construir segurança em novos produtos e serviços com base em prospectivas de cenários de ataques cibernéticos.
Essa mentalidade de “check list” ou em português lista de verificação, não é apenas ineficiente, mas também está na raiz de vários problemas que dificultam o papel e a eficácia da segurança cibernética. Temos dois grandes problemas estratégicos:
1) Fato de que os CISOs e suas equipes de segurança são percebidas como obstáculos nos negócios das empresas, pois há uma necessidade premente de inovação em tempo real, e o pessoal de cybersecurity sempre coloca obstáculo, não assumem riscos, junto com a área de negócio para que a empresa possa sobreviver. Resultado: as áreas de negócio assumem o risco e fazem sem consultar os responsáveis pela cybersecurity;
2) Essa mentalidade deu origem a um mercado de segurança extremamente fragmentado e complexo, composto por muitos fornecedores competindo por gastos com segurança e não por prevenir e mitigar riscos cibernéticos. Esse contexto tornou muito complicado e difícil para as organizações manter uma função de cybersecurity clara e eficaz. Há uma mistura de funções e muita gente palpitando na hora de opinar e decidir.
À medida que os conselhos e os executivos nível C começaram a compreender a importância da função de cybersecurity, começaram a ver a clara necessidade de uma nova abordagem que lhes permita perseguir a inovação com confiança, minimizando e gerindo os muitos riscos colocados pela cibercriminalidade.
A segurança como um pensamento reativo, não serve mais, é passado! Não é mais suficiente para proteger eficazmente as operações e manter a confiança em todos os níveis da instituição.
As equipes de cybersecurity necessitam de uma nova abordagem: uma abordagem proativa, pragmática e estratégica que
considera o risco e a segurança desde o início de qualquer nova iniciativa, e alimenta a confiança em cada etapa. Isto é Cybersecurity by Design.
Em vez de evitar riscos, a Cybersecurity by Design visa permitir a confiança em sistemas, projetos e dados, para que as organizações possam correr mais riscos, liderar mudanças transformacionais e inovar com confiança.
No campo em constante crescimento da Inteligência Artificial (IA), por exemplo, a necessidade de tal abordagem está se tornando cada dia mais clara. As duas formas mais comuns de Machine Learning (ML) que compõem este campo – sem supervisão e supervisão – são alvos privilegiados para a subversão. Os resultados produzidos por estes métodos dependem naturalmente dos algoritmos que fornecem a vida aos sistemas. No entanto, mesmo os algoritmos de última geração levarão a resultados corrompidos se os dados que os alimentaram forem manipulados. Atualmente, não é prestada atenção suficiente à proteção da integridade dos dados que alimentam os sistemas de ML. Ou seja, não prestam atenção no coração dos produtos e serviços comuns. Os hackers, sabedores disto, passam a atacar os sistemas adicionando, excluindo ou alterando conjuntos de dados subjacentes. A maioria dos sistemas digitais existentes hoje já correm riscos de tais manipulações.
No entanto, à medida que a IA expande, as decisões automatizadas aumentam e consequentemente os riscos também se expandem. Por exemplo, sistemas de tráfego aéreo programados para ajustar automaticamente a velocidade ou altitude da aeronave com base em dados potencialmente adulterados – ou software ML projetado para detectar problemas médicos, onde dados corrompidos levam os algoritmos a ignorar sinais de câncer. Tais resultados profundamente indesejáveis só podem ser evitados pela implementação de protocolos adequados de gestão de dados, identidade e acesso no núcleo dos sistemas de IA.
Se isto não for pensado desde o início, pensar em uma abordagem baseada em riscos desde o início do projeto, a vulnerabilidade ficará aberta para que o hacker possa entrar. Nada vai adiantar possuir sistemas que possam deter o invasor, se este possui a chave da porta dos fundos da fortaleza. A Cybersecurity by Design é uma abordagem baseada em riscos, onde em cada passo dado, analisa a vulnerabilidade e com esta visão há tomada de decisão sobre a tolerância ao risco. É uma mudança de postura da área da segurança cibernética, pois ela passa a apoiar o business da empresa, assumindo riscos junto com o negócio. Os fornecedores passam a serem mais seletivos nas sugestões de ferramentas e sistemas, pois todas elas estarão baseadas nos riscos de ataques cibernéticos, focadas nas vulnerabilidades específicas daquela organização.
Sem esta abordagem inovadora de pensamento, a Cybersecurity dá um salto qualitativo, pois passa a pensar como um hacker, conhecendo profundamente a inteligência das ameaças. Este é o caminho que temos para prevenir e mitigar os riscos de ataques cibernéticos. Pensarmos fora da caixa!