Enquanto as empresas buscam soluções para mitigar as vulnerabilidades decorrentes da interrupção de TI causada pelo incidente na CrowdStrike em 19 de julho de 2024, cibercriminosos estão se aproveitando da fragilidade da situação, para se passarem pela empresa através de campanhas de phishing. Mascarando-se como fontes confiáveis de suporte para ganharem acesso não autorizado às redes corporativas das empresas afetadas. O incidente demonstra a lição de que quando os sistemas são interrompidos é gerada a oportunidade perfeita para comprometimento dos dados das empresas, ficando ainda mais vulneráveis a ataques. Por essa razão, é essencial contar com diversas camadas de segurança e redundâncias, desempenhando um papel crucial para fortalecimento das barreiras de proteção da empresa, e sugiro iniciar com uma segurança robusta baseada no conceito de "Zero Trust", esse modelo de segurança em TI parte do pressuposto de que as ameaças podem surgir tanto interna quanto externamente.
A interrupção na CrowdStrike ocasionou prejuízos de cerca de US$ 500 milhões para uma companhia aérea americana, além dos impactos nos serviços de saúde, setor financeiro e mais de 8,5 milhões de PCs. O incidente serve como um lembrete de que mesmo as organizações de segurança cibernética mais sofisticadas, também possuem fragilidades, tornando-se necessária uma análise imediata das estruturas defensivas, sobretudo em setores regulamentados, onde os perigos e ameaças estão sempre mutantes.
Surge a dúvida se os setores regulamentados estão aumentando seus padrões de segurança cibernética o suficiente em um contexto em que as ameaças estão se tornando cada vez mais sofisticadas e implacáveis. Existem ainda muitas tarefas por fazer. As pequenas e médias empresas, assim como os Family Offices, onde maior parte estão frequentemente com suas defesas abaixo do mínimo necessário, não estão suprindo as necessidades mínimas. Muitos empresários (em todos os setores e tamanhos de empresas) enxergam a segurança como uma despesa ou mal necessário, o que acarreta diversos problemas, já que investir em segurança deve ser encarado como uma medida essencial para garantir o controle durante momentos de crise.
Elevar seus padrões de segurança cibernética como um caminho proativo, focado em prevenção com inteligência avançada de ameaças, análise de dados em tempo real, aprendizado de máquina e modelagem preditiva, utilizando padrões elevados de criptografia e sistemas sofisticados de controle de acesso é um caminho que não tem que ser discutido para os próximos anos e sim começar essa trajetória agora, pois muitas empresas ainda estão utilizando ou em preparação para utilizar métodos tradicionais de segurança cibernética se concentrando mais na detecção e resposta, utilizando criptografia robusta, mas menos rigorosa, e métodos de autenticação mais simples.
Elevar os padrões de segurança cibernética apresenta desafios, como altos custos, necessidade de pessoal especializado e possíveis problemas de compatibilidade com sistemas existentes torna a implementação de padrões elevados de segurança cibernética bastante difícil, e essas mudanças pode parecer não ser lógico, pois investir em estratégias cibernéticas que possam interromper a operação ou resultar em custos superiores à receita inicial. Sendo assim, é de extrema importância começar essa jornada imediatamente, introduzindo gradualmente tecnologias, controles e estratégias.
Trazendo alguns dados de exploração de vulnerabilidades ocorreu um aumento de 180% desde 2023, e em média, as organizações levam 55 dias para remediar 50% das vulnerabilidades críticas, proporcionando então tempo suficiente para que os cibercriminosos explorem essas fraquezas, roubam seus dados e mapeiam mais ações maliciosas a serem executadas, conforme o Verizon Data Breach Investigations Report de 2024.
Além disso, a exploração de vulnerabilidades não é o único método utilizado por cibercriminosos, erros humanos são responsáveis por 68% dos incidentes, incluindo colaboradores vítimas de phishing, manuseio incorreto de dados internamente e ataques de credenciais, ataques à cadeia de suprimentos também são métodos comuns.
No ano de 2024, setores regulamentados experimentaram um aumento significativo no número e custo de violações de dados, outros setores como saúde, finanças e indústria foram os mais afetados, com custos médios por violação de US$ 9,77 milhões, US$ 6,08 milhões e US$ 5,56 milhões, respectivamente, conforme o relatório anual sobre o custo de violações de dados da IBM e do Ponemon Institute. Novamente volto a trazer à tona no texto as pequenas e médias empresas e os Family offices o problema que estão envolvidos e sem a perspectiva real dos problemas e custos que estão ocorrendo.
Violações significativas no Brasil ocorrem diariamente, e os registros do governo mostram que o vazamento de dados em 2024 já é o dobro dos três anos anteriores, segundo um sistema de cibersegurança ligado ao GSI (Gabinete de Segurança Institucional da Presidência da República).
Não querendo ser pessimista, mas acredito que os cenários se tornarão ainda mais desafiadores, especialmente com o uso crescente da IA generativa para criar e-mails de phishing altamente realistas e bem elaborados, dificultando a identificação de fraudes.
Sendo o Brasil um país com grandes problemas econômicos, isso incentiva ataques intencionais por parte de colaboradores internos. Embora o investimento para elevar os padrões de segurança cibernética ofereça defesas robustas, o fator humano continua sendo uma ameaça crucial. Entendo que governos, grandes empresas e a sociedade como um todo devem apoiar na criação de mecanismos para equilibrar essa equação.
As tecnologias estão avançando rapidamente, com a IA generativa sendo usada tanto por pessoas comuns quanto por cibercriminosos, enquanto as condições econômicas se deterioram. Uma boa gestão de pessoal e investimento na educação abrangente dos usuários, colaboradores e da sociedade, com orientação contra ameaças cibernéticas em evolução, são essenciais. No fim das contas, a lição que fica é que tudo se resume a pessoas, e a maioria das violações ocorre por causa de um colaborador que não adota hábitos cibernéticos corretos, resultando em consequências drásticas que estamos vivenciando.
Finalizando, afirmo e acredito que o erro humano é a ameaça mais comum e iminente, e que a educação cibernética é a melhor maneira de enfrentar esse desafio. Mais do que nunca, é essencial garantir que os colaboradores tenham apenas as credenciais necessárias, protegidas por autenticação multifatorial, e que não sejam expostos a riscos desnecessários. Utilizar ferramentas com múltiplas camadas de segurança é fundamental para mitigar essas ameaças.
Paulo Baldin, CISO|DPO.