Todos os anos, os pesquisadores, cientistas e engenheiros da Forcepoint criam um conjunto de previsões para o ano seguinte, como nas mudanças no cenário de ameaças, as tendências na adoção de tecnologia, os próximos fatores regulatórios e de conformidade, e outras influências que podem afetar o ambiente de negócios atual.
Em novembro de 2018, a Forcepoint anunciou suas Previsões de Cibersegurança para 2019 e, agora nesta metade do ano, faz uma revisão das as questões-chave.
O tema predominante do relatório Previsões de Cibersegurança para 2019 foi a confiança. A confiança sustenta os relacionamentos; as relações entre empregadores e funcionários, entre empresas e clientes, negócios e investidores, e toda a cadeia de suprimentos. Os ciberataques (sejam maliciosos ou acidentais) podem corroer a confiança e resultar em perda de receita, de valor de mercado, de reputação e de clientes, além de gerar pesadas multas regulamentares (estimativas mostram em torno de 100 multas relacionadas à GDPR e 60.000 relatórios de violações em toda a Europa). Não é nenhuma surpresa que a Pesquisa Global sobre a Percepção de Riscos de 2019 do Fórum Econômico Mundial tenha listado os ciberataques no quadrante de alto impacto e alta probabilidade.
As previsões para 2019 refletiram a confiança que todos depositam em pessoas, processos e na tecnologia. O que se segue é um resumo dos principais problemas que marcaram 2019 até agora.
- Previsão Forcepoint: "As classificações de confiança da segurança em toda a indústria surgirão à medida que as organizações buscam garantias de que parceiros e cadeias de suprimentos são confiáveis"
Como consumidores, estamos acostumados a verificar nossa pontuação de crédito, que as instituições financeiras utilizam para determinar se estamos aptos para utilizar cartões de crédito, realizar empréstimos e hipotecas. Isso permite que essas instituições gerenciem riscos e prevejam o resultado – neste caso, se vamos ou não pagar pelo empréstimo. No domínio da cibersegurança, existem agora formas de adquirir classificações/pontuações de segurança derivadas de inúmeros fatores para indicar o quão segura uma organização está no momento e a probabilidade de que proteja seus dados com sucesso. Qualquer empresa veria sua pontuação impactada (negativamente) após uma violação.
Em 2019 observamos a adoção dessas classificações na esfera governamental. Em janeiro deste ano, o governo britânico classificou as medidas de cibersegurança dos conselhos do Reino Unido em uma escala RAG. Em outubro de 2018, a Câmara de Comércio dos EUA lançou a primeira avaliação nacional de cibersegurança, denominada "Assessment of Business Cibersecurity" (ABC). Ambos os sistemas visam identificar áreas de risco e melhorias potenciais.
Em maio de 2019, a Equifax viu sua perspectiva de crescimento rebaixada – foi a primeira vez que a perspectiva de uma empresa foi formalmente rebaixada devido a questões de cibersegurança. A confiança na postura de cibersegurança de uma organização continuará a influenciar de forma significativa o mercado de ações.
Para ajudar a aumentar a fé na confiança depositada nos provedores de nuvem, o Registry STAR da Cloud Security Alliance tornou-se uma fonte fundamental para a avaliação de seus provedores de nuvem.
- Previsão Forcepoint: "Os atacantes irão derrubar dispositivos de Internet das Coisas Industrial (IIoT) usando vulnerabilidades presentes na infraestrutura de nuvem e hardware."
A previsão surgiu a partir de uma evolução de previsões anteriores: nas previsões para 2015, a Forcepoint citou ataques contra dispositivos conectados; nas previsões para 2018 foram citados os ataques na comunicação entre dispositivos; e para 2019, os ataques na infraestrutura de nuvem que sustenta os sistemas de IIoT.
Em março deste ano, senadores americanos apresentaram o "IoT Cybersecurity Improvement Act of 2019" ao Senado e à Câmara dos Deputados dos EUA. O objetivo declarado do Ato é "utilizar o poder de compra do governo federal para incentivar o aumento da cibersegurança em dispositivos de Internet das Coisas e para outros fins". Iniciativas como essa podem ajudar a promover a cibersegurança e incentivar os fabricantes a construir o foco em "security-by-design" para melhorar seus sistemas, independentemente de serem implementados em um ambiente de consumidor, industrial ou CI.
O projeto Top 10 for 2018 OWASP Internet of Things (IoT) foi lançado em dezembro de 2018, como uma atualização de sua lista de 2014. A OWASP fornece uma lista consolidada de riscos, ameaças e vulnerabilidades aplicáveis a desenvolvedores, empresas e consumidores. Ela posicionou a questão "senhas fracas, adivinháveis ou padrões" como o principal problema que afeta os sistemas de IoT. Muitos dos problemas listados são aplicáveis ao espaço de ICS/IIoT, especialmente quando dispositivos existentes mal protegidos são introduzidos em ambientes de IIOT. O terceiro lugar na lista Top 10 relaciona-se mais estreitamente com nossa previsão, com os outros 9 itens destacando a facilidade de um atacante invadir estes sistemas.
O primeiro semestre de 2019 mostrou a variedade de vulnerabilidades nos sistemas em nuvem e o desejo do governo de melhorar a situação da IOT especificamente.
- Previsão Forcepoint: "Os hackers vão quebrar os softwares de reconhecimento facial do usuário final e as organizações responderão com sistemas baseados em comportamento."
O uso da biometria para autenticação não é novidade, mas agora está se popularizando em fabricantes de telefonia e bancos, entre outros. A previsão surgiu no início do uso da varredura dos recursos faciais, com o objetivo de evitar que atacantes acessem e passem direto pelos sistemas de autenticação, resultando no acesso a dados críticos.
Em 2019 as tecnologias de reconhecimento facial enfrentam grandes desafios relacionados à privacidade, com o maior exemplo em San Francisco, CA, EUA, proibindo o uso do reconhecimento facial em departamentos governamentais, além do caso britânico que desafia o uso da tecnologia por agentes da lei. No entanto, com a atenção (indesejada) recente em torno dos sistemas de reconhecimento de voz e bases de dados de inteligência biométrica nacional, continuaremos a observar a evolução nesta área. A previsão essencialmente coloca a questão: se os métodos de identificação e autenticação podem ser abusivos, o que podemos fazer?
- Previsão Forcepoint:: "Não existe IA real em cibersegurança, nem qualquer probabilidade de que se desenvolva em 2019."
A previsão pode ter sido um pouco polêmica, mas decorre da compreensão em torno da adoção dos subcampos da IA no domínio da cibersegurança. A IA "Geral", em seu sentido mais verdadeiro, ainda tem de ser desenvolvida dentro de qualquer indústria, mas a tecnologia de Machine Learning (ML) e os algoritmos suportados por especialistas humanos definitivamente já estão disponíveis. Consulte o Índice de IA de Stanford para entender melhor a adoção global dessas tecnologias.
As aquisições e IPOs de fornecedores de cibersegurança em 2019 que utilizam IA/ML demonstram o suporte aos métodos empregados, enquanto outras indústrias estão olhando com atenção para o impacto que a IA terá em seus setores; a FDA americana propôs um framework regulamentar para softwares baseados em IA utilizados em dispositivos médicos. Em outras indústrias, vemos falhas causadas pela IA usada na correção de bugs de software e o progresso na geração automatizada de imagens de corpo inteiro através da IA.
