Nos primeiros oito meses deste ano, houve uma média de 4 mil ataques de ransomware por dia na América Latina, segundo dados da Kaspersky. Levando-se em conta que ramsomware é apenas um entre os principais tipos de ataques, é possível ter uma ideia do tamanho atual do "mercado" criminoso de ciberataques. Quanto a 2023, será que a tendência de queda verificada pelo mesmo levantamento no Brasil, com relação a 2021, seguirá? O que é possível afirmar, com certeza, é que os ataques cibernéticos, infelizmente, vão continuar no próximo ano.
Considero que a problemática da segurança cibernética só pode ser solucionada pelas organizações por meio de uma atuação conjunta dos C-Levels, áreas de Finanças e de Tecnologia, para garantir desdobramentos positivos ao longo do tempo envolvendo a proteção cibernética. A seguir, é preciso bastante trabalho estratégico e operacional da área de Tecnologia da Informação (TI). Sabemos que os criminosos visam novos níveis de sofisticação. Por isso, seus meios estão em constante transformação, exigindo atenção por parte de qualquer organização.
Os cibercrimes afetam companhias de qualquer porte, sem distinção. De acordo com estudo da IBM Security X-Force, no ano passado os 10 tipos de organizações mais afetadas foram, nesta ordem: indústrias, financeiras/ seguradoras, serviços profissionais/ empresariais, empresas de energia, varejistas/ atacadistas, empresas da Saúde, empresas do Transporte, Governo, empresas na área da Educação empresas da Mídia.
Repensando as abordagens de cibersegurança
De acordo com a Global Digital Trust Insights Survey 2022, da PwC, para 77% dos executivos brasileiros "as organizações se tornaram complexas demais para serem protegidas". De forma similar, esta resposta foi dada por 75% dos executivos de todo o mundo. Apesar desta percepção generalizada, noto que as empresas estão mais resilientes e sabem que há muito a ser feito para obter a devida proteção.
Investimentos corretos versus erros recorrentes
Os recursos revertidos para a cibersegurança não podem ser desperdiçados devido à complexidade das organizações. Vejo que há empresas que investem em produtos sem considerar a segurança. Outro erro é não garantir que a área de TI tenha um papel estratégico na organização. Há que não conheça nem mesmo todos os seus ativos de TI. Com isso, há menos produtividade e maior propensão à ataques. Outro erro é a separação dos riscos corporativos da área de Tecnologia. É preciso estar preparado e ter respostas para situações de crise.
Risco de morte para as PMEs
Relatório da BlackBerry estima que, em 2022, 70% das pequenas e médias empresas PMEs sofreram ciberataques. Me chamou a atenção que 60% delas fecharam nos seis meses seguintes ao ataque, e que elas receberam, em média, de 11 a 13 ameaças por dispositivo. É um número bem maior do que nas grandes empresas.
Lista de ataques
O mesmo estudo descreve uma lista de ataques comuns e seus alvos principais:
Cobalt Strike – A princípio uma ferramenta para aumentar a segurança e ajudar a identificar falhas nos sistemas, hoje é usada como arma maliciosa. Agentes de ameaças usam provedores de nuvem legítimos para hospedagem, permitindo que operadores de malware ocultem seu tráfego dos sistemas de monitoramento. Assim, dificulta-se um bloqueio automatizado.
Ataques à cadeia de suprimentos – Ao atacar um sistema de gestão, por exemplo, a ideia é acessar os clientes. É preciso medidas que reduzam os riscos relacionados a fornecedores ou terceiros, inclusive os de soluções tecnológicas. Essas ameaças ocorrem com os mais diferentes serviços, inclusive os fornecidos por nuvem.
Ransomware – Este é o mais famoso por ter sido muito usado durante a pandemia da Covid-19. Trata-se de uma espécie de malware que entra nos sistemas a fim de sequestrar dados e exigir pagamento de resgate. Uma quantidade enorme de empresas foram vítimas deste tipo de ataque nos últimos anos, gerando prejuízos financeiros e de reputação.
Infostealer – Usado para a coleta de informações confidenciais, como senhas e dados bancários, esta ameaça chega via phishing, por meio de e-mails.
Para se prevenir, o desenvolvimento do planejamento empresarial para 2023 tem a ver com orçamento, mas não só com isso. Ele passa por uma base sólida de confiança de dados, análise dos riscos cibernéticos em tempo real e levantamento dos riscos corporativos gerais. Um estudo claro irá mostrar o que funciona para um determinado modelo de negócios e onde é possível simplificá-lo, tornando-o mais seguro e eficaz.
Walter Ezequiel Troncoso, CEO da Inove Solutions.