Vivemos em uma sociedade que depende totalmente da tecnologia. Na verdade, quem já nasceu neste milênio não sabe o que é o mundo sem mobilidade e sem internet. Essa geração está conectada praticamente o tempo todo, seja pelo telefone celular, tablet ou computador, além do uso de dispositivos wearable (vestíveis) e eletrodomésticos de todos os tipos que também estão conectados à rede. A quantidade de informações que essa geração produz e posta na rede aumenta exponencialmente a cada ano, aumentando também a quantidade de dados sensíveis gerados, armazenados e compartilhados. Porém, são poucos os países da América Latina que oferecem cursos de pós-graduação sobre a cibersegurança, tratando o tema como um componente integrado. O número de cursos dedicados a formar profissionais de cibersegurança é ainda menor. Por que a geração mais conectada também mostra falta de habilidades fundamentais? O problema surgiu da falha de comunicação com a geração anterior formada por não usuários de internet…
O malware mais comum
Os pais sempre dão o mesmo conselho aos filhos diariamente: Não fale com estranhos. Não abra a porta para estranhos. Não aceite doces de estranhos. Porém, eles nunca pensam em alertar as crianças sobre o equivalente digital dessas ameaças: Não fale com estranhos no Facebook nem aceite convites de pessoas que nunca encontrou ao vivo. Não abra e-mails de endereços desconhecidos. Não faça download de aplicativos gratuitos ou programas oferecidos sem que você tenha solicitado.
Na verdade, este último conselho poderia evitar que muitos se tornassem vítimas do malware mais comum na América Latina, chamado ransomware. Grande parte dos aplicativos que fornecem serviços gratuitos são usados como porta de entrada para obter informações sobre os usuários. Atualmente, os cibercriminosos deixaram de se interessar pelo roubo de dados financeiros, como contas bancárias e números de cartões de crédito (pois esses dados podem ser alterados ou substituídos), eles agora querem coletar informações que podem ser usadas para roubar identidades inteiras (que não são alteradas facilmente). Um outro crime que está se tornando cada vez mais comum é o pedido de resgate de dados pessoais. Os cibercriminosos criptografam dados em computadores ou dispositivos wearable e pedem aos donos dos dados que paguem um valor de resgate para reaver o acesso aos dados. Quanto você está disposto a pagar pelos seus contatos? E pelas fotos do aniversário do ano passado ou pelo retrato especial de um familiar querido com que fez uma viagem? A resposta é geralmente entre 20 e 50 dólares, então os cibercriminosos têm que aplicar o golpe em muitas pessoas para que tenham lucro. E fazem isso com sucesso, lucrando milhões por ano, segundo estimativas.
A criação de novos marcos regulatórios de cibersegurança e a atualização das leis atuais é um primeiro passo essencial para proteger de forma adequada as pessoas do cenário de ameaças em evolução. As políticas de cibersegurança devem ter uma aplicação holística que considere tanto o setor privado quanto o público, do setor militar ao comercial.
Leis não têm valor sem fiscalização
De cinco países da região da América Latina e Caribe, quatro não possuem planos de proteção para sua infraestrutura crítica. Mas o cibercrime não se concentra apenas nas pessoas, podendo causar um impacto global. Por exemplo, se um ataque originado no México comprometer uma organização brasileira usada para atacar a infraestrutura que fornece serviços para uma empresa colombiana que hospeda seus ativos e dados em um datacenter nos Estados Unidos, qual país deve tentar descobrir os culpados? Além disso, nem todos os países têm uma agência de fiscalização das leis ou uma equipe de resposta a incidentes específica para cibercrimes. As leis sem uma força de apoio por trás delas não produzem grandes resultados.
O mesmo exemplo que ilustra a nítida falta de órgãos de fiscalização de segurança é a frequência descontrolada de e-mails de spam e ligações de telemarketing. Os e-mails de spam geralmente oferecem descontos nas suas lojas preferidas, serviços que podem ser do seu interesse ou envolver websites que você costuma acessar. Eles são personalizados para as suas necessidades e o seu comportamento único – mas, qual é a fonte e, o mais importante, quem forneceu as informações para chegarem a essa conclusão? A resposta é que você não sabe, mas poderia (e deveria) ter o direito legal de descobrir. Se você pedir para ser removido dos informativos por e-mail ou se pedir o nome da organização que forneceu os seus dados, você provavelmente será ignorado ou receberá uma resposta geral. As pessoas têm poucas ferramentas, ou nenhuma, para se protegerem de empresas que vendem suas informações, e não existe uma agência a qual recorrer e pedir suporte jurídico.
A escassez de talentos na área de segurança pode ser tratada pelo governo, com a criação de empregos para a geração deste milênio. As agências de cibersegurança precisarão de profissionais altamente preparados, com conhecimento sobre as ameaças mais recentes e mais avançadas. As universidades terão que oferecer cursos avançados para formar a próxima geração de profissionais de cibersegurança.
Embora os governos devam promover a criação de empregos na área de cibersegurança, as universidades e os graduados em segurança de rede também devem ter o incentivo de fornecer e obter cursos avançados. Todos os responsáveis por currículos universitários devem pensar em discutir a cibersegurança de alguma forma, pois ficará cada vez mais difícil encontrar profissões que não usem tecnologias e consequentemente, que não envolvam a segurança, para chegar aos seus objetivos. Enquanto isso, os graduados estão cientes de que o cenário de ameaças é um mundo virtual em constante mudança e que malwares são criados diariamente para explorar as vulnerabilidades de programas, websites, sistemas de segurança e todas as contas hospedadas na rede. Uma graduação obtida há cinco anos é agora insuficiente se o graduado não se atualizar sobre os golpes mais recentes, novas soluções de cibersegurança, ameaças crescentes e brechas criadas pelos avanços tecnológicos. Os jovens deste milênio também precisam buscar opções e trazer mudanças para o marco legal que define cibercrime e as normas de cibersegurança. Se não tiver seminários do governo ou cursos de pós-graduação disponíveis, então eventos públicos promovidos por empresas de cibersegurança seriam a melhor opção para aprender com os especialistas do setor.
Cada profissão é afetada pela tecnologia. Os advogados têm conversas confidenciais com seus clientes por telefone ou e-mail. Os médicos têm acesso a prontuários virtuais de pacientes que podem ser roubados para chantageá-los. Todos nós temos a responsabilidade de nos informarmos sobre as ameaças mais recentes, e a falta de profissionais de cibersegurança deve ser uma preocupação de todos. Eles protegem o futuro. Caso contrário, carros sem motorista, cidades inteligentes, dispositivos wearable e outros avanços tecnológicos criados para facilitar nossas vidas serão usados para fins maliciosos. E esse não é o futuro que queremos. Queremos e precisamos de um futuro brilhante, em que a tecnologia permita que todos vivam melhor e aproveitem a vida ao máximo. A cibersegurança possibilita essa realidade. Vamos pensar nisso!
Martin Hoz, vice-presidente de engenharia da Fortinet para América Latina e Caribe.