A sensação de que o mundo corporativo está sempre um passo atrás no que se refere à segurança cibernética não chega a ser uma novidade. Apesar disso, uma série de acontecimentos está fazendo piscar com maior intensidade a luz amarela de atenção em 2022 com a perspectiva de que muitas empresas estão gastando verdadeiras fortunas com soluções ineficazes de proteção.
Este desperdício de dinheiro e a consequente manutenção da exposição ao crime têm como causas duas situações que somadas impedem a elevação dos níveis de segurança aos padrões necessários ao enfrentamento dos desafios futuros.
Por um lado, está em curso uma verdadeira revolução 'Open' combinada com os efeitos da pandemia. Por outro lado, enquanto a inteligência artificial ainda engatinha em seu uso por parte da defesa, ela já é amplamente utilizada pelos fraudadores para aprimorar seus malwares e métodos de invasão.
Só para ter uma ideia da distância que existe atualmente na eficiência dos ataques em relação à defesa, basta lembrar que segundo estudos, uma organização leva em média 287 dias para identificar e conter uma violação de dados em 2021. Desse total, 212 foi o número médio de dias que a companhia levou apenas para identificação do problema.
Parece óbvio que algo não está certo.
A revolução digital, que trouxe tantos benefícios para a sociedade, também acarretou um efeito colateral. A filosofia de que vale tudo pela inovação cristalizou o conceito de que é correto fazer tudo rápido e de qualquer jeito com o compromisso de que os erros seriam corrigidos depois. Ocorre que esta necessidade de correção agora precisa ser colocada em prática em um verdadeiro turbilhão de situações.
Só para citar algumas, basta olhar para o Open Banking, Open Finance, Open Insurance. Já se fala também em Open Health e certamente é questão de tempo para que se chegue à conclusão de que, na verdade, o tempo agora é de Open Tudo.
Neste sentido, as APIs se tornaram o core do open, levando a um crescimento exponencial dos ataques a este tipo de tecnologia. Só para ter uma ideia, somente no mês de maio, os participantes do Open Banking no Brasil registraram 317,3 milhões de interações bem sucedidas por meio de APIs. No mês anterior haviam sido 233.2 milhões de acordo com dados do portal Dashboard Open Banking Brasil que vem registrando aumentos mês a mês nestes volumes.
Não à toa, o Gartner afirma que as APIs serão o principal vetor de ataques neste ano. Nunca é demais lembrar que as APIs estão sempre muito próximas aos dados.
Outros importantes fatores que jogam contra a robustez das defesas são o home office e o trabalho híbrido. Afinal, com todo mundo trabalhando de qualquer lugar, com devices próprios e quase sempre sem nenhuma preparação, seria natural que surgissem muitos ataques RDP.
Até a Lei Geral de Proteção de Dados (LGPD), que foi criada para reforçar conceitos como privacidade e segurança, acabou se transformando, de uma certa maneira, em um fator de preocupação uma vez que gerou mais uma forma de monetização do crime. Isto ocorreu devido ao fato de que agora, um cyber criminoso consegue extorquir corporações porque sabe quanto custa uma violação frente a lei da LGPD. A "dupla extorsão" é algo que está em prática, e se caracteriza por um processo no qual o criminoso ameaça primeiramente pelo "sequestro" dos dados, impedindo o acesso da empresa aos arquivos do computador e, num segundo momento ele pede um resgate para liberá-los.
Para não ficar nas mãos deste tipo de criminoso está ocorrendo uma corrida para tratar o assunto que esbarra no fato de que faltam especialistas verdadeiramente capacitados no mercado, o que tem permitido a muitos profissionais e empresas com baixo conhecimento ocupar posições estratégicas fundamentais na busca das empresas pela conformidade com as melhores práticas em termos de proteção e privacidade de dados.
Seja como for, a verdade é que não adianta nadar contra a maré.
A revolução Open Tudo, o trabalho híbrido, a predominância das APIs, a migração para a nuvem e muitas outras tendências 'vulnerabilizantes' do ponto de vista da segurança seguirão seus cursos até desembocarem em novas revoluções.
Precisamos fazer nossa lição de casa…"
Mas para não gastarem recursos financeiros com soluções ineficazes nestas condições, as empresas precisam urgentemente repensar suas estratégias e colocar a análise comportamental com AI como prioridade na definição de suas novas linhas de defesa.
Só assim será possível ultrapassar os criminosos e estar sempre um passo à frente deles para aproveitar com segurança todo o potencial disruptivo da Transformação Digital.
Pedro Henrique Garcia, diretor da Datanary Cyber Intelligence.
