Cibersegurança é discutida entre especialistas no Brasil, ainda mais com a escaladas de invasões de empresas e golpes com auxílio da IA
Por Marina Harriz*
A preocupação com a escalada de golpes cibernéticos tem aumentado as discussões entre especialistas do Brasil e do mundo para frear ataques, especialmente em grandes multinacionais, e melhorar a segurança de dados e gerenciamento de crise dentro das corporações e empresas.
Em 2016, era possível ver um ataque cibernético a cada 40 segundos. Isso piorou em um cenário de cinco anos e, em 2021, um ransomware era visto a cada 11 segundos. Uma estimativa é que até 2031, ocorra um sequestro de dados a cada dois segundos, de acordo com o relatório da Netwrix 2021.
Esse dado foi apresentado durante painel em um evento de segurança em São Paulo: o Cyber Security Summit Brasil de 2024.
A segurança cibernética não deve ser isolada e precisa estar alinhada com a comunicação, área de danos e o jurídico das empresas, visando sempre ter um plano de gerenciamento de crise antecipado para conter possíveis ameaças globais, segundo Daniela Morelli, gerente executiva de segurança da informação, que esteve presente no evento em São Paulo.
“As decisões devem ser tomadas antes da crise. E, com o advento da LGPD, o jurídico e o CISO das organizações começaram a ter maior sinergia”, explica.
A estratégia bem desenhada pode auxiliar na precisão e velocidade na resposta de ataques, além de mostrar confiança na crise para acionistas, investidores e consumidores/clientes.
Porém, há diferenças nos posicionamentos adotados diante de ataques do Brasil em comparação a outros países. “No Brasil, não há tanta transparência de problemas cibernéticos como na América Central”, de acordo com Daniela Morelli. Em conversa exclusiva ao Newly, a gerente executiva de segurança afirmou que ainda há diferenças de regulamentação entre os países, mas uma grande diferença cultural, em que o Brasil ainda se receia em abrir questões de vulnerabilidade e risco.
Ataques x acesso privilegiado x mão de obra qualificada
Atualmente, os backups de empresas são os alvos mais recorrentes de ataques, em que os hackers criptografam dados e solicitam resgate financeiro milionário, muitas vezes, para liberá-los novamente. Mas ainda há muitos casos de Brute Force, que consiste em detectar senhas do sistema na tentativa e erro, ou Credential Stuffing, método automatizado para encontrar os acessos e nomes de usuários.
Na visão de Diego Miyamoto, técnico consultor de cibersegurança da ManageEngine, é essencial ter atenção ao gerenciamento de acesso privilegiado, como, por exemplo, dar permissões limitadas àquela atividade em si, a fim de manter a segurança da rede. Somado a isso, é necessário ter a preocupação de inovar nas ferramentas de segurança de alta performance e investir em treinamentos e capacitações dos funcionários.
Mesmo a cibersegurança sendo uma área que cresce e tem boas remunerações no Brasil, ainda há um déficit de 750 mil profissionais gabaritados para as funções, segundo estudo da Fortinet.
E cerca de 83% das empresas no mundo que sofreram violações de segurança no ano passado tiveram problemas maiores por não ter mão de obra qualificada, o que impacta em perdas financeiras, com prejuízos milionários.
Além da falta de profissionais especializados, o mercado enfrenta um outro problema: o burnout [ou esgotamento profissional] das pessoas que estão na linha de frente da área de segurança do setor privado. Isso acontece por times pequenos, mas também pela pressão para se resolver problemas de ataques o mais breve possível.
Com aumento e constância de ataques, Ana Claudia Ferrari, diretora de TI e especialista em cybersecurity, enfatiza a necessidade de estratégias dentro das organizações para prevenir esse problema, como planejamento pré-crise, delegação de tarefas e promoção de uma cultura que equilibre segurança e bem-estar dos funcionários.
Conectividade e ataques na sociedade civil
Até 2023, 92,5% dos domicílios tinham acesso à internet no Brasil, segundo Pesquisa Nacional por Amostra de Domicílios Contínua – PNAD Contínua. E golpes aumentam com tamanha conectividade mundial, não só em empresas, mas com a população de modo geral. Os principais ataques virtuais são phishing e golpe financeiro, ransomware, vazamento de dados, falsa central telefônica de empresas – que os criminosos se passam por órgãos oficiais – e extorsão relacionados a crimes sexuais.
As novas formas de ataques cibernéticos que ocorrem diariamente fazem com que hackers se aproveitem de tecnologias emergentes para aprimorar suas técnicas, especialmente com inteligência artificial.
“É muito nítida a migração da criminalidade tradicional para o digital. Isso porque na internet, o custo do estelionato é mais baixo e acaba apresentando mais benefícios para o criminoso”, segundo José Matias da Rocha Júnior, escrivão de polícia do Rio Grande do Sul.
E a pena do crime cibernético no Brasil é baixa ainda. Em conversa exclusiva com a delegada de polícia de crimes cibernéticos de Eldorado do Sul e Canoas, Luciane Bortoletti, além da punição branda, falta evoluir na integração do sistema das polícias no país.
“Somado a isso, falta capacitação do servidor do policial de cyber, que é muito incipiente ainda; falta a de capacitação do MP e do judiciário, que não acompanham essa migração. Além do acompanhamento da legislação para penalizar com mais rigor esses crimes”, enfatiza.
Para a sociedade civil, as recomendações para se proteger de golpes, especialmente da falsa central, é não passar nenhuma informação por telefone e desconfiar de telefonemas de empresas e bancos, já que a prática não é usual. E, por telefone ou pela internet, “ao cair em um golpe, deve registrar imediatamente uma ocorrência [pelo BO], já que a polícia trabalha com o tempo”, finaliza Luciane.
Os delegados do sul do país foram responsáveis por identificar os criminosos responsáveis pelo Golpe 0800 durante a pandemia. Uma das técnicas utilizadas para rastrear os criminosos foi a triangulação de sinais de celular.
IA e educação cibernética
A engenharia social dos golpes e ataques em escalada tem ficado cada vez mais sofisticada e complexa, ainda mais com a aplicação da inteligência artificial. De acordo com Rafael Narezzi, especialista em cibersegurança e chairman da conferência global Cyber Security Summit Brasil, ainda precisamos avançar na educação relacionada ao digital.
“A educação cibernética, em alguns países, já está se desenvolvendo, como aqui no Brasil. Porém, as tecnologias avançaram, mas as proteções não acompanharam na mesma velocidade que era necessário. E hoje vivemos uma economia digital [mundial] e se você não está educado para essa realidade, tudo fica difícil”.
A edição de 2024 do Cyber Security Summit Brasil aconteceu nos dias 28 e 29 de outubro, no Hotel Grand Hyatt, em São Paulo e é considerado referência em conteúdo exclusivo e networking para o setor de cibersegurança, atraindo, anualmente, uma audiência composta por CEOs, CIOs, CISOs, CTOs, CROs, representantes governamentais, diretores, gerentes, analistas de TI, especialistas em segurança e tecnologia.
*Marina Harriz é jornalista e passou por veículos como TV Jovem Pan News, TV Record e TV Cultura.