CIBERATAQUE: cada vez mais potencializado pela interoperabilidade e integração IT e OT.

Sua primeira reação pode ser negar, mas todos têm medo da mudança, de uma forma ou de outra. É da natureza humana. A busca pelo conforto, pelo porto seguro, pela previsibilidade parece estar embutida no consciente coletivo. É possível que essa cultura tenha sido carregada por gerações. Talvez até já faça parte do subconsciente ou, quem sabe, exista um fator genético responsável que vem sendo carregado ao longo do tempo.

Qualquer que seja a explicação, todos à essa altura do campeonato deveriam ter motivos de sobra para temer o ciberataque. O cibercrime é o principal vetor de prejuízos globais, só perdendo para o tráfico de drogas e armas, mas o mundo parece ainda não enxergar ou simplesmente segue negando a existência do ‘lobo mau’. É relativamente fácil chegar à essa conclusão sem ter, necessariamente, que conhecer cada geografia, indústria, companhia ou as especificidades de cada conselho de administração. Basta acompanhar a ordem de investimentos realizados em segurança da informação comparados com a receita ou mesmo com o parâmetro de investimento em tecnologia da informação, combinado ainda com o trinômio hierarquia-responsabilidade-escopo associado ao Chief Information Security Officer.

Não é apenas uma questão quantitativa, mas qualitativa.

Em todo mundo e considerando todas as indústrias, as empresas investem em média 3,3% de toda a sua receita em tecnologia da informação. Já os orçamentos de segurança da informação acabam associados aos orçamentos de TI e representam algo entre 2% a 5% desse orçamento. Há pouco mais de uma década esses parâmetros de referência eram vistos como indicadores saudáveis e compatíveis com o grau de adoção tecnológica, mas o contexto mudou, novos vetores de transformação foram introduzidos e a equação que procurava equilibrar a balança do risco precisa mudar com urgência.

O problema atual é fruto do múltiplo descasamento cascateado de parâmetros.

Dobrar a adoção de ativos de tecnologia que suportam o negócio não apenas dobram os riscos e, portanto, não passam a demandar apenas o dobro de investimentos em segurança da informação. Essa relação não é linear e os executivos precisam entender isso. Não é apenas uma questão quantitativa, mas qualitativa.

Uma vez que o negócio aumenta a dependência de seus processos críticos em relação aos ativos de tecnologia da informação, e estes, por sua vez, passam a ser alvos de ameaças mais sofisticadas, organizadas e extremamente motivadas pela probabilidade de ganho financeiro, temos o efeito cascata e exponencial do risco. O problema atual é fruto do múltiplo descasamento cascateado de parâmetros, onde o negócio e seus executivos não tem claramente o entendimento do apetite ao risco; onde há um entusiasmo exacerbado pela adoção de tecnologia sem compreender seus impactos; onde não há uma compreensão do grau de dependência que o negócio passou a ter de seus ativos de informação; onde seguem acreditando que segurança da informação é custo e se saciam com a falsa sensação de segurança proporcionada por uma fração do investimento feito em TI e, finalmente; onde desconhecem e, por vezes, subestimam, o poder destrutivo dos cibercriminosos.

O Gartner prevê que, em 2020, uma pessoa comum terá mais interações com programas dotados de inteligência artificial o que com outros humanos.

Como se não bastasse, o que já está ruim pode ainda piorar. O tsunami da transformação digital através da introdução dos vetores de mudança da Indústria 4.0, está pegando todo mundo no contrapé. O risco de ruptura de negócios, antes tradicionais e estáveis, é iminente. Isso promove desespero generalizado e naturalmente um movimento desordenado e atirado a tudo de novo que possa salvaguarda-los. Assim, vemos uma aceleração da tendência de convergência entre ativos de tecnologia da informação e ativos de tecnologia de operação. É como misturar ativos relativamente maduros e com certo grau de segurança (e que vem evoluindo gradualmente), com outros ativos totalmente imaturos e com níveis de exposição e risco muito mais altos, combinação que irá comprometer a segurança do negócio como um todo. Se nada diferente for feito agora, estaremos literalmente andando para trás, regredindo, enquanto os cibercriminosos estão em direção contrária e em velocidade máxima!

Presenciamos nesta semana um dos maiores ciberataques de ransonware já vistos na história, baseado no malware WanaCrypt0r*, que afetou ao menos 150 países e segue fazendo mais vítimas. Mais de 200 mil computadores foram comprometidos em poucas horas e paralisaram hospitais, fábricas, escritórios e serviços públicos ao redor do mundo. E você sabe qual foi a anatomia e a complexidade desse ataque para ser capaz de provocar tantos danos? Nada mais nada menos do que uma simples vulnerabilidade do sistema operacional Windows exposta em documentos vazados da Agência Nacional de Segurança dos Estados Unidos (NSA), e cuja solução já havia sido anunciada e distribuída pelo fabricante há dois meses.

O que isso significa? Que além de despreparados para ataques simples nos dias de hoje, em breve estaremos todos em apuros quando esses ataques se tornarem mais elaborados e não se limitarem aos tradicionais ativos de informação, mas tiverem também como alvo os ativos de tecnologia de operação com Internet embarcada, e controlando válvulas, sensores, comportas, disjuntores, equipamentos pesados e tudo mais que sua imaginação permitir com a aplicação da Internet das Coisas.

A revolução da Indústria 4.0 vai potencializar a ineficiência da atual segurança e ensinar as empresas por caminhos dolorosos.

Alguns casos emblemáticos já vêm sendo noticiados, como o de um hotel nos Alpes Austríacos que tiveram seu sistema de controle de acesso físico de fechaduras eletrônicas sequestrado por cibercriminosos e que, por isso, impediu que os hóspedes entrassem ou saíssem de seus quartos. Também vimos noticiado o caso dos carros da Fiat-Chrysler onde foi detectada vulnerabilidade na automação embarcada que permitiu que um ataque remoto tomasse o controle do veículo . Casos como estes não param de aparecer e olha que não estamos nem no começo do jogo!

                                                                                                  Imagem: PROOF report.

O mundo precisa acordar para a realidade. Precisa temer o poderio do ciberataque. Precisa definitivamente reconhecer a existência do ‘lobo mau’ para então tratar o risco com seriedade, sabedoria e com ações compatíveis, começando pelo adequado posicionamento estratégico do CISO na organização. Precisa compreender as novas relações de causa e efeito. Entender que estamos caminhando em direção à sociedade da informação liquida onde não há mais perímetros, rótulos visíveis que identifiquem mocinhos e bandidos e meios fáceis para controlar o ciclo formado pelo manuseio, armazenamento, transporte e descarte das informações.

Quem viver, verá.

*O WanaCrypt0r é um tipo de ransomware que limita ou impede aos usuários o acesso ao computador e seus arquivos através de criptografia e solicita um resgate em dinheiro para eles possam ser acessados novamente pelo usuário.

Marcos Semola é Computer Science BSc, Executivo de Tecnologia da Informação, Especialista em Governança, Risco e Conformidade, Professor da Fundação Getúlio Vargas, escritor, palestrante, VP Membro do Conselho de Administração da ISACA, Vice-Presidente de CyberSecurity do Instituto SmartCity Business, Diretor do Founder Institute Rio, Mentor de Startups e Investidor Anjo. www.linkedin.com/in/semola | www.marcossemola.com