Embora tecnologias de contenção, combate e erradicação estejam disponíveis no mercado para ajudar a encarar o desafio da proteção dos dados, as empresas ainda têm dificuldade em manter sistemas de atualização de forma eficiente, mesmo sabendo que este é um ponto crucial para suas operações. Um exemplo recente que ilustra essa realidade foi o caso da Equifax com a falha do apache Struts.
Vulnerabilidades de software trazem prejuízos financeiros há anos e não somente são exploradas e usadas como vetores de ataque por cibercriminosos em malwares, mas também diretamente, como no caso em que quase destruíram financeiramente uma das maiores empresas de data broker dos US ao exporem dados sigilosos de 40% da população norte americana. Não adotar ações básicas de segurança pode trazer prejuízos de bilhões de dólares e isto é um fato inquestionável.
Uma coisa é certa: o volume de golpes usando meios digitais vem aumentando de forma alarmante e esse foi um dos assuntos mais abordados no Cybercrime.com, evento de segurança que aconteceu em outubro na Rússia. O encontro reuniu especialistas de alto nível de expertise, sendo muitos deles de serviços de inteligência de governos e de departamentos de polícias do mundo inteiro dedicados a crimes cibernéticos, inclusive Interpol.
O tom de toda a conferência era: por que ainda idolatramos e ovacionamos os atacantes dentro da cultura de segurança? E por que não os defensores? Todos nós podemos ser atacantes e poucos podem ser, de fato, defensores. Por que não idolatramos aquela funcionária que de fato prestou atenção na palestra de conscientização de segurança? Por que não idolatramos aquele administrador de firewall que criou, testou, homologou regras corretamente, ou aquele administrador de rede Microsoft que deu o menor privilégio para uma conta de serviço e aplicou as correções rapidamente? Ou ainda por que não aquele Security Officer que checa todos os logs das ferramentas de detecção de intrusão religiosamente e, principalmente, aquele CSO que todos os dias pela manhã pensa: “Como alguém pode invadir a empresa e destruir o que temos de mais valioso?”
Damos mais valor ao ataque e não damos foco em sermos resilientes. De fato, não nos defendemos, apenas reagimos preocupados com as ameaças. E onde está a preocupação em criar, manter e checar as nossas defesas?
Bem, todos temos que concordar que defender exige disciplina, engajamento, diligência, estudo e comprometimento – e esses requisitos não estão no software ou no hardware; estão nas pessoas motivadas, engajadas e conscientes.
No evento também foi trazida a reflexão de como melhorar e evoluir a sociedade e fazer com que a mesma não apenas conheça seus oponentes, mas que também colabore com sua própria proteção. A conscientização e a colaboração são pontos fundamentais nessa evolução. Estamos chegando no nível em que armas cibernéticas são mais eficientes que armas nucleares. A guerra nuclear é uma guerra suja. Em contrapartida as guerras cibernéticas são mais “toleráveis”, como foi caso do desligamento da grade elétrica da Ucrânia antes da invasão russa. Tomar um território sem destruir o mesmo fisicamente é o sonho dos estrategistas militares há séculos. É preciso compreender que os cenários estão mudando e a proteção exigida também.
Muito se tem falado sobre inteligência artificial e empresas planejam investir milhões de dólares com projetos dessa natureza. Mas, e o básico? Antes das empresas pensarem em IA e Machine Learning para segurança, não é melhor investirem tempo e dinheiro em ações básicas de proteção?
Enquanto as companhias não compreenderem a questão da educação e da conscientização, vamos ter sempre a mesma pergunta ao final do ano… e as mesmas respostas.
Quer saber o que esperar do futuro? Basta olhar para o passado… ou comece a reagir.
* Wander Menezes é especialista em segurança da Arcon
