O final do ano chegou e com isso empresas do mercado promovem um balanço geral para listar os pontos positivos e negativos, além de traçar metas e estratégias para o ano que chegará daqui há alguns dias. No segmento de Segurança da Informação não é diferente, 2022 sairá de cena, mas ficará marcado por ser um dos anos mais desafiadores, onde os profissionais lidaram com diversos obstáculos.
Muitos pontos foram colocados na mesa ao longo dos meses em discussões promovidas pela TVSecurity e pelo Congresso Security Leaders, entre eles, o avanço do ransomware, o desafio na contratação de seguro cibernético e sua real necessidade, além de ataques voltados ao Metaverso e outros que já são conhecidos, como o phishing, mas que ainda impactam as organizações. Sem contar outro desafio que se tornou recorrente, o GAP de mão de obra no mercado, com escassez de profissionais capacitados para no combate aos crimes cibernéticos.
Diante desse cenário, a Security Report reúne algumas previsões para o próximo ano.
Ransomware
Sem dúvidas, o ransomware foi um dos destaques na mídia especializada, inúmeras organizações sofreram impactos de incidentes provocados por essa ameaça. Para ter uma ideia, nos primeiros oito meses deste ano, houve uma média de 4 mil ataques de ransomware por dia na América Latina, segundo dados da Kaspersky.
A previsão é que haverá um risco maior de ataques de ransomware em 2023, ameaçando vazar dados valiosos de pessoas e empresas se os pedidos de resgate não forem pagos. Segundo Michal Salat, Diretor de Inteligência de Ameaças da Avast, o ransomware virou o pesadelo das organizações e existe uma expectativa que essa tendência cresça ainda mais em 2023.
“Isso coloca em risco as informações pessoais das pessoas e representa um duplo risco às empresas: tanto a perda de arquivos confidenciais, quanto a violação de dados. São emaças que podem ter consequências graves para os negócios e a reputação da marca”, diz
Novas sanções globais introduzidas este ano podem colocar as empresas afetadas por ransomwares numa situação complicada, pois elas devem enfrentar processos judiciais caso efetuem pagamentos de pedidos de resgate a grupos presentes em listas de sanções, como é o caso dos grupos de ransomware baseados na Rússia, por exemplo.
Seguro Cibernético
Com a complexidade do universo de Cibersegurança e alta dos ataques, contar com um seguro cibernético hoje é quase uma obrigatoriedade. Entretanto, CISOs enfrentam uma série de desafios de contratação, pois o alto risco tem impactado na precificação das apólices. Como resultado, as operadoras começaram a repassar esses custos elevados para seus clientes e aumentaram significativamente os requisitos técnicos de Segurança.
Apesar dessa dificuldade, as empresas seguem em busca desse serviço. Segundo levantamento baseado nos dados da Superintendência de Seguros Privados (Susep), até setembro deste ano foram emitidos R$ 130 milhões em prêmio de seguro cyber, 22,8% acima do registrado em 2021, quando o setor alcançou R$ 105,8 milhões.
Segundo previsão da WatchGuard, embora os clientes já estejam se recuperando dos novos requisitos significativos e das contas maiores necessárias para renovar suas apólices, algumas verticais terão mais dificuldades do que outras em 2023. As seguradoras percebem que certas verticais são alvos mais atraentes para os cibercriminosos e os forçarão aderir aos regulamentos de conformidade mais rígidos e arcar com os custos mais altos.
As indústrias mais afetadas também são as manchetes devido aos ataques cibernéticos. Por exemplo, a WatchGuard suspeita que assistência médica, infraestrutura crítica, finanças e provedores de serviços gerenciados (MSPs) estarão sujeitos a requisitos de segurança cibernética mais severos sob o olhar das seguradoras.
A empresa também acredita que os fornecedores de segurança cibernética serão alvos de preços e requisitos mais altos. Algumas seguradoras até adotam “listas de fornecedores de segurança aprovados”, subscrevendo apenas apólices para empresas que usam soluções de segurança de determinados fornecedores.
Metaverso
Os logins de usuários estão cada vez mais conectados no ambiente do Metaverso. Como uma extensão das credenciais usadas para acessar redes sociais e jogar games, as credenciais de acesso estão na mira dos criminosos. Com objetivo de obter ganhos financeiros, eles podem roubar a identidade destes usuários, aplicar golpes e fraudes, bem como realizar empréstimos bancários e até entrar em contato com amigos e parentes para solicitar dinheiro, como já ocorre fora do Metaverso.
A Watchguard acredita que o primeiro ataque neste ambiente afetará os negócios e será de um conhecido vetor de ameaças reinventado para o futuro da RV. Perto do final de 2022, a Meta lançou o Meta Quest Pro como um headset VR/MR “empresarial” para casos de uso de produtividade e criatividade. Entre outras coisas, o Meta Quest Pro permite criar uma conexão remota com a área de trabalho do computador tradicional, permitindo que o usuário veja a tela do computador em um ambiente virtual e crie ainda muitos monitores virtuais e espaços de trabalho.
Ele ainda permite que um funcionário remoto inicie reuniões virtuais (vs. vídeo) que supostamente permitem interagir de uma maneira muito mais humana. Por mais sofisticado que pareça, ele basicamente aproveita as mesmas tecnologias de área de trabalho remota da Microsoft ou Virtual Network Computing (VNC) – o mesmo tipo de tecnologia de área de trabalho remoto que os cibercriminosos visaram e exploraram inúmeras vezes no passado.
É por isso que, em 2023, os especialistas acreditam que o primeiro grande hack do metaverso que afeta um negócio será resultado de uma vulnerabilidade em novos recursos de produtividade empresarial, como área de trabalho remota, usada na última geração de headsets VR/MR voltados para casos de uso corporativo.
Phishing
Dezembro é considerado um mês em que o pico do período de compras é bastante movimentado, já que pessoas de todo o mundo se preparam para a temporada de promoções e festas. Mas, enquanto os consumidores estão se preparando para fazer seu melhor negócio ou a sua melhor compra, os cibercriminosos estão aproveitando essa movimentação para lançar seus próprios “especiais” de compras na forma de campanhas de phishing e sites falsos. Em 2023, a previsão da Netskope é de que eles irão além do simples phishing e começarão a incluir ações de força bruta, roubo de token e ataques SSO.
Portanto, as empresas devem se tornar mais proativas e conscientes do risco representado pelo número surpreendente de aplicações de terceiros em nuvem em seus ambientes que dão acesso aos dados confidenciais, como resultado do acesso dinâmico concedido aos usuários finais via OAuth. Além disso, é provável que fornecedores comecem a responder com detecção básica e controles preventivos, mas continuarão para trás em relação às técnicas dos invasores.
Na visão dos especialistas da Appgate, no próximo ano, haverá o crescimento de modalidades como o spear phishing, que mira alvos específicos, e a diversificação dos ataques. Se antes o setor financeiro era o principal alvo do phishing, saúde, cadeias de suprimento e indústria serão cada vez mais visados pelos cibercriminosos.
GAP de profissionais
Em 2023 e nos anos seguintes, a escassez de mão de obra capacitada em Cibersegurança tende a continuar sendo um dos principais desafios enfrentados no setor. De acordo com a Associação das Empresas de Tecnologia da Informação e Comunicação (TIC) e de Tecnologias Digitais (Brasscom), realizado em 2021, o país terá uma demanda de 797 mil profissionais de TI até 2025, o que significa que precisaria formar 159,4 mil por ano. Hoje, no entanto, apenas 53 mil pessoas são qualificadas anualmente para trabalhar na área.
Para Fabio Battaglia, CEO da Randstad no Brasil, devido à escassez de talentos, as empresas têm buscado alternativas como a contratação por habilidades e experiências e não olhando apenas para o diploma. “Com a urgente demanda de profissionais com conhecimentos específicos e pouca mão de obra que atenda a esses requisitos, as empresas têm avaliado os candidatos por suas vivências”, comenta Battaglia.
O executivo destaca ainda que este também é um desafio para as parametrizações dos sistemas de recrutamento e seleção: “A tecnologia é uma aliada e facilitadora, mas não substitui a relação humana, por isso é necessário enxergarmos além dos currículos, ver as pessoas e seus potenciais. Muitas vezes os candidatos têm soft skills que permitem que sejam indicados para diferentes vagas e é o papel do consultor identificar e extrair o melhor desses talentos. Isso não tem relação com diploma, mas sim, com quem são essas pessoas”, completa.