O phishing continua a ser o ataque cibernético mais comum: uma média de 3,4 bilhões de e-mails de spam diários em 2022
O mundo amanheceu na sexta-feira retrasada sob o impacto de uma falha no processo de atualização de determinada solução de segurança cibernética largamente utilizada. Isso afetou rapidamente sistemas digitais diversos em escala planetária, das operações de bancos às atividades hospitalares, passando pela partida de trens e aviões em diferentes geografias.
Embora rapidamente detectado e enfrentado, o problema fez lembrar como todos estamos hoje, em qualquer dimensão que se imagine, não apenas irreversivelmente conectados como tecnologicamente interdependentes.
Momentos como esse inevitavelmente fazem multiplicar as reflexões acerca de cenários de crise causados, estes sim, por ações criminosas de variados formatos no ambiente cibernético. E levam também a aplaudir cada avanço de especialistas em segurança capaz de neutralizar ou pelo menos prevenir estratégias e ataques de hackers.
O Fórum Econômico Mundial aponta que segurança e crimes cibernéticos estão na lista dos dez maiores riscos globais entre 2023 e 2025, de acordo com mapeamento que incluiu a visão de líderes empresariais em 113 países. “Crimes cibernéticos são um grande negócio”, afirma documento da organização, para a qual sem uma cooperação em nível internacional o desafio não poderá ser enfrentado.
Segundo a publicação especializada Cybercrime Magazine, no primeiro semestre de 2024, 1 bilhão de pessoas tiveram seus dados expostos em vários incidentes causados por violações de segurança causadas por terceiros (dados de relatório da organização sem fins lucrativos Identity Theft Resource Center, com sede em San Diego, na Califórnia).
O avanço do crime cibernético está ganhando velocidade. A organização Cybersecurity Ventures estima que os custos globais resultantes dessa atividade ilícita devem crescer 15% por ano ao longo da década de 2020, atingindo até 2025 a assombrosa marca de US$ 10,5 trilhões.
O cálculo inclui não apenas o dinheiro que é obtido ilicitamente nessas operações, mas outros impactos negativos como apropriação de dados e sistemas, interrupção na operação das organizações atingidas, riscos reputacionais, entre outros prejuízos.
Não coincidentemente o mercado de soluções em segurança cibernética só cresce, tendo superado os US$ 172 bilhões no ano passado em todo o mundo, segundo especialistas. Investimentos nessa rubrica devem superar US$ 1 trilhão entre 2023 e 2027.
O Brasil precisa recuperar o tempo perdido no campo da segurança cibernética, segundo o estudo Worldwide Black Book 2023, da IDC, empresa americana de mídia, pesquisas e eventos. Os gastos nesse campo por parte das empresas no país no ano passado foram estimados em 3,5% dos investimentos totais em tecnologia de informação (TI) como um todo, considerado um índice muito limitado.
A consultoria global KPMG, em seu relatório 2022 CEO Outlook, Growth Strategies in Turbulent Times, mostra que 77% dos 1.325 líderes de empresas entrevistados consideram a segurança da informação não apenas uma proteção vital, mas também potencial vantagem competitiva.
“O crime cibernético avança com velocidade. A Cybersecurity Ventures estima que os custos globais resultantes dessa atividade ilícita devem crescer 15% por ano ao longo da década de 2020, atingindo até 2025 a assombrosa marca de US$ 10,5 trilhões.”
A empresa norte-americana de consultoria e pesquisas tecnológicas Gartner prevê, em seu estudo “Implement a Continuous Threat Exposure Management (CTEM)”: “Até 2026, as organizações que priorizarem os seus investimentos em segurança com base num programa de gestão contínua de exposição terão três vezes menos probabilidades de sofrer uma violação”.
RiskIQ, uma empresa de segurança cibernética, estima que as organizações em geral perdem mais de US$ 17 mil por minuto devido ao phishing. Trata-se de ferramenta usada para roubo de dados e fraudes que frequentemente engana usuários da internet, fazendo-os revelar informações confidenciais ou instalarem, sem saber, um malware, programa capaz de atacar computadores e redes.
Outros US$ 22.184 por minuto são perdidos devido a ataques de ransomware, um tipo de software de extorsão que bloqueia computadores e sistemas, captura seus dados e permite a criminosos digitais pedirem resgate (geralmente em criptomoedas, não rastreáveis) para posterior desbloqueio e devolução dos dados subtraídos.
A RiskIQ calcula que em 2022 foram detectados 493,33 milhões de ataques de ransomware em todo o mundo. Enquanto isso, o phishing continua a ser o ataque cibernético mais comum: uma média de 3,4 bilhões de e-mails de spam diários com esse objetivo foi enviada em 2022. Estima-se, a propósito, que mais de 75% dos ataques cibernéticos começam com um e-mail e que 95% das violações são possíveis devido a erro humano, como clicar em um link malicioso.
A discussão sobre segurança cibernética ganhou tração por meio do Cyber Resilience Act, proposto pela Comissão Europeia em 2022 e aprovado pelo Parlamento Europeu em março de 2024.
“Produtos de hardware e software estão sujeitos de forma crescente a ataques cibernéticos bem-sucedidos, levando a um custo estimado de 5,5 trilhões de euros em 2021”, afirmava a Comissão Europeia quando da apresentação da proposta. E acrescentava: “Tais produtos sofrem de dois grandes problemas que agregam custos para os usuários e para a sociedade:
- um baixo nível de cibersegurança, refletido por vulnerabilidades generalizadas; o fornecimento insuficiente e inconsistente de atualizações de segurança para aquelas vulnerabilidades
- insuficiente compreensão e acesso à informação por parte dos usuários, impedindo-os de escolher produtos com características adequadas de cibersegurança ou de utilizá-los de forma segura”.
Administrar devidamente os riscos pode se traduzir em lucratividade para empresas de software e plataformas se elas forem eficientes naquele caminho. É o que diz publicação recente em blog do gigante global Accenture.
Abordar os riscos desde o início do desenvolvimento do produto permite que os líderes de software e plataformas identifiquem potenciais armadilhas e vulnerabilidades antes que se tornem problemas dispendiosos. Ao realizar avaliações de risco completas e envolver-se na identificação proativa de riscos, as organizações podem descobrir potenciais vulnerabilidades de segurança, lacunas de conformidade, segurança do usuário e riscos operacionais.
E acrescenta: “Esta identificação precoce permite que os líderes implementem estratégias de mitigação adequadas, reduzindo a probabilidade de incidentes dispendiosos no futuro”.
Segundo a Accenture, priorizar a gestão de riscos de forma proativa desde o início de um processo demonstra “compromisso com práticas éticas, aumentando a confiança e a fidelidade do cliente”.
Ciro Dias Reis é presidente da Imagem Corporativa, board member da International Communications Consultancy Organization e da PRCA Latam, e membro do Crisis Communication Think Tank/University of Georgia (EUA). É autor do livro “Te vejo na próxima pandemia”, a ser lançado em agosto.
Artigo de opinião produzido para o jornal Valor Econômico.