10 outubro 2023 Soberania digital em jogo diante da baixa segurança na conectividade brasileira
Soberania digital em jogo diante da baixa segurança na conectividade O empreendedor Alberto Leite escreve sobre a sua constante preocupação com os ataques cibernéticos, os quais estão se tornando não apenas mais frequentes, mas também mais devastadores, atingindo infraestruturas críticas, serviços públicos restritos, comunidades vulneráveis e a privacidade individual. Ele pondera que há uma proporção significativa de empresas reavaliando suas relações comerciais internacionais, ponderando os riscos cibernéticos associados a cada nação com a qual interagem. Este reajuste estratégico é um reflexo da consciência crescente sobre a magnitude dos riscos cibernéticos
Soberania digital em jogo diante da baixa segurança na conectividade O empreendedor Alberto Leite escreve sobre a sua constante preocupação com os ataques cibernéticos, os quais estão se tornando não apenas mais frequentes, mas também mais devastadores, atingindo infraestruturas críticas, serviços públicos restritos, comunidades vulneráveis e a privacidade individual. Ele pondera que há uma proporção significativa de empresas reavaliando suas relações comerciais internacionais, ponderando os riscos cibernéticos associados a cada nação com a qual interagem. Este reajuste estratégico é um reflexo da consciência crescente sobre a magnitude dos riscos cibernéticos
Por Alberto Leite*
À medida que avançamos na era digital, nossa dependência de infraestrutura tecnológica só faz crescer e, com ela, os riscos inerentes. Os ataques cibernéticos estão se tornando não apenas mais frequentes, mas também mais devastadores, atingindo infraestruturas críticas, serviços públicos restritos, comunidades vulneráveis e a privacidade individual.
Uma proporção significativa das empresas está reavaliando suas relações comerciais internacionais, ponderando os riscos cibernéticos associados a cada nação com a qual interagem. Este reajuste estratégico é um reflexo da consciência crescente sobre a magnitude dos riscos cibernéticos.
Por outro lado, as transformações geopolíticas e a adoção de tecnologias emergentes, reconfiguraram o panorama das ameaças cibernéticas, intensificando o potencial destrutivo de ciberataques orquestrados. Isso está intensificando nossas crises interconectadas – energéticas, econômicas e geopolíticas. A interação entre esses elementos com características variadas está criando um ambiente de incerteza e vulnerabilidade, onde a necessidade de soluções inovadoras e estratégias de mitigação de riscos se torna cada vez mais imperativa.
Brasil na linha de frente
Dentro deste cenário global de ameaças cibernéticas crescentes, o Brasil emerge como um dos principais palcos de ataques digitais, ocupando a segunda posição no ranking mundial de alvos de ciberataques. A complexidade e a frequência desses ataques são intensificadas, refletindo uma tendência alarmante e ressaltando a urgência de uma análise aprofundada sobre os específicos desafios que o país enfrenta nesta área. Em 2020, um em cada cinco brasileiros foi vítima de pelo menos uma tentativa de ataque cibernético, um número que cresceu mais de 120% durante a pandemia. O país liderou, infelizmente, o ranking mundial em golpes de links falsos no WhatsApp, uma plataforma amplamente utilizada pela população. O Mapa de Fraude revela que, em 2022, foram registradas tentativas de fraudes digitais que somam R$ 5,8 bilhões no Brasil, o equivalente a 17 mil tentativas por dia, logo, portanto, a dinâmica de um ambiente de incerteza e vulnerabilidade está posto. Tal qual o resto do mundo, o Brasil precisa se debruçar e encontrar a melhor combinação entre tecnologia de ponta, arcabouço regulatório eficiente e atual. Proteger não apenas infraestruturas críticas e organizações, mas também o indivíduo, que se encontra cada vez mais no foco de ameaças digitais.
A pesquisa mostra, ainda, que os ataques de ransomware aumentam em níveis máximos, sem sinais de diminuição. Além disso, é espantoso notar que os malwares mais utilizados durante o período são conhecidos há menos de um ano, evidenciando a eficiência dos cibercriminosos em reciclar e aplicar códigos maliciosos já conhecidos. Esta realidade sublinha a importância de mantermos uma postura proativa e informada frente às ameaças cibernéticas, adaptando-nos continuamente para antecipar e contrariar as táticas em constante evolução dos agentes maliciosos.
De acordo com reportagem da Forbes Brasil, em 2021, empresas privadas como Lojas Renner, CVC, Porto Seguro, Atento, Serasa Experian, entre outras tantas, foram alvo de invasões de sistemas . No primeiro semestre daquele ano, dados pessoais de aproximadamente 103 milhões de brasileiros foram vazados . Em 2022, cerca de 25% das empresas brasileiras sofreram prejuízos causados por hackers, incluindo Americanas, BR Partners, Banco Pan, Iochpe-Maxion, Aegea e ANP (Agência Nacional do Petróleo) .
O portal https://www.ibraspd.org/incidentes registrou, já em 2023, incidentes de segurança em empresas privadas e órgãos governamentais com números ainda mais preocupantes: Jovem Pan, Ultragas, Valid, FGV, mais de 22 provedores de serviços de internet e órgãos de governo como INSS, Detran SP, Governo do Tocantins, CNJ, AASP, TJDFT, PRF etc.
A ameaça cibernética não é uma exclusividade das grandes corporações e entidades; ela permeia todos os estratos do tecido empresarial. No setor de comércio e serviços, as pequenas e médias empresas (PMEs) enfrentam uma realidade assustadora. Relatórios de 2022 estimam que 70% das PMEs foram vítimas de ciberataques. Alarmantemente, 60% dessas empresas encerraram suas atividades nos seis meses subsequentes ao ataque, evidenciando a devastação que tais incidentes podem causar. Além disso, essas empresas receberam, em média, de 11 a 13 ameaças por dispositivo, e 58% das vítimas de ransomware optaram por pagar ou resgatar quando atacadas.
Em agosto de 2020, foi divulgada uma avaliação sobre a maturidade da cibersegurança no Brasil, fundamentada no Modelo de Maturidade desenvolvido pela Universidade de Oxford (UK). A seguir, há uma tabela comparativa que destaca as capacidades de segurança cibernética do Brasil no ano de 2020 em relação às do Reino Unido em 2015:
Em outro estudo, realizado pela Cisco, intitulado “Cybersecurity Readiness Index”, apenas 26% das corporações brasileiras exibem um nível de maturidade em cibersegurança que pode ser categorizado como minimamente adequado para contrapor ameaças digitais emergentes.
Impacto setorial
Buscando um olhar mais granular e setorial do problema e analisando detalhadamente a incidência de ciberataques, percebemos que, após o setor da saúde, os setores financeiro, farmacêutico, tecnológico e energético são os mais afetados. O setor financeiro, crucial para a estabilidade econômica, viu um aumento nos custos médio dos ciberataques, passando de US$ 5,72 milhões em 2021 para US$ 5,97 milhões em 2022, um incremento de 4,4%. Da mesma forma, o setor industrial, englobando empresas químicas, de engenharia e de produção, experimentou um aumento de 5,4% nos custos médios por ciberataque, alcançando US$ 4,47 milhões em 2022. Contudo, no sentido contrário, houve um declínio no custo médio total em setores como o farmacêutico, de transportes, de mídia e hoteleiro. Este panorama setorial revela a diversidade e especificidade das ameaças cibernéticas.
Impactos financeiros e recorrência de violações
Em 2022, o mundo presenciou um recorde histórico no custo médio de uma violação de dados, atingindo US$ 4,35 milhões, marcando um aumento de 2,6% em relação ao ano anterior e 12,7% em relação a 2020. Este aumento nos custos é reflexo direto da complexidade e da frequência crescente de ataques cibernéticos. Uma pesquisa da IBM revela que a recorrência de notificação é uma realidade para a maioria das empresas, com apenas 17% dos 550 participantes afirmando que esta foi a primeira ocorrência de violação de dados.
Os aumentos de custo no mercado consumidor registram fortes altas diante de tamanho impacto e implicações. Aproximadamente 60% das evidências resultaram em aumentos de preços repassados aos clientes, evidenciando uma transferência de custos e impactando diretamente o consumidor final. A prevalência de manifestações e o consequente aumento de custos sublinham a necessidade urgente de estratégias de segurança cibernética mais robustas e eficazes, que não apenas previnem ataques, mas também mitigam seus impactos financeiros e protegem tanto as empresas quanto os consumidores de repercussões econômicas adversárias.
Problema estrutural, estratégias de resolução e enfoque internacional
O Relatório do Fórum Econômico Mundial (WEF) The Global Risks Report 2023 mostra a expansão do cibercrime e da insegurança cibernética que são riscos de características globais com impacto no curto prazo (2 anos) e no longo prazo (10 anos):
A busca por soluções eficazes para os problemas cibernéticos enfrenta uma série de obstáculos estruturais. Dentre as principais dificuldades, destaca-se a ausência de legislação forte e atualizada, que deixa lacunas na proteção contra ameaças digitais. Sites que servem de escudo, hospedados no exterior, dificultam ações de combate. A cooperação internacional, essencial para enfrentar ameaças transfronteiriças, ainda é incipiente, e ambientes virtuais vulneráveis, como lan house e redes abertas, exacerbam os riscos.
No cenário global, é importante mencionar que potências como o Reino Unido, os Estados Unidos e a União Europeia têm, recentemente, revisado e atualizado suas estratégias e diretrizes de cibersegurança. Essas atualizações visam aprimorar a capacidade dessas nações de enfrentar os crescentes e cada vez mais sofisticados desafios relacionados à segurança da informação.
Esta perspectiva global é demonstrada, por exemplo, com o posicionamento dos EUA. Diante do cenário de ameaças e custos crescentes associados à cibersegurança, os Estados Unidos, a maior potência econômica mundial, intensificaram seus esforços para fortalecer as defesas cibernéticas e promover um ecossistema digital seguro e resiliente. Em março de 2023, a Casa Branca divulgou a nova Estratégia Nacional de Segurança Cibernética, delineando medidas proativas para proteger infraestruturas críticas, como hospitais e instalações de energia limpa, e para fomentar colaborações internacionais robustas que envolvem ameaças digitais de forma coesa.
O presidente Joe Biden, ao lançar esta estratégia, enfatizou a necessidade de construir um ecossistema que seja mais fácil de defender do que de atacar, e que seja aberto, seguro e confiável para todos. “A confiança no ecossistema digital subjacente é crucial quando utilizamos a tecnologia para manter contato, compartilhar ideias, administrar negócios ou atender às nossas necessidades básicas”, ressaltou Biden, evidenciando a interconexão entre segurança digital e a vida cotidiana das pessoas.
Dando mais um exemplo concreto de uma boa regulação e exemplo a ser seguido, a SEC, (equivalente a Comissão de Valores Mobiliários dos EUA) recentemente vem adotando regras mais transparentes, robustas e rigorosas sobre o tema e garantindo, assim, proteção aos investidores. Neste último dia 26 de julho de 2023, a SEC implementou normas que desabilitam que as empresas revelem incidentes significativos de segurança cibernética e forneçam informações anuais sobre suas práticas de gestão, estratégia e governança de riscos cibernéticos.
O presidente da SEC, Gary Gensler, enfatizou a necessidade de divulgações consistentes e comparáveis, beneficiando tanto empresas quanto investidores. As novas regras, que entraram em vigor, abrangem diversos aspectos, incluindo a divulgação de materiais de incidentes, a descrição de processos de avaliação e gerenciamento de riscos e a supervisão de riscos pelo conselho de administração.
Ao ampliar a visão sobre regulamentações de cibersegurança para além das fronteiras americanas, é relevante mencionar o cenário brasileiro. Apesar de o nível de regulamentação no Brasil ainda ser considerado baixo em comparação com os padrões internacionais, o país se destaca pela implementação de legislações específicas que abordam o tema da cibersegurança. O Marco Civil da Internet e a Lei Geral de Proteção de Dados (LGPD) são exemplos de normativas que estabelecem disposições e diretrizes claras para a proteção de dados e segurança digital.
Soberania Nacional no ambiente digital
Brasil, um dos líderes globais em consumo de internet e presença digital, enfrenta um paradoxo significativo. Apesar de ser o 5º maior país do mundo em número de usuários de internet e o 2º maior em tempo gasto on-line, o país está em uma posição desconfortável, quando comparamos nosso nível de maturidade em termos de segurança cibernética em relação a quase todos os países desenvolvidos. Esta discrepância reflete uma perda de relevância do Brasil no setor de tecnologia, é um cenário que necessita de uma revisão urgente e profunda em suas políticas e regulamentações.
Na dinâmica atual, as empresas de segurança da informação sediadas no Brasil aderem rigorosamente à legislação nacional, o que contrasta fortemente com a prática de empresas estrangeiras (não de todas as empresas estrangeiras, por óbvio) que comercializam seus serviços on-line no país sem a devida contribuição tributária ou empregatícia. Este cenário não resulta apenas em uma perda econômica significativa, mas também coloca em risco a soberania nacional, concedendo a entidades estrangeiras um controle substancial sobre dados e informações estratégicas brasileiras.
A dependência de serviços estrangeiros para garantir a segurança da informação dos brasileiros e do governo pode se transformar em uma ameaça tangível à segurança nacional, especialmente em cenários de desenvolvimentos geopolíticos. A soberania digital do Brasil está, portanto, intrinsecamente ligada ao desenvolvimento e fortalecimento do ecossistema local de segurança da informação.
Medidas Iminentes:
Para reverter essa dinâmica e fortalecer a soberania digital do Brasil, medidas iminentes e estratégicas devem ser perseveradas:
1.Estabelecimento de Incentivos
Propor incentivos fiscais e linhas de crédito específicas para empresas nacionais de cibersegurança, com critérios claros de composição de capital social votante por brasileiros ou empresas sob a legislação brasileira.
2. Fomento à Inovação
Alocar recursos substanciais para pesquisa e desenvolvimento, incentivando a criação de soluções inovadoras brasileiras no mercado de segurança da informação.
3. Formação e Parcerias Educacionais
Estabelecer parcerias sólidas com universidades e centros de pesquisa para a formação de profissionais altamente especializados e o desenvolvimento de tecnologias em segurança da informação.
4. Priorização em Licitações Públicas
Incentivar a contratação de empresas brasileiras de segurança da informação por entidades públicas, valorizando o ecossistema local nos processos de licitação.
5. Apoio ao Empreendedorismo
Fornecer suporte robusto a startups e pequenas empresas na área de segurança da informação, promovendo a cultura empreendedora através de palestras, recursos e espaços dedicados.
6. Promoção Internacional
Incentivar a participação de empresas nacionais em eventos internacionais, ampliando a visibilidade e o alcance dos serviços brasileiros de segurança da informação.
Ao adotar tais medidas, o Brasil não apenas protegerá sua soberania digital e informações estratégicas, mas também impulsionará o crescimento e a inovação no setor de segurança da informação. A implementação dessas ações é crucial para que o Brasil possa, de fato, alinhar seu imenso potencial digital com um ecossistema tecnológico robusto, seguro e, sobretudo, soberano.
Os cibercriminosos elevam suas táticas, mirando não apenas interrupções de negócios, mas também danos reputacionais e ataques geopolíticos, movimentos desestabilizadores de governos. “Quem controla a informação, detém o poder”, reza o adágio. Neste cenário, no Brasil e no mundo, a vigilância cibernética torna-se um pilar de soberania e estabilidade nacional.
Alberto Leite é empreendedor que iniciou sua trajetória em empresas de telecomunicações, onde adquiriu os conhecimentos em tecnologia que o levaram a se tornar CEO da holding FS, composta por empresas com atuação em áreas como segurança da informação, cloud computing e seguros
Artigos e comentários de autores convidados não refletem, necessariamente, a opinião da revista Interesse Nacional
