O SiDier Marcus Farbiarz, gerente de Segurança Cibernética do SiDi, foi entrevistado pela revista “Inovação” do Valor Econômico. Replicamos abaixo:
1) A pandemia estabeleceu o home office para muitas empresas e elevou o movimento do comércio eletrônico e de uso de canais digitais de diversos setores. Isso num contexto que envolve a vigência da LGPD. O tema da segurança digital ganhou ainda mais relevância para as empresas? O que se notou com a pandemia? Houve alguma diferença em relação aos anos anteriores?
A segurança da informação ganhou grande destaque dentro das empresas brasileiras em 2020, especialmente com o advento da LGPD. Verificamos que, devido à baixa maturidade em segurança, a maioria das empresas precisou fazer um grande esforço no sentido de levantar e entender os dados sensíveis armazenados. Aliado a isso, a falta de profissionais habilitados a assumir o papel de DPO gerou uma corrida no mercado de trabalho, fazendo com que uma grande quantidade de empresas e profissionais se aproveitassem dessa baixa maturidade para vender serviços um tanto questionáveis. Ou seja, ainda existe uma grande incerteza sobre o que vai acontecer nos próximos meses, em especial pela demora na implantação da Agência Nacional de Proteção de Dados, deixando muitas dúvidas sobre como será a fiscalização e como serão aplicadas as sanções. Dessa forma, observamos uma grande relevância no assunto, mas ainda com baixo grau de maturidade e bastante incerteza sobre a efetividade das ações tomadas.
Em relação à segurança cibernética, a pandemia acelerou o processo de transformação digital: algo que demoraria anos para ocorrer foi colocado em prática em algumas semanas. O perímetro de segurança das empresas mudou radicalmente de uma hora para outra, trazendo uma grande complexidade para as equipes de TI e de segurança da informação, ao se levar os funcionários para casa e, com eles, o acesso a dados e sistemas sensíveis. Isso criou uma grande dificuldade no gerenciamento do perímetro de segurança cibernética, além de expandir de uma forma sem precedentes a superfície de ataque dessas empresas. Um exemplo disso foi a explosão no número de VPNs ativas (mais de 200% de crescimento durante a pandemia, em dados bastante conservadores). Ao mesmo tempo, cresceram os ataques que fazem uso da VPN como vetor de acesso a sistemas mais sensíveis, como controle industrial, transações financeiras e até para ataques de ransomware que podem utilizar a conexão de VPN para se espalhar pela rede de uma empresa.
Do ponto de vista dos usuários, muitos se viram forçados a utilizar comércio eletrônico e internet banking pela primeira vez, ou com maior frequência. No Brasil, isso aumentou o número de ataques de engenharia social que se aproveitam da pouca conscientização do brasileiro sobre segurança. Roubo de dados bancários por meio de phishing e golpes via redes sociais também cresceram, uma vez que costumam trazer baixa complexidade e bons resultados para os criminosos virtuais. A pandemia foi usada como assunto para ataques de engenharia social, seja por e-mail, sms, whatsapp ou telefone – em muitos casos, como uma forma de se obter o código de validação do whatsapp (OTP) para realização de outros golpes. Só em março, foram observados quase 700 domínios registrados com temas relacionados à pandemia, a maioria com o objetivo de capturar dados sensíveis relacionados ao fundo emergencial de alívio à Covid-19.
2) superfície do ataque cibernético está em evolução e deverá crescer ainda mais. Quais são as principais ameaças? O que irá nortear o segmento nos próximos anos – interação com o ecossistema será reforçada?
A superfície de ataque está sempre em expansão. Quanto maior a conectividade e as funcionalidades dos serviços on-line e dispositivos, maior será essa superfície. Porém, o maior desafio à segurança cibernética ainda é o fator humano – a maioria dos ataques e vazamentos de dados são causados pelos usuários. Esse comportamento é ainda mais notável no Brasil: somos o 3º maior país em número de ataques de phishing no mundo, de acordo com a Symantec. Isso se explica pelo fato de a maioria da população possuir pouco conhecimento ou consciência a respeito de segurança de dados e privacidade; é muito mais simples e barato para o criminoso realizar um ataque de phishing em massa do que tentar explorar vulnerabilidades em sistemas. Devido à renda média do brasileiro (e sua queda durante a pandemia), também temos ainda um comportamento muito voltado à pirataria de software, o que muitas vezes leva à instalação de aplicativos maliciosos, usados para roubo de dados, extorsão e botnets. Mesmo com avanços nos mecanismos de controle e ferramentas de segurança, o fator humano ainda permanece preponderante. É importante investir na educação do corpo de colaboradores dentro das empresas, levar o tema para as escolas, criando conscientização desde cedo. Isso vem trazendo resultado em países mais maduros tecnologicamente: no Reino Unido, por exemplo, uma pesquisa feita pela Intercede mostrou que jovens de 16 a 35 anos perdem facilmente a confiança em uma marca, caso ela esteja envolvida em vazamentos de dados ou tenha sofrido ataques cibernéticos recentes, o que tem forçado as empresas a investir em segurança. Reputação é algo custoso e demorado de ser conquistado, mas pode ser perdido rapidamente em um incidente de segurança.
A grande dificuldade em se justificar investimento em segurança da informação é que o retorno, em geral, só é medido no caso de um incidente; é uma forma de reduzir o risco aos negócios da empresa, algo que geralmente fica em segundo plano, quando comparado a investimentos que podem trazer resultados financeiros diretos.
No campo do desenvolvimento de novas tecnologias e produtos, observamos que não existe bala de prata, ou seja, ferramentas e soluções por si só não irão garantir a segurança dos sistemas. Toda base de confiança de um negócio está na conscientização de todo o grupo de colaboradores – e não só daqueles envolvidos diretamente com segurança. Vemos o crescimento do papel de security champions em todas as áreas das empresas, colocando a preocupação com segurança dentro dos times de desenvolvimento, finanças, RH. Além disso, observamos também a importância de se considerar a segurança desde a concepção de uma nova ideia, sua arquitetura, desenvolvimento. A segurança deixou de ser uma preocupação de uma única equipe e hoje passa a ser parte integrante dos negócios, seja por força legal (como LGPD e GDPR na Europa e outras legislações específicas de setores, como o financeiro), seja pelos danos causados à imagem da empresa, ou pelos gastos que um incidente possa provocar, como aquisição de novos equipamentos, perda de dados e redução na capacidade produtiva.
3) Nesses últimos meses, a pandemia transformou o negócio de milhões de pequenos negócios, de restaurantes a pequenas lojas de informática, que tiveram de ir para o mundo virtual. Como fica esse elo da cadeia que sempre esteve mais distante de investir em segurança digital?
A recomendação é não reinventar a roda. É necessária a escolha criteriosa dos fornecedores de solução – eles se preocupam com segurança? possuem um time dedicado e metodologias de desenvolvimento seguro e auditoria contínua de segurança?
Para pequenos negócios, o uso de soluções consolidadas na nuvem facilita a gerência da segurança, terceirizando essa preocupação.
Para sistemas ou aplicações “on premise”, é importante estar atento às boas práticas mínimas de segurança, nunca se considerar imune ou pouco atrativo para ataques. Mesmo não sendo um alvo, hoje é muito fácil uma pessoa mal intencionada escanear a internet em busca de sistemas vulneráveis, ou aplicativos com componentes reconhecidamente inseguros. Todos devemos sempre nos considerar um alvo e pensar do ponto de vista de um atacante: o que eu tenho de precioso que poderia ser de interesse? Como proteger esses dados ou infraestrutura? Dados, equipamentos, conectividade, tudo pode ser útil para quem está disposto a realizar um ataque; a questão é definir um nível de prioridades para se investir em proteção. Antes de pensar em como proteger um alvo, é importante saber quais são os alvos potenciais e pensar de forma criativa, da mesma forma que um atacante faria.
Se o desenvolvimento for interno, é necessário buscar seguir modelos bem estabelecidos de segurança; existem ferramentas e guias de boas práticas que podem ser usados para validação do sistema. Manter-se atualizado a respeito dos novos ataques, assim como manter seus sistemas sempre atualizados. Segurança é um processo contínuo e precisa fazer parte da cultura de todas as empresas e lares.
Para ler a matéria in loco, clique aqui (link restrito a assinantes).