Em um mundo onde tudo está conectado, o risco cibernético está em toda parte
Tempo de leitura: 10 min
Nos últimos doze meses, 43% das organizações na França foram vítimas de um ataque cibernético bem-sucedido, segundo a consultoria Asterès. Como as empresas estão lidando com o risco cibernético? Confira a análise de David Ofer, presidente da Federação francesa de cibersegurança.
Quais são os contornos do risco cibernético atualmente?
Vários estudos realizados descrevem um fenômeno em alta. O volume de ataques com fins lucrativos denunciados à Agência Nacional de Segurança de Sistemas de Informação (ANSSI) em 2023 cresceu 30% em relação ao mesmo período de 2022. Esse aumento também foi observado pela unidade de combate aos cibercrimes do Ministério Público de Paris.
“Os hackers estão à frente dos governos e empresas.”
Independentemente dos números, o que é certo é que, em um mundo onde tudo está conectado, o risco cibernético está em toda parte. Invadida pela tecnologia digital, nossa vida cotidiana, tanto pessoal quanto profissional, se tornou um vasto playground para uma nova geração de delinquentes e criminosos, habilidosos em explorar as falhas dos sistemas informáticos para paralisar o funcionamento das organizações, roubar identidades e buscar o novo Graal das sociedades modernas: os dados. Indivíduos, empresas, associações, instituições, autoridades locais… Hoje em dia, ninguém está a salvo desses bandidos do ciberespaço.
A inteligência artificial poderia mudar a face dessa nova guerra?
Os algoritmos permitem aos agentes de prevenção e proteção compreender e identificar melhor as origens dos ataques e os pontos de vulnerabilidade. Eles são um aliado inestimável na proteção de dados e na detecção de tentativas de ataques. A IA é usada por muitos departamentos sensíveis, como o exército e a polícia, para aprimorar a análise de determinados dados. Mas ela também serve o time dos delinquentes, permitindo ataques mais sofisticados, com os famosos deepfakes, por exemplo, muito comentados pela mídia.
Os criminosos não estão à frente do jogo, considerando os meios de defesa e resposta?
Na corrida contra o tempo entre uma ameaça que está se profissionalizando e uma defesa que está se organizando, a batalha é desigual. Como os hackers estão “investindo” – literalmente – em cibernética, eles estão à frente dos governos e empresas que costumavam considerar a cibersegurança como um item de custo. O mito do hacker encapuzado operando sozinho no fundo de sua garagem não corresponde mais à realidade! Os ciberataques agora são orquestrados em escala internacional por organizações criminosas. Eles são cada vez mais sofisticados, com alvos definidos com precisão e consequências graves para a segurança e a economia dos países.
Quais são os setores de atividade mais ameaçados?
Ultimamente, o setor da saúde tem sido um dos mais atacados. É lógico: ele abrange atividades vitais para a população e contém dados pessoais altamente qualificados que podem vendidos por um bom preço. Outros setores cuja paralisação prejudicaria o funcionamento da sociedade também são prioritários para os hackers: autoridades locais, energia, telecomunicações e transporte, principalmente. Atualmente, o risco está muito concentrado nas cadeias de suprimento. A globalização dos mercados e a proliferação da subcontratação torna as cadeias de suprimento um alvo privilegiado. Nos Estados Unidos, elas são alvo de ataques recorrentes. As cadeias de suprimento francesas também estão começando a ser afetadas.
Quais são a posição e a função da Federação francesa de cibersegurança no ecossistema de segurança digital?
Diferentes entidades lidam com as questões cibernéticas na França. A ANSSI se concentra mais especificamente nas operadoras de importância vital (OIV) e nas empresas ou autoridades locais de grande porte. O site Cybermalveillance.gouv foi criado para informar e processar (com recursos financeiros limitados) as denúncias da população e das empresas. Mas quando se trata de micro, pequenas e médias empresas, e autoridades locais de pequeno porte, que são muitas na França, as mensagens são diluídas, deixando muitas vezes os empresários e os representantes eleitos sem saber o que fazer com informações que lhes parecem irrelevantes. Há uma série de questionamentos relativos à cibersegurança sobre os quais precisamos comunicar mais, como redes regionais para as micro, pequenas e médias empresas, treinamento para jovens, passarelas interprofissionais, acesso a um ciberespaço controlado, etc. Essa é a área que completamos com a Federação francesa de cibersegurança, criada há quatro anos por iniciativa de representantes eleitos, especialistas em segurança digital, empresas, autoridades locais e câmaras consulares. Nossa ambição é agregar ações de informação, prevenção e proteção do tecido econômico mediante uma abordagem cívica independente, isenta de quaisquer interesses comerciais. Ao contrário de muitos clubes e associações que entraram no ecossistema para defender interesses privados, não vendemos produtos ou serviços, e nossa abordagem é estritamente de interesse geral e utilidade pública.
Como estão as empresas em termos de prevenção?
Mais uma vez, há um hiato entre os grandes grupos, que podem mobilizar mais recursos, e as micro, pequenas e médias empresas, que não sabem quem contatar, que medidas tomar ou que organização implantar.
“Mais de 60% das PMEs não têm nenhum funcionário dedicado à cibersegurança.”
Em 2023, a Federação realizou uma pesquisa mostrando que mais de 60% das PMEs não têm nenhum funcionário dedicado à cibersegurança e apenas 25% fizeram um seguro. É urgente livrar a cibersegurança de suas conotações técnicas para informar as empresas em termos simples e compreensíveis. A arma mais eficiente contra o cibercrime é o dinheiro. A aceleração dos desenvolvimentos digitais não é acompanhada por um aumento nos gastos com segurança. Hoje, por não dominar o assunto, as micro, pequenas e médias empresas não estão dispostas a alocar orçamentos apropriados para meios de proteção adequados.
Fala-se sempre de um hiato entre a necessidade de habilidades técnicas das empresas e a falta de pessoas competentes disponíveis no mercado…
Sinceramente, acho que o assunto é mais complexo e que a questão dos recursos não pode ser reduzida a essa discrepância entre oferta e demanda. O treinamento cibernético realmente se desenvolveu nos últimos anos. Mas há uma situação paradoxal. Por um lado, alguns cursos não conseguem preencher suas vagas. Por outro lado, as empresas não estão gerando empregos suficientes dedicados à segurança digital e, além disso, privilegiam graduados hiper qualificados com cinco anos de ensino superior, embora suas necessidades sejam, em parte, outras. Mais uma vez, as questões de cibersegurança não devem ser reduzidas à sua dimensão técnica. Foi para ampliar o leque de perfis e apoiar as empresas que a Federação francesa de cibersegurança criou recentemente a profissão de assistente cibernético.
O que é?
A missão dos assistentes cibernéticos é falar com os usuários dentro da empresa, comunicar as regras de higiene de TI e verificar se as políticas de segurança são devidamente compreendidas e cumpridas. O objetivo é reduzir as superfícies de ataques, diminuir o risco e chamar a atenção dos departamentos relevantes para os pontos críticos. Ao mesmo tempo, registramos um curso de treinamento para essa profissão de assistente cibernético, com um currículo de 400 ou 600 horas para jovens que terminaram o ensino médio ou pessoas em processo de reciclagem profissional.
O arcabouço legal atual é suficiente para prevenir e regular os riscos?
Sim, ele é amplamente suficiente para enquadrar as questões de segurança (confira a caixa). Dada a escala das questões em jogo, o mais urgente não é a resposta legal. Precisamos definir os serviços essenciais a serem protegidos, consolidar o ecossistema de prevenção e proteção, regular as responsabilidades em toda a cadeia de valor cibernética, desenvolver coberturas de seguro e, talvez acima de tudo, conscientizar e treinar em todos os níveis. É um empreendimento colossal. Por fim, é preciso lembrar que o RGPD (Regulamento geral sobre a proteção dos dados) inclui uma vertente cibernética que, se aplicada, pouparia muitos problemas às empresas.
Um arcabouço legal robusto
A Lei Godfrain de 1988 pune a entrada – ou a tentativa de entrada – não autorizada em sistemas de processamento automatizado de dados (STAD na sigla francesa). Nos últimos anos, vários textos foram produzidos para responder a cada situação. O Digital Operational Resilience Act (DORA), introduzido pela União Europeia, fortaleceu a cibersegurança nos serviços financeiros. A Diretiva Network and Information Security (NIS 2), transposta na legislação francesa em 2024, permitirá que a ANSSI incremente o nível de cibersegurança de milhares de estruturas em vários setores de negócios que, a partir de agora, serão regulamentados.
10/07/2024