Custo da Negligência? Ou Custo de um Ataque?
Belo Horizonte, 30 de Agosto de 2021
Sábado, dia 28 de Agosto de 2021, os pilotos se preparavam para o treino classificatório do Grande Prêmio de Fórmula 1 da Bélgica que ocorreu na cidade de Spa, na região de vale da província de Liège. Spa é uma cidade conhecida pelo alto nível de precipitação o ano todo. Neste sábado, não foi diferente. Mesmo conhecendo as condições da pista e tendo como referência dados provenientes de vários sensores e radares para guiar as suas decisões, o piloto Lando Norris, da McLaren, que liderou as duas primeiras rodadas, não conseguiu dosar as suas decisões entre ser arrojado e conservador (veja o vídeo em que ele reporta), acabando por bater o carro na curva Eau Rouge. Negligência? Gerência do risco? Qual o custo? Para ele, além do custo de reparo do carro, estresse da equipe, trabalho até altas horas e o possível trauma físico, com certeza a decisão, que resultou na batida, lhe impediu de largar em uma das primeiras posições na corrida do Domingo.
Tomamos decisões e fazemos escolhas a todo momento. Como pessoas decidimos o que comer, o que beber, o que vestir, o que falar, além de muitas outras pequenas decisões que tomamos no nosso dia-a-dia e acabam por direcionar nossa sobrevivência e nossas vidas. Como profissionais e líderes tomadores de decisão, a situação não é diferente. E essas decisões impactam positivamente ou negativamente nas nossas instituições e sociedade. Em face de uma sociedade e sistemas cujas condições são cada vez mais dinâmicas e rápidas, como tomar decisões que preservem nossa segurança pessoal, corporativa, cibernética e nacional em um mundo em que tudo vem ocorrendo em alta velocidade?
O mundo digital está cheio de decisões a tomar. A questão agora não é mais se uma instituição se digitalizará, mas sim quando. Das micro e pequenas empresas às grandes instituições, e até mesmo para nós como pessoas, a digitalização é uma necessidade. Com ela, também a necessidade de proteção e resiliência a ataques e intrusões. Exemplos de ataques cada vez mais pujantes, rápidos e arrojados não nos faltam. Apenas de Janeiro a Julho de 2021, o Brasil foi o quinto país do mundo que mais sofreu com ataques de ransomware, com 9,1 milhão de registros, de acordo com o relatório de Ameaças Cibernéticas da SonicWall [1]. O governo foi o setor mais atacado, seguido pelos setores da Educação, Saúde e Varejo. Considerando todos os tipos de ataques, o Brasil é um dos principais alvos de ataques cibernéticos [2]. No segundo semestre de 2020, foi possível identificar um aumento considerável na quantidade e na frequência dos ataques, segundo dados divulgados pela Netscout [3]. A pandemia é uma das razões elencadas para tais aumentos repentinos no volume e frequência dos ataques, afinal ela acelerou o uso dos sistemas digitais e o trabalho remoto, fazendo com que as condições e comportamentos dos nossos sistemas se modificassem de forma rápida, pegando a todos de surpresa.
O custo médio de um ataque de ransomware à pequena empresa nos EUA gira em torno de US$ 25.000,00 ou o equivalente a aproximadamente R$ 130.000,00, na cotação de hoje, apenas com pagamentos de resgates [4]. Esse custo não considera efeitos na reputação de uma empresa, comprometimento na confiança dos clientes, custo para recuperar o sistema e, atualmente, com a vigência da Lei Geral de Proteção dos Dados (LGPD) custos com pagamentos de possíveis multas.
Seria esse o custo da negligência à segurança cibernética? Ou seria de fato custo de um ataque?
A maioria dos ataques resultam da exploração de vulnerabilidades existentes nos sistemas. Muitas dessas vulnerabilidades são bem conhecidas e poderiam ser facilmente tratadas. Por que então permanecem nos sistemas? Falta de investimentos, falta de interesse, falta de conhecimento? Em todos os casos, são resultantes de decisões, que assim como o piloto Lando Norris, são embasadas em dados, estatísticas e informações, mas mesmo assim os gestores decidem muitas vezes por negligenciar a segurança cibernética. Meios de avaliar e entender a segurança dos sistemas com base em dados não nos faltam e essa área tem evoluído rapidamente para apoiar esses sistemas diante de condições cada vez mais dinâmicas e que necessitam de decisões rápidas e bem embasadas. Por que os gestores continuam decidindo por fechar os olhos e negligenciar a segurança de seus sistemas? Ou por que, quando decidem tratar a segurança, acabam optando por soluções baratas, que muitas vezes não resolvem mesmo os problemas mais simples?
Tenho observado que quando os gestores se remetem à segurança cibernética ou LGPD, eles optam por uma postura reativa, muitas vezes buscando um advogado em vez de tratar o problema de fato por um especialista da área de computação. Será que essa é a melhor estratégia? Colocar uma mensagem no site informando que a empresa segue a LGPD não significa tratar de fato as vulnerabilidades de segurança no sistema. Os gestores e as pessoas precisam avançar na forma de pensar sobre a segurança cibernética, precisam sim ficar atentos a todo momento, se precaver ao máximo, pois com um mundo digital cada vez mais dinâmico, em que as condições mudam rapidamente de um momento para outro, se não soubermos usar os dados a nosso favor a fim predizer e embasar nossas decisões de forma pró-ativa, não conseguiremos nos proteger de ataques cada vez mais frequentes e potentes.
Ficam as reflexões!
Eu também escrevi esses dois outros artigos nos meses passados, talvez você se interesse:
- Cientista de Dados em Cibersegurança: A Cereja do Bolo!
- Direito à Proteção de Dados e a Responsabilidade Civil: Qual a Contribuição da Sociedade Brasileira de Computação?
Nós estamos com pré-inscrições para o Curso Online de Introdução à Ciência de Dados aplicada à Ciberseguança. Veja se é de seu interesse clicando no link.
Um abraço e boas leituras!
Michele Nogueira
Referências
[1] SonicWall Cyber Threat Report – Mid-Year Update. Online. Último acesso em 30 de Agosto de 2021.
[2] NETSCOUT Threat Intelligence Report. Online. Último acesso em 30 de Agosto de 2021.
