Domingo Montanaro fala sobre o cenário de cybercrime em 2021
Ano novo, risco velho!
Em 2020, acompanhamos o aumento de incidentes cibernéticos em todos os setores da economia global. A adoção do home office de forma improvisada por conta da pandemia do novo corona vírus, mostrou-se frágil diante dos atacantes. Para o cofundador da Ventura Academy e perito em TI, Domingo Montanaro, em 2021, o cenário é de intensificação do que vimos em 2020. Tanto no número de incidentes como no tamanho do impacto.
Acompanhe a entrevista na íntegra abaixo:
Em 2020 a pandemia e o isolamento social modificaram a forma de trabalho de muitas empresas e o Home Office tornou-se uma prática comum. Você enxerga alguma relação nesta mudança com o aumento de incidentes cibernéticos?
R: Com certeza. Home office é apenas um dos componentes da miríade de itens que observamos no dia a dia da mudança de comportamento das pessoas físicas e jurídicas. É tudo parte da transformação digital, que permite às empresas inovarem – resolvendo problemas de seus clientes, parceiros e colaboradores – e também aumentarem a eficiência operacional. Isso tudo é mais lucro (bônus), o que carrega consigo mais risco (ônus).
Quais fatores podem estar associados ao aumento de crimes cibernéticos? Os criminosos estão mais sofisticados ou as empresas mais vulneráveis?
R: Ambos. Definitivamente, a cada incidente, se observam melhorias nas táticas, técnicas e procedimento dos adversários. E não só nisso, mas também na estratégia, criatividade, entre outros inúmeros fatores que permitem que faturem a avassaladora quantia pecuniária que estão subtraindo da economia legítima produtiva global. Mas, ao mesmo tempo, empresas não param de inovar: seus squads com suas metodologias Agile e tudo agora sendo “4.0” promove um grande motor de inovação tecnológica, onde é raro notar que segurança é uma das principais prioridades.
Notamos que os criminosos não escolhem as empresas vítimas ao acaso. Quanto mais dependente de seus sistemas ou quanto mais valiosos os seus dados, maior o poder de barganha dos criminosos. Em sua opinião, empresas de que setores da economia serão mais visadas por criminosos cibernéticos?
R: Depende do tipo de adversário. Nações (países articuladores de cybercrime) tradicionalmente buscam propriedade intelectual. Cyber gangues (o que eu chamo de “empreendedores do cybercrime”) procuram monetizar rapidamente e de qualquer jeito. Não acho que existirá um foco ou nicho, mas observo que cada vez mais esses bandidos olham para os tipos de dados que eles têm acesso e o quanto isso pode “machucar” a reputação da companhia, sem citar as ameaças de sanções legais que esses já incorporam em seu arsenal extorsivo. Nesse sentido, eu colocaria atenção especial às empresas da área da saúde, pois, é difícil encontrar uma empresa da área da saúde que tenha um nível alto de maturidade de gerenciamento de risco cibernético. Minha impressão é que não só os adversários começaram a perceber isso, como também o próprio Estado colocará olhos atentos nesse setor. Eu não sou expert em legislação, mas minha percepção é que aqui no Brasil as empresas desse setor ficaram relativamente ilesas à sanções do Estado por ataques cibernéticas nas últimas décadas, algo que não é observado nos EUA, que têm a HIPAA – com sanções aplicadas mensalmente – desde 1996.
A Lei Geral de Proteção de Dados passou a vigorar em 2020 e a partir de 2021 os agentes públicos já poderão aplicar multas relativas à LGPD. Na sua visão, as empresas brasileiras estão plenamente adaptadas à lei? Tem alguma exigência específica que é mais difícil de ser cumprida?
O que eu vejo são empresas ainda com muita dificuldade de absorver todos os conceitos da Lei. Ainda que tenham contratado empresas grandes de consultoria e passado por enormes projetos de “adequação”, o cerne da questão ainda não está no âmago dessas corporações. Muito se fala de “multa”, mas na minha opinião a lei tem sanções piores como as interrupções de operação. Eu acho que o mais difícil de ser cumprido não é um item ou outro da lei, mas a mudança de mindset mesmo. Vejo as empresas ainda extraindo o máximo do “data is the new oil” sem olhar o ônus desse fenômeno. E isso não é só estar em conformidade com uma lei. A lei é só um pedaço – obrigatório, é claro – da equação.