Por Mário Izaias
Estudo de percepção do risco cibernético na América Latina (principalmente em tempos de Covid 19), realizado em conjunto entre a March e a Microsoft, revela que apenas 16% das empresas brasileiras aumentaram seu orçamento em cibersegurança durante a pandemia. Apesar do número baixo, 30% das organizações afirmaram ter sofrido mais ataques. Grande parte desses ataques teve como alvo as instituições financeiras, de acordo com a equipe de inteligência da CrowdStrike.
É válido afirmar que o advento, sem precedentes, da pandemia permitiu que cibercriminosos, que já vinham aumentando sua experiência e sua capacidade de ação nessa área, encontrassem um cenário promissor para que pudessem explorar essas organizações.
A partir do entendimento desse cenário, é possível apontar alguns caminhos para que as áreas responsáveis pela segurança de dados nas instituições financeiras possam enfrentar com mais assertividade as ameaças cibernéticas ao setor.
O primeiro passo, sem dúvida, é o da automatização dos processos que, hoje em dia, é um dos componentes fundamentais para acelerar as operações das empresas e desempenham um papel importante na inteligência artificial. De acordo com a pesquisa Reinventando a Cibersegurança com Inteligência Artificial, do Capgemini Research Institute, dois terços das organizações já utilizam a tecnologia para fins de segurança cibernética.
A velocidade com que as instituições, principalmente as financeiras, precisam responder aos ataques por si só, justifica os investimentos na automatização com usos de inteligência artificial. Em nossas interações com os clientes, costumamos recomendar que as organizações adotem a regra 1-10-60 (detectar invasões em menos de um minuto, investigar e compreender as ameaças em menos de 10 minutos, conter e eliminar o adversário do ambiente em menos de 60 minutos) para combater efetivamente ameaças cibernéticas sofisticadas.
Definitivamente, podemos afirmar que operar na velocidade 1-10-60 requer mais do que tecnologia. A defesa contra ameaças sofisticadas exige processos maduros e profissionais de segurança eficazes e dedicados 24 horas por dia, 7 dias por semana. A organização que tentar fazer isso por conta própria encontrará como principal obstáculo o fato de precisar montar equipes dedicadas ao monitoramento e segurança, o que, no fim das contas, pode ser bastante oneroso. Dessa forma, fazer parceria com os melhores fornecedores de soluções da categoria para ajudar a preencher as lacunas críticas de talentos de maneira eficaz pode ser a via mais efetiva para lidar com a questão.
Outro aspecto a ser pensado quando se trata de ameaças cibernéticas diz respeito ao usuário final. O entendimento atual de especialistas na área é de que não dá para desvincular a cibersegurança deste usuário. Recentemente, ao comentar com o responsável pelo setor de segurança de uma importante instituição financeira que a inteligência da CrowdStrike detectou que os criminosos estão introduzindo novos modelos de ataques ransomware com técnicas de big game hunt (BGH) e se tornaram ainda mais potentes com a adição de técnicas de chantagem e extorsão, perguntei o que a instituição em que trabalha está fazendo para mitigar essas novas ameaças. Ele foi categórico: “Não adianta implementar inteligência artificial, camadas de proteção etc., se a empresa não tiver um colaborador consciente. E isso só é possível criando uma cultura de treinamentos robustos e constantes.”
Em outras palavras, as organizações precisam ter no radar a necessidade de envolver seus usuários na luta contra os cibercriminosos. E esse deve ser um processo constante. Embora a tecnologia seja claramente importante na luta para impedir invasores, o usuário final continua sendo um elo crítico na cadeia. A todo momento, surge uma nova técnica orquestrada por equipes criminosas que continuam evoluindo seu modelo operacional. Se somarmos a isso o fato de que, também no setor financeiro, muitos colaboradores estão em home office, usando redes domésticas, temos aí mais um grande desafio para a segurança. E, por mais que se invista em modelos matemáticos, em tecnologia, em plataformas de segurança, tudo isso pode estar em risco se você não tem um usuário final consciente.
Enquanto as ameaças cibernéticas ao sistema financeiro aumentam e os cibercriminosos se mostram muito dispostos a encontrar métodos de lesar e explorar as instituições bancárias e seus clientes, a legislação se apresenta como um grande incentivador para que tais instituições invistam cada vez mais em cibersegurança.
Neste sentido, temos a Resolução 4.658, do Banco Central. Ela determina que as instituições autorizadas a atuar no setor financeiro no país, devem adotar medidas que garantam a proteção e mitigação de ataques maliciosos, além da própria Lei Geral de Proteção de Dados (LGPD). Mais do que necessária, a legislação acaba por cumprir o papel de nortear as instituições no caminho da monitoração, prevenção e eliminação de riscos.
Em resumo, em um mundo em que os cibercriminosos conseguem realizar invasões complexas e manipular sistemas de instituições situadas em diferentes continentes, operando com segurança de qualquer parte do mundo, o investimento que se faz em proteção se transforma em um valor agregado ao seu produto.
*Mário Izaias é account manager da CrowdStrike
