Introdução

A Segurança Cibernética, uma vez limitada à experiência de especialistas em Tecnologia da Informação, tornou-se uma questão crítica para os negócios envolvendo lideranças empresariais de alto nível em todo o mundo.

Uma pesquisa recente com executivos empresariais, feita pela Lloyd’s of London (“Lloyd’s Risk Index 2013”), apontou que o crime cibernético ocupa a terceira posição (atrás de tributação elevada e perda de clientes) entre os riscos que confrontam as empresas globais. Na pesquisa realizada pela Lloyd’s apenas dois anos antes, o crime cibernético ocupava a 12ª posição na lista dos riscos enfrentados pelos líderes empresariais – o que evidencia o forte aumento do risco cibernético em meio às rápidas mudanças no ambiente tecnológico e regulatório.

Durante a Conferência Europeia da RSM em Bucareste, Yoav Tzruya, da JVP Cyber Labs, fez uma exposição sobre crimes cibernéticos e as ameaças enfrentadas pelas empresas atualmente. Entre algumas das maiores ameaças estão: phishing, software malicioso, perturbação/ desfiguração da organização, roubo de informações financeiras, e ataques cibernéticos para roubar propriedade intelectual ou dados confidenciais.

Muitos ataques cibernéticos às empresas emanam de agentes externos, como: organizações criminosas cibernéticas (muitas baseadas na Europa Oriental e na antiga União Soviética), "hacktivistas" (grupos que realizam ataques cibernéticos para promover objetivos políticos ou ideológicos), e hackers (indivíduos que exploram a crescente facilidade de penetração em sistemas de internet). Os ataques cibernéticos também se tornaram um instrumento geoestratégico dos estados-nação, notavelmente na China e na Federação Russa - fenômeno que levou a OTAN incluir o ciberespaço como o quinto domínio de guerra (juntando terra, mar, ar e espaço) no Artigo 5º da organização, a cláusula de defesa coletiva.

Ainda, os líderes empresariais também citam funcionários como um dos agentes causadores do crime cibernético. Um relatório da empresa de gestão de risco Kroll ("2014 Cyber ​​Security Forecast") indica que quase metade das violações de dados corporativos resulta das ações de funcionários. O aumento de ataques cibernéticos internos apresenta questões complexas de TI, recursos humanos, jurídico e gestão financeira das empresas afetadas.

Causas do Crime Cibernético

O aumento dos crimes cibernéticos é resultado dos seguintes fatores:

  • A difusão global da internet, o que tem aumentado a vulnerabilidade das empresas a ataques cibernéticos, que estão apoiados em sistemas de banda larga de alta velocidade.
  • A ascensão das tecnologias móveis e computação em nuvem, o que ampliou o volume de informações confidenciais suscetíveis ao acesso não autorizado.
  • A crescente sofisticação tecnológica dos atacantes cibernéticos, cuja capacidade de operar com velocidade e força excede a capacidade defensiva das empresas ancoradas aos tradicionais sistemas de segurança de TI.

O crime cibernético é um conflito assimétrico que favorece os invasores sobre os defensores. O ciberespaço não possui fronteiras físicas, e oferece uma entrada fácil para hackers individuais e pequenos grupos que mascaram suas identidades ao lançar ataques cibernéticos. As corporações muitas vezes não conseguem detectar e responder a um ataque de maneira ágil buscando conter danos, à medida que normalmente são exigidos dias, semanas ou até meses para montar uma defesa eficaz (ou seja, descobrir a falha de segurança e restauro de bens perdidos ou danificados).

Baseados nessa assimetria, especialistas de TI passaram a considerar o crime cibernético como o “novo normal” dos negócios globais. Os líderes empresariais têm de aceitar a inevitabilidade de ataques cibernéticos, e construir sistemas de segurança e procedimentos que, além de evitar ataques (defesa cibernética), permitam à organização resistir a ataques quando eles tiverem sucesso (resiliência cibernética).

Custos

O crime cibernético impõe uma série de custos diretos em empresas globais:

  • Roubo de ativos financeiros.
  • Perda da propriedade intelectual.
  • Violação de informações confidenciais.
  • Custos de recuperação/ restauração de dados violados.
  • Danos à reputação da empresa.

Os ataques cibernéticos também geram significativos custos de oportunidade: desvio de recursos empresariais das áreas de P&D e de outras atividades de criação de valor para infraestrutura de segurança cibernética, perda de vendas a clientes afetados por falhas de segurança, diminuição no fluxo de capital de investidores avessos ao risco.

Um estudo, feito pelo Centro de Estudos Estratégicos e Internacionais da Universidade de Georgetown (CSIS) (“Net Losses: Estimating the Global Cost of Cyber crime”) em junho de 2014, estima o custo global anual dos crimes cibernéticos em US$ 375-575 bilhões. Isso representa 15-20% do valor dos negócios relacionados à internet em todo o mundo. Os custos econômicos reais podem ser maiores em função dos diversos casos de ataques cibernéticos não relatados, o que reflete a relutância de muitos gerentes em divulgar os eventos cibernéticos prejudiciais para a reputação da organização.

O estudo conduzido pelo CSIS relata variações consideráveis por país. Com base na proporção em relação ao PIB, o custo dos crimes cibernéticos é maior na Alemanha (1,6%), Holanda (1,5%), Noruega (0,64%), e nos Estados Unidos (0,64%). Entre os países da OCDE, Japão (0,02%), Austrália (0,08%) e Nova Zelândia (0,09%) apresentam as menores participações relativas em crimes cibernéticos. Entretanto, os crimes cibernéticos estão aumentando em países emergentes como o Brasil (0,32% do PIB), onde a penetração da internet está crescendo em meio a estruturas legais e regulatórias fracas.

Alvos de Ataques Cibernéticos

As instituições financeiras representam o principal alvo de ataques cibernéticos. Uma análise feita pelo Ponemon Institute (“Cost of Cyber Crime Study: United States”) relatou que, em 2013, as empresas de serviços financeiros dos Estados Unidos registraram perdas relacionadas a ataques cibernéticos estimadas na média de US$ 23,2 milhões. Em agosto de 2014, vários bancos americanos (incluindo JPMorgan Chase) sofreram ataques coordenados por grupos cibernéticos que infiltraram as redes de computadores dos bancos e apropriaram-se de grande quantidade de informações dos clientes. Bancos e outras instituições financeiras são alvos fáceis de crimes cibernéticos relacionados ao roubo de informações financeiras, em virtude do porte dos ativos, da visibilidade pública e do volume de transações eletrônicas.

Entretanto, empresas de outros setores, além de serviços financeiros, estão se tornando alvos dos ataques cibernéticos. De acordo com o estudo do Ponemon Institute, a indústria de defesa dos EUA está logo após as empresas de serviços financeiros em perdas médias por empresa (US$ 23,2 millhões). A indústria de defesa norte-americana é de interesse expresso dos grupos cibernéticos que buscam informações confidenciais sobre a tecnologia militar e inteligência de negócios da indústria de defesa dos EUA.

A indústria de energia e serviços também figura entre os principais alvos (com perda média de US$ 21,0 milhões, em 2013), o que ilustra a vulnerabilidade das centrais elétricas e redes elétricas a falhas de funcionamento causadas por ataques cibernéticos. Ainda, empresas de varejo têm se tornado vítimas de ataques cibernéticos. O caso mais dramático consiste na violação de dados da base norte-americana da Target Corporation, no final de 2013, que afetou 70 milhões de clientes e acarretou em US$ 200 milhões em perdas de cartão de crédito, além de resultar no afastamento do CEO da Target e de outros CIOs. Outras empresas líderes de varejo como a eBay, Home Depot, e TJ Maxx também foram vítimas de crimes cibernéticos.

O crime cibernético também está afetando as principais indústrias de manufatura. A vulnerabilidade cibernética da indústria de manufatura foi demonstrada em 2010 através do ataque a instalações nucleares no Irã com o Stuxnet, um vírus desenvolvido por engenheiros de software norte-americanos e israelenses que alterou as frequências de acionamento do motor de centenas de centrífugas de gás e atrasou o programa nuclear iraniano por anos. Os avanços tecnológicos, especialmente das tecnologias móveis e dispositivos embarcados (“internet das coisas”), têm ampliado, simultaneamente, o potencial de produtividade da indústria de manufatura e a vulnerabilidade a ataques cibernéticos a esta indústria.

Conclusão: Oportunidades Comerciais na Gestão do Risco Cibernético

 

À medida que o crime cibernético apresenta desafios significativos para as empresas globais de uma ampla gama de indústrias, também cria grandes oportunidades comerciais para fornecedores de produtos e serviços de segurança cibernética. O CSIS estima o mercado potencial de segurança cibernética em US$ 58,2 bilhões. Este mercado inclui equipamentos de segurança, serviços de consultoria, serviços gerenciados de segurança, suporte a políticas e conformidades, gestão de web, sistemas de prevenção a ataques, firewalls de internet, e análise forense. Além dos sistemas de segurança cibernéticos, as empresas globais apresentam aumento da demanda por serviços especializados em desenho organizacional, governança corporativa e gestão de recursos humanos para melhorar a sua prontidão para lidar com a ameaça cibernética.