Introdução
A Segurança Cibernética, uma vez limitada à experiência de especialistas em Tecnologia da Informação, tornou-se uma questão crítica para os negócios envolvendo lideranças empresariais de alto nível em todo o mundo.
Uma pesquisa recente com executivos empresariais, feita pela Lloyd’s of London (“Lloyd’s Risk Index 2013”), apontou que o crime cibernético ocupa a terceira posição (atrás de tributação elevada e perda de clientes) entre os riscos que confrontam as empresas globais. Na pesquisa realizada pela Lloyd’s apenas dois anos antes, o crime cibernético ocupava a 12ª posição na lista dos riscos enfrentados pelos líderes empresariais – o que evidencia o forte aumento do risco cibernético em meio às rápidas mudanças no ambiente tecnológico e regulatório.
Durante a Conferência Europeia da RSM em Bucareste, Yoav Tzruya, da JVP Cyber Labs, fez uma exposição sobre crimes cibernéticos e as ameaças enfrentadas pelas empresas atualmente. Entre algumas das maiores ameaças estão: phishing, software malicioso, perturbação/ desfiguração da organização, roubo de informações financeiras, e ataques cibernéticos para roubar propriedade intelectual ou dados confidenciais.
Muitos ataques cibernéticos às empresas emanam de agentes externos, como: organizações criminosas cibernéticas (muitas baseadas na Europa Oriental e na antiga União Soviética), "hacktivistas" (grupos que realizam ataques cibernéticos para promover objetivos políticos ou ideológicos), e hackers (indivíduos que exploram a crescente facilidade de penetração em sistemas de internet). Os ataques cibernéticos também se tornaram um instrumento geoestratégico dos estados-nação, notavelmente na China e na Federação Russa - fenômeno que levou a OTAN incluir o ciberespaço como o quinto domínio de guerra (juntando terra, mar, ar e espaço) no Artigo 5º da organização, a cláusula de defesa coletiva.
Ainda, os líderes empresariais também citam funcionários como um dos agentes causadores do crime cibernético. Um relatório da empresa de gestão de risco Kroll ("2014 Cyber Security Forecast") indica que quase metade das violações de dados corporativos resulta das ações de funcionários. O aumento de ataques cibernéticos internos apresenta questões complexas de TI, recursos humanos, jurídico e gestão financeira das empresas afetadas.
Causas do Crime Cibernético
O aumento dos crimes cibernéticos é resultado dos seguintes fatores:
- A difusão global da internet, o que tem aumentado a vulnerabilidade das empresas a ataques cibernéticos, que estão apoiados em sistemas de banda larga de alta velocidade.
- A ascensão das tecnologias móveis e computação em nuvem, o que ampliou o volume de informações confidenciais suscetíveis ao acesso não autorizado.
- A crescente sofisticação tecnológica dos atacantes cibernéticos, cuja capacidade de operar com velocidade e força excede a capacidade defensiva das empresas ancoradas aos tradicionais sistemas de segurança de TI.
O crime cibernético é um conflito assimétrico que favorece os invasores sobre os defensores. O ciberespaço não possui fronteiras físicas, e oferece uma entrada fácil para hackers individuais e pequenos grupos que mascaram suas identidades ao lançar ataques cibernéticos. As corporações muitas vezes não conseguem detectar e responder a um ataque de maneira ágil buscando conter danos, à medida que normalmente são exigidos dias, semanas ou até meses para montar uma defesa eficaz (ou seja, descobrir a falha de segurança e restauro de bens perdidos ou danificados).
Baseados nessa assimetria, especialistas de TI passaram a considerar o crime cibernético como o “novo normal” dos negócios globais. Os líderes empresariais têm de aceitar a inevitabilidade de ataques cibernéticos, e construir sistemas de segurança e procedimentos que, além de evitar ataques (defesa cibernética), permitam à organização resistir a ataques quando eles tiverem sucesso (resiliência cibernética).
Custos
O crime cibernético impõe uma série de custos diretos em empresas globais:
- Roubo de ativos financeiros.
- Perda da propriedade intelectual.
- Violação de informações confidenciais.
- Custos de recuperação/ restauração de dados violados.
- Danos à reputação da empresa.
Os ataques cibernéticos também geram significativos custos de oportunidade: desvio de recursos empresariais das áreas de P&D e de outras atividades de criação de valor para infraestrutura de segurança cibernética, perda de vendas a clientes afetados por falhas de segurança, diminuição no fluxo de capital de investidores avessos ao risco.
Um estudo, feito pelo Centro de Estudos Estratégicos e Internacionais da Universidade de Georgetown (CSIS) (“Net Losses: Estimating the Global Cost of Cyber crime”) em junho de 2014, estima o custo global anual dos crimes cibernéticos em US$ 375-575 bilhões. Isso representa 15-20% do valor dos negócios relacionados à internet em todo o mundo. Os custos econômicos reais podem ser maiores em função dos diversos casos de ataques cibernéticos não relatados, o que reflete a relutância de muitos gerentes em divulgar os eventos cibernéticos prejudiciais para a reputação da organização.
O estudo conduzido pelo CSIS relata variações consideráveis por país. Com base na proporção em relação ao PIB, o custo dos crimes cibernéticos é maior na Alemanha (1,6%), Holanda (1,5%), Noruega (0,64%), e nos Estados Unidos (0,64%). Entre os países da OCDE, Japão (0,02%), Austrália (0,08%) e Nova Zelândia (0,09%) apresentam as menores participações relativas em crimes cibernéticos. Entretanto, os crimes cibernéticos estão aumentando em países emergentes como o Brasil (0,32% do PIB), onde a penetração da internet está crescendo em meio a estruturas legais e regulatórias fracas.
Alvos de Ataques Cibernéticos
As instituições financeiras representam o principal alvo de ataques cibernéticos. Uma análise feita pelo Ponemon Institute (“Cost of Cyber Crime Study: United States”) relatou que, em 2013, as empresas de serviços financeiros dos Estados Unidos registraram perdas relacionadas a ataques cibernéticos estimadas na média de US$ 23,2 milhões. Em agosto de 2014, vários bancos americanos (incluindo JPMorgan Chase) sofreram ataques coordenados por grupos cibernéticos que infiltraram as redes de computadores dos bancos e apropriaram-se de grande quantidade de informações dos clientes. Bancos e outras instituições financeiras são alvos fáceis de crimes cibernéticos relacionados ao roubo de informações financeiras, em virtude do porte dos ativos, da visibilidade pública e do volume de transações eletrônicas.
Entretanto, empresas de outros setores, além de serviços financeiros, estão se tornando alvos dos ataques cibernéticos. De acordo com o estudo do Ponemon Institute, a indústria de defesa dos EUA está logo após as empresas de serviços financeiros em perdas médias por empresa (US$ 23,2 millhões). A indústria de defesa norte-americana é de interesse expresso dos grupos cibernéticos que buscam informações confidenciais sobre a tecnologia militar e inteligência de negócios da indústria de defesa dos EUA.
A indústria de energia e serviços também figura entre os principais alvos (com perda média de US$ 21,0 milhões, em 2013), o que ilustra a vulnerabilidade das centrais elétricas e redes elétricas a falhas de funcionamento causadas por ataques cibernéticos. Ainda, empresas de varejo têm se tornado vítimas de ataques cibernéticos. O caso mais dramático consiste na violação de dados da base norte-americana da Target Corporation, no final de 2013, que afetou 70 milhões de clientes e acarretou em US$ 200 milhões em perdas de cartão de crédito, além de resultar no afastamento do CEO da Target e de outros CIOs. Outras empresas líderes de varejo como a eBay, Home Depot, e TJ Maxx também foram vítimas de crimes cibernéticos.
O crime cibernético também está afetando as principais indústrias de manufatura. A vulnerabilidade cibernética da indústria de manufatura foi demonstrada em 2010 através do ataque a instalações nucleares no Irã com o Stuxnet, um vírus desenvolvido por engenheiros de software norte-americanos e israelenses que alterou as frequências de acionamento do motor de centenas de centrífugas de gás e atrasou o programa nuclear iraniano por anos. Os avanços tecnológicos, especialmente das tecnologias móveis e dispositivos embarcados (“internet das coisas”), têm ampliado, simultaneamente, o potencial de produtividade da indústria de manufatura e a vulnerabilidade a ataques cibernéticos a esta indústria.
Conclusão: Oportunidades Comerciais na Gestão do Risco Cibernético
À medida que o crime cibernético apresenta desafios significativos para as empresas globais de uma ampla gama de indústrias, também cria grandes oportunidades comerciais para fornecedores de produtos e serviços de segurança cibernética. O CSIS estima o mercado potencial de segurança cibernética em US$ 58,2 bilhões. Este mercado inclui equipamentos de segurança, serviços de consultoria, serviços gerenciados de segurança, suporte a políticas e conformidades, gestão de web, sistemas de prevenção a ataques, firewalls de internet, e análise forense. Além dos sistemas de segurança cibernéticos, as empresas globais apresentam aumento da demanda por serviços especializados em desenho organizacional, governança corporativa e gestão de recursos humanos para melhorar a sua prontidão para lidar com a ameaça cibernética.