Baixo investimento em cibersegurança abre as portas para ataques cada vez mais intensos e prejudiciais, colocando em risco diversos setores do país
Recentemente, o Fórum Econômico Mundial divulgou uma previsão de que em 2025 as tecnologias da próxima geração vão liquidar defesas e darão início a uma pandemia cibernética mundial. No entanto, o analista da TGT Consult/ ISG, Paulo Brito, alerta que o Brasil já vive uma crise cibernética, mas muitas empresas brasileiras ainda não se deram conta disso em razão de todo o foco estar voltado para a crise e incerteza econômica causada pela Covid-19. De acordo com o analista, o cenário já é crítico e não vai melhorar, caso empresas, instituições e governos não dobrem seus esforços e investimentos para mitigar riscos cibernéticos.
Imagine que alguém precisa fazer um procedimento cirúrgico. A enfermeira entra no quarto antes do procedimento para confirmar seus dados, mas seu nome está errado, sua data de nascimento e tipo sanguíneo também. Ou pior, imagine que seus dados estão corretos e, durante o procedimento, o fornecimento de energia do hospital para de funcionar. Não só do hospital, como da cidade inteira. Todos os equipamentos utilizados até aquele momento para garantir sua estabilidade durante uma cirurgia delicada deixam de funcionar sem aviso prévio e sem motivo aparente e, agora, sua vida está em risco. Esse tipo de incidente aconteceu na Inglaterra, em 12 de maio de 2017, durante o ataque de WannaCry, que atingiu cerca de 230.000 computadores ao redor do mundo, congelando organizações como o Serviço Nacional de Saúde do Reino Unido (National Health Service).
No final de junho deste ano, um ataque cibernético aos laboratórios da Fleury, que atende hospitais como o Sírio Libanês e A.C. Camargo Câncer Center prejudicou os sistemas desses centros médicos. Apesar de o dano não ter atingido o nível do cenário hipotético demonstrado no começo do texto, houve atraso na entrega de exames, já que os médicos, enfermeiros e profissionais perderam acesso ao sistema dos laboratórios temporariamente.
Os cenários apresentados no começo do texto são hipotéticos, mas bem próximos da realidade de casos recentes de ataques cibernéticos. “Se esses ataques não tivessem sido impedidos, os resultados seriam catastróficos. Estamos falando de apagões em cidades ou até estados inteiros e danos irreparáveis em indústrias dos mais diversos setores”. Um exemplo é o ataque feito a uma estação de tratamento de água na Flórida, que envolvia despejar volumes acima da média de hidróxido de sódio – substância que se torna corrosiva em excesso – na água que seria consumida por famílias inteiras.
A pandemia cibernética pós-coronavírus já está acontecendo e os ataques recentes já citados neste artigo são apenas alguns dos muitos exemplos. Para Brito, “é fácil afirmar que quase todos os brasileiros atualmente já tiveram seus dados vazados, abrindo um mercado extremamente valioso para cibercriminosos, que pagam por esses dados de telefone, e-mail, dados bancários, endereços, senhas, entre outros para práticas fraudulentas”.
Se o ataque ao laboratório não tivesse sido impedido, as consequências seriam gravíssimas, como defende o analista. “Uma simples troca de informações de tipo sanguíneo, ou até apagar dados de alergias a medicamentos de um paciente, com certeza iria causar sérios riscos à saúde dos envolvidos”, diz o analista.
O crescimento significativo do mercado de segurança cibernética, impulsionado pelo cibercrime na pandemia da Covid-19, é uma das provas de que o Brasil precisa de maior atenção no tópico cibersegurança, segundo aponta o estudo ISG Provider Lens Cybersecurity – Solutions & Services Brasil 2021, previsto para lançamento no início do mês de agosto.
“O Brasil movimenta anualmente cerca de US$60 bilhões somente com investimentos na área da tecnologia da informação. Apesar de o número ser alto, não chega nem perto do suficiente, uma vez que o valor destinado à segurança da informação é de apenas US$8 bilhões, menos de 15%. Considerando a extensão do nosso país, um dos maiores do mundo em território, há muito o que se fazer para tornar os investimentos em segurança cibernética sequer aceitáveis”, expressa o analista da TGT Consult e autor da pesquisa ISG.
Para João Carlo Mauro, especialista em Gestão de Riscos de Segurança da Informação da TGT Consult, um parâmetro mais adequado é o da necessidade de investimento em função dos incidentes que têm ocorrido e das demandas que agora existem em função de regulamentações. “Historicamente, o investimento em segurança da maioria das indústrias menos ligadas ao setor financeiro, em geral, sempre foi mínimo e tendo de ser dividido com a área de TI. Infelizmente, esses investimentos, mesmo para a TI, já não eram expressivos, uma vez que temos diversas empresas com parque obsoleto, com sistemas legados antigos e infraestrutura desatualizada. Um verdadeiro prato cheio para incidentes de segurança, já que muitas vezes as vulnerabilidades desses ambientes já não contam com as correções do fabricante da solução”.
João Mauro alerta que vem observando no mercado um comportamento repetitivo, no qual executivos insistem em demandar a pauta da Segurança da Informação para a área de TI e muitas empresas que vêm deixando, ao longo dos anos, de investir na melhoria de seus parques tecnológicos e modernizar seus recursos de segurança. “Isso, infelizmente, parece mesmo um déjà-vu: temos um cenário parecido com o que vemos na nossa realidade pandêmica e de muitos países. Traçando um paralelo à pandemia da Covid-19, o cenário cibernético não é diferente: a falta de médicos e hospitais preparados, desinformação da população em como se prevenir e reagir em casos de contaminação, e um ambiente corporativo muito propício para proliferação de vírus ou ataques. Até que se descubra como enfrentar o ataque do vírus, muitas empresas e pessoas poderão quebrar ou terão prejuízos como sequelas gravíssimas”.