Os cibercriminosos estão mais bem equipados e mais prolíficos do que nunca – a única maneira de combater a crescente ameaça é ficar esperto e vencê-los em seu próprio jogo

 O  ano  de  2020  foi  um  alerta  para  todas  as  empresas  que  ainda  estão  atrasadas  na  curva  digital. Como   centenas   de   milhões   de   pessoas   estão   trabalhando   em   casa,   nas   circunstâncias   sem precedentes   causadas   pela   crise   do   COVID-19,   as   medidas   de   segurança   cibernética   foramestendidas até o limite e os criminosos perceberam as oportunidades.

Embora muitas empresas já tenham aproveitado as oportunidades trazidas pela transformação digital – Inteligência Artificial (AI), redes móveis sem fio de quinta geração (5G) e a crescente disponibilidade de energia computacional barata -, elas não são as únicas a colher os dividendos.

Os cibercriminosos estão utilizando da mesma tecnologia para seus próprios fins maliciosos – sejam ataques cibernéticos, fraude de dados, roubo ou todos os itens acima.

Os ciberataques à infraestrutura crítica afetaram setores como os de energia, saúde e transporte. Enquanto isso, a mudança quase universal das organizações para um modelo de ecossistema – parcerias intrincadas e longas cadeias de suprimentos, possibilitadas pela computação em nuvem – colocou os setores público e privado em um maior risco de serem reféns dos cibercriminosos.

“Se olharmos para o COVID-19, o Coronavírus, há grandes semelhanças”, diz Philipp Hurni, Líder de  Prática  Global  em  Engenharia  de  Riscos  Cibernéticos  da  Zurich  Insurance  Group.  E  explica: “você  precisa  estar  ciente  de  que  ele  existe  e  ter  uma  higiene  específica  para  impedir  que  você  o pegue. E, se você o contraiu, como se tratar e se  recuperar? Isto é exatamente a mesma forma de como  o  ransomware  está  sendo  espalhado  –  como  vimos  com  o  WannaCry  e  o  NotPetya  -,  na medida em que há uma ampla gama de informações que você precisa conhecer para enfrentá-lo”.

Além da pandemia, que virou a vida das pessoas de cabeça para baixo este ano, há outros paralelos entre os riscos tradicionais – como incêndio e inundação – e a maneira como o ransomware afeta os negócios. “Incêndios e inundações não se importam se causam danos ou não, enquanto um cibercriminoso se adaptará a isso”, afirma Hurni.

“As empresas têm seu seguro contra incêndio e responsabilidade civil, mas o seguro cibernético precisa estar próximo disso, porque esses desastres podem ser verdadeiramente catastróficos para o seu negócio”, acrescenta Hurni.

Segundo o executivo, todo mundo sabe que uma fábrica em chamas significa uma grande perda, porque atrapalha a produção comercial. Porém, nem todo executivo entende que os problemas cibernéticos podem ser ainda mais desastrosos, pois podem afetar muitos locais diferentes ao mesmo tempo.

“A ameaça de crime cibernético é, de muitas maneiras, ainda maior por estar em constante evolução. Incêndios e inundações não se importam se causam danos ou não, enquanto se um criminoso cibernético não for bem-sucedido, ele se adaptará e voltará a atacar com técnicas diferentes”, diz.

No entanto, aderir aos modelos tradicionais herdados da tecnologia da informação (TI) – desenvolvidos internamente e de forma mais fácil, protegidos contra riscos externos – não é mais viável para os negócios modernos. Mais de 75% dos líderes empresariais acreditam que os ecossistemas serão os principais disruptores dos modelos de negócios nos próximos cinco anos.

O risco pode ser gerenciado com sucesso, no entanto. O ponto de partida é reconhecer que cada empresa agora possui um grande “fator de dependência de tecnologia da informação”. Isso inclui os provedores de nuvem nos quais os aplicativos comerciais estão sendo executados, funções comerciais terceirizadas, como ferramentas de gerenciamento de RH ou processadores de pagamento e a cadeia de suprimento físico automatizada, cada vez mais direcionada por TI, de matérias-primas e peças.

Você precisa criar uma estrutura formal para identificar e gerenciar o risco

Embora o perigo representado por esse admirável mundo digital seja real e evidente, ele tem sido um risco “crescente”, aumentando ano após ano, com as etapas da cadeia de valor cada vez mais se tornando digitais. A maioria das empresas raramente conhecem totalmente o aumento do risco cibernético e, portanto, negligenciaram tomar contramedidas.

“Isso precisa mudar”, diz Hurni. “Primeiro, você precisa criar uma estrutura formal e recursos dedicados para identificar e gerenciar o risco. Também é necessário criar uma cultura de alfabetização digital em seus negócios e cadeia de suprimentos, para que todos entendam como o risco digital funciona para os ecossistemas. É preciso aprender e ensinar sempre, porque os cibercriminosos estão se tornando especialistas em engenharia social, espionando ecossistemas inteiros e, depois, invadindo uma organização para lançar um ataque ainda maior”.

“Mesmo assim, algumas pessoas ainda clicarão em um link de malware e eles infectarão sua máquina. Portanto, é necessário haver um sistema de monitoramento constante, com pessoas e processos para detectar violações e reagir rapidamente – porque você pode conter a severidade de um ataque cibernético drasticamente usando de resposta e recuperação rápidas”, afirma.

O  mesmo  nível  de  vigilância  é  necessário  em  todo  o  ecossistema,  com  medidas  tomadas  para garantir  que  fornecedores  e  parceiros  mantenham  sua  própria  “higiene  digital”.  Essa  tensão contínua   entre   empresas   e   cibercriminosos   só   vai   aumentar.   Os   ataques   de   ransomware   – facilmente a maior ameaça cibernética hoje em dia – aumentaram 41% no ano passado. No entanto, a probabilidade de ser condenado por esses crimes é muito baixa.

Atualmente, os criminosos podem terceirizar o ransomware como um serviço

E, longe de ser uma reserva de especialistas em computação altamente inteligentes e instruídos, essa forma de crime organizado está aberta a qualquer pessoa.

“Anos atrás, você precisava ter um entendimento completo da tecnologia da informação para realizar ciberataques”, diz Oliver Delvos, Gerente global de subscrição cibernética da Zurich. “Mas, hoje em dia, os criminosos podem terceirizar o ransomware como um serviço da mesma forma que as empresas legítimas usam o Software como Serviço (SaaS). Os profissionais do ramo de crimes cibernéticos lidam com muitas tarefas individuais necessárias para realizar um ataque cibernético, fornecendo o malware e as listas de possíveis vítimas. Um ecossistema criminal foi criado com qualidade e profissionalismo amplamente aprimorados e, como o pagamento é feito com criptomoedas, os criminosos podem permanecer completamente anônimos”.

“Você quase não precisa de nenhum conhecimento ou experiência para ser um cibercriminoso de sucesso – você pode basicamente ficar como apoio e usar as ferramentas fornecidas por eles”, acrescenta Delvos.

Este  é  apenas  o  começo.  O  Relatório  Global  de  Riscos  2020,  produzido  pelo  Fórum  Econômico Mundial em colaboração com a Zurich, classifica os ataques cibernéticos como o segundo risco mais preocupante para as empresas globais na próxima década.

Atualmente, já vemos métodos de inteligência artificial aplicados em técnicas de ataques cibernéticos – mas eles ainda estão começando. Na próxima década, essas tecnologias  amadurecerão e o desenvolvimento da computação quântica poderá permitir que os cibercriminosos quebrem a maior parte da criptografia de ponta atualmente em um futuro não muito distante. Portanto, é obvio que o problema cibernético se tornará bem mais complexo e desafiador. O tempo para agir e implementar um contra plano abrangente está efetivamente sobre nós.

Principais tópicos:
  • O risco cibernético é maior do que nunca – e cresce exponencialmente
  • A transformação digital é uma força para o bem e para o mal
  • Muitas empresas subestimam o risco cibernético
  • As contramedidas precisam ser abrangentes, multifacetadas e apoiadas com financiamento e apoio da diretoria

A seguradora Zurich soma o conhecimento do mercado brasileiro, no qual tem mais de 80 anos de experiência, à expertise internacional em soluções de seguros multicanal. A Zurich atesta solidez financeira e segue rígido padrão global de conduta, praticado em todas as suas operações. Dedica-se a compreender as necessidades dos clientes e oferece soluções para pessoas físicas e jurídicas, de pequenas empresas a multinacionais Zurich Insurance Group (Zurich) é uma seguradora líder multicanal que apresenta soluções para seus clientes e parceiros na esfera local e global. Com cerca de 55 mil colaboradores, fornece  uma  ampla  gama  de  serviços   e  produtos   em  Seguros   de  Vida  e  de  Ramos Elementares em mais de 215 países e territórios. Entre os clientes da Zurich encontram-se indivíduos, pequenas e médias empresas, assim como grandes empresas e multinacionais. O  Grupo  está  sediado  em  Zurich,  Suíça,  onde  foi  fundado  em  1872.  O  Zurich  Insurance Group  Ltd  (ZURN)  está  listado  no  Six  Swiss  Exchange  e  tem  o  Nível  I  no  programa American Depositary Receipt (ZURVY), que é transacionado fora da bolsa no OTCQX