Por Tácito Augusto Silva Leite* e Igor Pipolo**
Analisamos o relatório The Global Risks Report 2018, sob a ótica da segurança lógica e física, e ficou claro que os riscos de segurança cibernética estão crescendo, tanto em sua relevância como em seu potencial disruptivo. As infraestruturas críticas estão mais ameaçadas do que em anos anteriores. Os ataques contra as empresas quase duplicaram em cinco anos, e os incidentes, que uma vez foram considerados extraordinários, estão se tornando cada vez mais comuns. O impacto financeiro das violações da cibersegurança está aumentando, e alguns dos maiores custos em 2017 relacionaram-se a ataques com solicitação de resgate, que representaram 64% de todos os e-mails maliciosos. Exemplos notáveis incluíram o ataque WannaCry – que afetou 300 mil computadores em 150 países – e NotPetya, o que causou perdas trimestrais de US$ 300 milhões para várias empresas afetadas. Outra tendência crescente é o uso de ataques cibernéticos direcionado às infraestruturas críticas e setores industriais estratégicos, suscitando receios de que, no pior dos casos, os atacantes possam desencadear uma quebra nos sistemas que mantêm as sociedades funcionando (água, luz, comunicação, sistema financeiro, saúde entre outros).
Os ataques cibernéticos de Estado contra Estado aumentarão de forma imprevisível devido à falta de protocolos acordados.
As capacidades cibernéticas ofensivas estão se desenvolvendo mais rapidamente do que a nossa capacidade de lidar com incidentes hostis. Isso cria uma névoa de incerteza em que possíveis erros de cálculo podem desencadear uma espiral de respostas de retaliação. Imagine que os sistemas críticos de infraestrutura de um país estão comprometidos por um ataque cibernético, levando a interrupção de serviços essenciais e perda de vidas – a pressão para retaliação seria construída rapidamente, potencialmente provocando uma reação em cadeia crescente. Se um ataque estiver se desenvolvendo mais depressa do que os esforços do Estado visado identificar o atacante, a retaliação pode ser mal direcionada, atraindo novos atores para um conflito maior.
Na guerra convencional, normas e protocolos acordados proporcionam previsibilidade e retardam o surgimento de crises. Se os governos acelerassem os esforços atuais para estabelecer regras básicas semelhantes para a guerra cibernética, isso ajudaria a prevenir conflitos eruptivos por engano. Conceitos já utilizados como transparência, proporcionalidade e não proliferação podem ser ajustados para fins cibernéticos. E talvez as classes de armas cibernéticas pudessem ser proibidas, da mesma forma que as armas biológicas e químicas foram.
Embora em anos anteriores os entrevistados tenham tendido a ser otimistas quanto aos riscos tecnológicos, este ano a preocupação em relação aos ataques cibernéticos e às fraudes massivas de dados cresceu, aparecendo no topo da lista dos principais riscos globais.
Os custos financeiros dos ataques cibernéticos estão aumentando. Um estudo de 2017, com 254 empresas em sete países, indicou um custo anual para responder a ataques cibernéticos em £ 11,7 milhões por empresa, um aumento anual de 27,4%. O custo do cibercrime para as empresas ao longo dos próximos anos será de US$ 8 trilhões.
Um dos maiores custos em 2017 está relacionado ao ransomware. Os ataques de ransomware representaram 64% de todos os e-mails maliciosos enviados entre julho e setembro do ano passado, afetando o dobro do número de empresas em comparação com 2016. Exemplos notáveis incluíram o ataque WannaCry, que afetou 300 mil computadores em 150 países; e o Petya e o NotPetya, que causaram grandes perdas corporativas: a Merck, a FedEx e a Maersk registraram cerca de US$ 300 milhões de prejuízo no terceiro trimestre, como resultado do NotPetya.
Além do custo financeiro, o ataque do WannaCry interrompeu a infraestrutura crítica e estratégica em todo o mundo, incluindo ministérios, ferrovias, bancos, provedores de telecomunicações, empresas de energia, fabricantes de automóveis e hospitais. Ele ilustrou uma tendência crescente de usar ataques cibernéticos direcionados às infraestruturas críticas e setores estratégicos industriais, levando a receios de que, no pior dos casos, os atacantes possam desencadear uma quebra nos sistemas que mantêm as sociedades funcionando. Desde o ataque de 2015 à rede elétrica da Ucrânia – que desligou temporariamente 30 subestações, interrompendo o fornecimento de energia para 230 mil pessoas – existem evidências de várias tentativas de atingir as infraestruturas críticas. Em 2016, por exemplo, um ataque na rede de mensagens SWIFT – Society for Worldwide Interbank Financial Telecommunication – levou ao roubo de US$ 81 milhões do Banco Central de Bangladesh. A Agência Europeia para a Segurança da Aviação (Aesa) declarou que os sistemas de aviação estão sujeitos a uma média de mil ataques por mês. No ano passado, houve relatos de tentativas de usar ataques de phishing contra empresas que operam usinas nucleares nos Estados Unidos.
A maioria dos ataques a sistemas críticos e estratégicos não obtiveram sucesso, mas a combinação de sucessos isolados com uma crescente lista de tentativas de ataques sugere que os riscos estão aumentando. Além disso, a crescente interconectividade e ritmo do mundo aumenta nossas vulnerabilidades a ataques que causam não apenas interrupções isoladas e temporárias, mas choques sistêmicos radicais e irreversíveis.
A humanidade tornou-se notavelmente eficiente em mitigar inúmeras ameaças convencionais que podem ser facilmente isolados e gerenciados com abordagens padrão de gerenciamento de risco. Mas somos muito menos competentes quando se trata de lidar com riscos complexos em sistemas caracterizados por loops de feedbacks, pontos de convergência e relações opacas de causa vs. efeito que podem dificultar a intervenção.
Sociedades, ecossistemas, economias e o sistema financeiro global são exemplos de sistemas extremamente complexos e interligados. Pense em como a infraestrutura mundial, desde a geração de energia até as redes de transporte, é cada vez mais conectada digitalmente. Pense nas tensões entre nosso crescente quadro institucional global e o ritmo das mudanças no século XXI. Pense nos sistemas de valores éticos que moldam o comportamento dentro e entre os países e a imprevisibilidade que pode resultar, caso ocorra uma reavaliação do que é aceitável e inaceitável.
Quando um risco cascateia através de um sistema de extrema complexidade, o perigo não é apenas de dano incremental, mas de “colapso desenfreado” ou, alternativamente, uma transição para um novo status quo. Por exemplo, apesar de um colapso desenfreado do sistema financeiro global ter sido evitado há uma década atrás, a crise financeira global desencadeou numerosas perturbações econômicas, sociais, políticas e geopolíticas. Muitas dessas perturbações ainda não são compreendidas em sua plenitude, mas elas moldam um status quo que, por sua vez, criará suas próprias alterações e retrocessos nos próximos meses e anos.
À medida que o ritmo da mudança acelera, sinais de tensão são evidentes em muitos dos sistemas nos quais confiamos. Não podemos reduzir a possibilidade de um ou mais desses sistemas entrar em colapso. Assim como uma mola pode perder a capacidade de voltar ao seu formato original, o estresse repetido pode levar os sistemas – organizações, economias, sociedades, meio ambiente – a perder a capacidade de resiliência. Se esgotarmos nossas capacidades de resiliência e permitirmos que nossos sistemas se tornem frágeis o suficiente para quebrar, será difícil estimar os danos e prever as perdas.
Confira o relatório completo do The Global Risks Report 2018 13th Edition acessando o link: https://goo.gl/X3kNQb
*Tácito Augusto Silva Leite, autor dos livros Gestão de riscos na segurança patrimonial: um guia para empresários e consultores e Segurança ciberfísica nas empresas de energia.
**Igor Pipolo, CEO da Núcleo e Master Dealer Brasil da Alarm.com.
*** Texto extraído e adaptado do The Global Risks Report 2018 – 13th Edition, elaborado pelo Fórum Econômico Mundial de Davos.