A importância da cybersecurity no meio empresarial do século XXI

Por certo, desde àqueles tempos até o século atual, em razão da contínua evolução tecnológica, houve também a ampliação do fluxo de informações e o surgimento de novas formas de transmissão destas informações.

Evidente que, toda essa evolução da transmissão e fluxo de informações fez também com que evoluíssem os métodos para assegurar a sua segurança e confidencialidade, de maneira que apenas o destinatário da informação tivesse acesso ao seu conteúdo. Sejam nos tempos antigos, sejam nos atuais, sempre haverá um terceiro, geralmente mal-intencionado, tentando acessar uma informação destinada a outrem.

O tema da segurança da informação teve uma forte escalada com o surgimento da internet, ou, mais especificamente, da ARPANET, pois, com ela, surgiu o primeiro vírus de computador, o ‘Creeper’. Este vírus, criado pelo engenheiro de computação, Bob Thomas, apesar de não ter nenhuma intenção maliciosa, sendo apenas uma “brincadeira”, era capaz de mover-se entre os computadores conectados por meio da ARPANET.ⁱⁱ

• +JOTA: Assine o JOTA e não deixe de ler nenhum destaque!
  

Isso demonstra que, o avanço tecnológico, somado à capacidade de conexão entre diferentes aparelhos e meios eletrônicos proporcionada pela internet, aliado ainda ao crescente avanço no uso destes aparelhos e meios, fez com que o acesso de um estranho a uma informação – não destinada a ele – ficasse ainda mais fácil.

Dessa forma, tendo em vista a atual era data-driven e tecnológica que vem impactando toda a sociedade mas, especialmente, o mercado – incluídas as empresas e seus diversos agentes – com a transição de todas as formas e suportes de informações e dados e, até mesmo, relações e operações comerciais relevantes, para o ambiente digital, as companhias não podem negligenciar a necessidade de investimento na sua segurança cibernética.

Os dados e informações digitais possuem fundamental importância na estrutura e no modelo de negócio de, praticamente, todas as empresas atualmente. Já existem, até mesmo, métodos para avaliar o valor dos dados de uma empresa – enterprise data value (EDV).ⁱⁱⁱ

Portanto, com o aumento da relevância dos dados das empresas, e com a contínua evolução dos métodos de quebra da proteção e acesso indevido de dispositivos e sistemas digitais de companhias por crackers^iv, os investimentos em segurança cibernética tem crescido cada vez mais.

E, não é para menos. O avanço da tecnologia, apesar de ter beneficiado o desenvolvimento empresarial e econômico da sociedade, também trouxe consigo graves riscos às informações, bem como métodos cada vez mais avançados de invasão cibernética e quebra de segurança de sistemas eletrônicos. Dessa forma, não faltam casos para demonstrar como tais métodos tem sido cada vez mais utilizados.

Em 2013, a companhia norte-americana Target sofreu um ataque cibernético que resultou em um furto de 40 milhões de números de cartões de débito e crédito e 70 milhões de registros de informações pessoais de clientes.^v

Tal ataque resultou em um prejuízo financeiro de mais de US$ 200 milhões à companhia, sendo considerado tão grave que o próprio CEO renunciou ao seu cargo.^vi

Todavia, o mais interessante, não foi a quantidade de dados roubados ou o impacto financeiro sofrido pela empresa, mas sim, o método utilizado pelos invasores para ter acesso a sua rede.

Diante dos investimentos em segurança cibernética realizados pela Target e do alto nível da sua proteção, os crackers não iniciaram o ataque diretamente à rede da companhia, mas utilizaram de uma empresa terceirizada, a Fazio Mechanical Services, que prestava serviços de manutenção de equipamentos como ventiladores e ar-condicionado à empresa.

Assim, após ter comprometido o sistema da empresa terceirizada, por meio de um ataque de spear fishing, a um de seus empregados, os invasores conseguiram obter os dados de autorização de acesso à rede da Target, detidos pela terceirizada.

Isso demonstra a complexidade do ataque. Ao invés de tentar invadir diretamente o sistema da Target, os crackers optaram por atacar uma empresa terceirizada e menor, que possuía muito menos chances de ter um avançado sistema de segurança cibernética que pudesse detectar e impedir, ou, ao menos, defender-se contra o ataque.

Como se pode observar, o que não falta é criatividade aos invasores em seus ataques. Além disso, recentes métodos demonstram que tal criatividade para explorar vulnerabilidades de sistemas cibernéticos é ilimitada.

Como exemplo, um novo método de ataque recentemente noticiado, consiste, basicamente, no envio de dispositivos eletrônicos de baixo custo e baixa capacidade computacional – que, porém, possibilitam a execução de ataques cibernéticos de proximidade – direto às empresas. Os invasores apenas deixam no correio um pacote contendo em seu interior o dispositivo, e o próprio entregador deixa o referido pacote em frente à empresa, ou em sua área de recebimento de correspondências.

Assim, quando verificam que o pacote chegou ao local, os invasores ativam o dispositivo, que começa a localizar redes de Wi-Fi próximas ou conexões de outros dispositivos, permitindo assim uma invasão da rede da empresa. Todo o ataque pode ocorrer sem sequer ser notado pela companhia, bastando que esta não abra, ou demore a abrir o pacote. Este método de invasão foi batizado de Warshipping, tendo um funcionamento semelhante à conhecida armadilha do ‘Cavalo de Tróia’.^vii

Tais ataques demonstram a crescente ameaça à segurança cibernética existente nos tempos atuais.

Conforme um estudo promovido pela Accenture, o custo médio anual relacionado ao combate a crimes cibernéticos por grandes companhias, de 2013 a 2017, teve um aumento aproximado de 62%, de 7.2 milhões para 11.7 milhões de dólares.^viii

Certamente, tal custo não é injustificado. A quantidade de ataques cibernéticos praticamente dobrou nos últimos 05 anos.^ix Além disso, em 2017, crimes cibernéticos custaram, aproximadamente, US$ 600 bilhões à economia mundial.^x

Portanto, diante do avanço tecnológico constante, também será contínua a evolução dos métodos de ataques cibernéticos, já havendo casos de invasões que utilizam de novas tecnologias, como a internet das coisas.

Além disso, já há estudos e pesquisas que demonstram que novas tecnologias como a inteligência artificial e as redes 5G de conexão irão definir as próximas décadas da segurança cibernética.^xi E, até mesmo tecnologias que podem tornar obsoletos os sistemas de segurança cibernética existentes atualmente, como os computadores quânticos^xii.

Dessa forma, nos últimos anos, e com clara razão, empresas vêm realizando pesados investimentos no setor de segurança cibernética. Em 2018, empresas alcançaram novo recorde global, tendo investido, aproximadamente, US$ 37 bilhões na área, sendo certo que as expectativas são que tais investimentos ultrapassem o montante de US$ 42 bilhões por volta de 2020. Além disso, o gasto em segurança cibernética por empregado praticamente dobrou entre 2012 e 2018.^xiii

Ademais, nos últimos anos, foi possível observar um crescimento nos investimentos de venture capital em empresas que oferecem serviços de segurança cibernética. Startups de segurança cibernética na nuvem (cloud security) foram as que receberam a maior quantidade de investimentos por venture capital entre 2012 e o segundo bimestre de 2017.^xiv

Nos primeiros três bimestres de 2017, investidores aportaram mais de US$ 1.89 bilhões em companhias de segurança cibernética. No mesmo ano, a gestora Trident Capital Cybersecurity anunciou a criação de fundo de investimentos de US$ 300 milhões, dedicado apenas a tais companhias.^xv

Todavia, apesar dos casos de invasões de rede citados e dos grandes investimentos em segurança cibernética realizados nos últimos tempos, é importante ressaltar que grande parte das quebras de segurança da rede e vazamento de informações ainda ocorre por erros, muitas vezes simples, das próprias empresas e de seus funcionários.

Um caso recente, que pode ser tido como exemplo é o do grande vazamento de dados da companhia norte-americana Capital One. Entre março e abril de 2019, a empresa foi alvo de uma invasão de seu sistema de segurança, que resultou no vazamento de dados de mais de 100 milhões de clientes, dentre os quais números de contas bancárias, nomes, endereços, pontuação e limites de crédito, dentre outros.^xvi

Porém, posteriormente, foi observado que a cracker apenas conseguiu obter acesso ao sistema da companhia em razão de uma falha de configuração dos servidores de nuvem da Amazon, os quais eram utilizados pela empresa. Todavia, tais configurações incorretas são tão comuns e tão facilmente corrigíveis, que acessar sistemas por meio delas mal é considerada uma invasão.^xvii

Dessa maneira, vislumbra-se que uma falha simples de sistema de segurança resultou em um grave prejuízo à companhia.

Tal falha poderia ter sido facilmente corrigida, caso a empresa tivesse uma rotina de verificação e atualização frequentes do seu sistema de segurança, e desse a devida importância a ele.

Por certo, além de todo o risco de prejuízos reputacionais e negociais a que estão sujeitas as empresas em decorrência de invasões cibernéticas, cabe também destacar o risco-Estado, ao qual também estão sujeitas, em razão do crescimento da cultura de privacidade e proteção de dados pessoais observadas nos últimos anos.

Com a elaboração de leis gerais de proteção de dados pessoais ao redor do mundo, cabendo ressaltar o Regulamento Geral de Proteção de Dados da União Europeia (GDPR – sigla em inglês, mais conhecida) e a Lei Geral de Proteção de Dados Pessoais brasileira (LGPD), há a possibilidade de imposição de pesadas sanções pecuniárias pelos órgãos sancionadores caso as companhias não estejam compliance com as normas legais.

O GDPR, em seu artigo 83, parágrafo 4, estabelece a possibilidade de aplicação de multas pela autoridade supervisora limitadas à, no máximo, 10 milhões de euros ou até 2% do lucro global anual da companhia no ano anterior, no caso de determinadas infrações. Já, os parágrafos 5 e 6 do mesmo artigo, preveem a aplicação de sanções pecuniárias limitadas à, no máximo, 20 milhões de euros ou até 4% do faturamento global anual da companhia no ano anterior, em outros casos.

Já, a LGPD, em seu artigo 52, prevê a possibilidade de aplicação pela Autoridade Nacional de Proteção de Dados (ANPD) de multa diária, ou multa simples, limitada à 2% do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, limitada, no total, a R$ 50.000.000,00 por infração.

Dessa maneira, observa-se que as sanções financeiras previstas nas principais leis de proteção de dados não são pequenas, sendo certo que podem ser aplicadas sem prejuízo, também, da responsabilização legal das empresas e eventual necessidade de ressarcimento por danos morais.

Nesse sentido, cabe destacar um importante caso de aplicação de sanção financeira na Europa. Em janeiro de 2019, a Autoridade Nacional de Proteção de Dados Francesa (Comission Nationale de I’Informatique et des Libertés – CNIL) aplicou uma multa de 50 milhões de euros ao Google, tendo como fundamento uma violação ao GDPR.^xviii

As violações imputadas pela Comissão à empresa resumiram-se à dificuldade de acesso dos usuários às informações do Google; dificuldade de acesso a informações sobre a coleta de seus próprios dados; explicação insuficiente acerca da finalidade da coleta e do uso comercial dos dados dos usuários; ausência de informação clara quanto ao fundamento jurídico permissor do processamento de dados dos usuários, bem como ausência de informação acerca do tempo de retenção dos dados.^xix

i^ O ‘Cesar’s Cypher’ foi um dos primeiros sistemas de criptografia conhecido. Ele recebeu esse nome em homenagem ao imperador de Roma, à época, Júlio César, em 50 a.C.

ii^ CROWLEY, Jack McDonald. Techly Explains: The fascinating Evolution of cybersecurity. Publicado no portal Techly, em 13 fev 2018. Disponível em: https://www.techly.com.au/2018/02/14/techly-explains-fascinating-evolution-cybersecurity/. Acesso em: 18 set 2019.

iii³ DISPARTE, Dante; WAGNER, Daniel. Do You Know What Your Company’s Data is Worth? Publicado no portal Harvard Business Review, em 16 sep 2016. Disponível em: https://hbr.org/2016/09/do-you-know-what-your-companys-data-is-worth. Acesso em: 18 set 2019.

iv^ ‘Crackers’ são os indivíduos que realizam a quebra (cracking) de um sistema de segurança de forma ilegal, para fins ilícitos e criminosos. Não seguem a ‘ética hacker’, sendo o termo ‘cracker’ utilizado para os diferenciar dos hackers que utilizam seus conhecimentos para fins benéficos. Nesse artigo, observaremos essa diferença conceitual.

v^ SHU, Xiaokui et al. Breaking the Target: Na analysis of Target Data Breach and Lessons Learned. Disponível em: https://arxiv.org/pdf/1701.04940.pdf. Acesso em: 21 ago 2019.

vi^ HACKETT, Robert. How much do data breaches cost big companies? Shockingly little. Publicado no portal Fortune, em 27 mar 2015. Disponível em: https://fortune.com/2015/03/27/how-much-do-data-breaches-actually-cost-big-companies-shockingly-little/. Acesso em: 18 set 2019.

vii^ WHITTAKER, Zack. With warshipping, hackers ship their exploits directly to their target’s mail room. Publicado no portal Techcrunch, em 07 ago 2019. Disponível em: https://techcrunch.com/2019/08/06/warshipping-hackers-ship-exploits-mail-room/. Acesso em: 18 set 2019.

viii^ ACCENTURE. Cost of cyber crime study: Insights on the security investments that make a difference. Disponível em: https://www.accenture.com/_acnmedia/pdf-62/accenture-2017costcybercrime-us-final.pdf#zoom=50. Acesso em: 18 set 2019.

ix^ PIPIKAITE, Algirde; CHEUNG, Martina. Investors have a role in securing our shared digital future. Publicado no portal World Economic Forum, em 08 jul 2019. Disponível em: https://www.weforum.org/agenda/2019/07/why-cybersecurity-should-be-standard-due-diligence-for-investors/. Acesso em: 18 set 2019.

x^ STOKES, Paul. Can cybersecurity offer value for money. Publicado no portal World Economic Forum, em 16 jul 2019. Disponível em: https://www.weforum.org/agenda/2019/07/can-cybersecurity-offer-value-for-money/. Acesso em: 18 set 2019.

xi^ DIXON, Willian. 3 technologies that could define the next decade of cybersecurity. Publicado no portal World Economic Forum, em 20 jun 2019. Disponível em: https://www.weforum.org/agenda/2019/06/3-technologies-that-could-define-the-next-decade-of-cybersecurity. Acesso em: 18 set 2019.

xii^ ADAMS, Paige H. Why quantum computing could make today’s cybersecurity obsolete. Publicado no portal World Economic Forum, em 26 jul 2019. Disponível em: https://www.weforum.org/agenda/2019/07/why-quantum-computing-could-make-todays-cybersecurity-obsolete/. Acesso em: 18 set 2019.

xiii^ STOKES, Paul. Can cybersecurity offer value for money. Publicado no portal World Economic Forum, em 16 jul 2019. Disponível em: https://www.weforum.org/agenda/2019/07/can-cybersecurity-offer-value-for-money/. Acesso em: 18 set 2019.

xiv^ STONE, Jeff. Cybersecurity Investors Favor Cloud Security, Artificial Intelligence. WSJ Pro Cybersecurity – Investing in Cybersecurity. New York: Dow Jones & Company, Inc., 2017; p. 03-05.

xv^ Zakrzewski, Cat. Breaches Drive Surge in Cybersecurity Investment. WSJ Pro Cybersecurity – Investing in Cybersecurity. New York: Dow Jones & Company, Inc., 2017; p. 06-07.

xvi^ MCLEAN, Rob. A hacker gained access to 100 million Capital One credit card applications and accounts. Publicado no portal CNN Business, em 30 jul 2019. Disponível em: https://edition.cnn.com/2019/07/29/business/capital-one-data-breach/index.html. Acesso em: 18 set 2019.

xvii^ BRANDOM, Russel. The Capital One breach is more complicated than it looks. Publicado no portal The Verge, em 31 jul 2019. Disponível em: https://www.theverge.com/2019/7/31/20748886/capital-one-breach-hack-thompson-security-data. Acesso em: 18 set 2019.

xviii^ OLIVEIRA, Jaqueline Simas de. Google é multado em 50 milhões de euros na França por violação ao GDPR. Publicado no portal Revista JOTA, em 24 jan 2019. Disponível em: < https://www.jota.info/opiniao-e-analise/artigos/google-e-multado-em-50-milhoes-de-euros-na-franca-por-violacao-ao-gdpr-24012019. Acesso em: 18 set 2019.

xix^ BECKER, Daniel; BRÍGIDO, João Pedro. On n’est pas à l’ouest: França aplica a multa mais pesada desde a vigência do GDPR. Publicado no portal Revista JOTA, em 24 fev 2019. Disponível em: https://www.jota.info/opiniao-e-analise/artigos/on-nest-pas-a-louest-franca-aplica-a-multa-mais-pesada-desde-a-vigencia-do-gdpr-24022019. Acesso em: 18 set 2019.