por Douglas Lopes*
A chegada da inteligência artificial (IA) trouxe avanços, mas também riscos à segurança das empresas. Por si só ela não representa uma ameaça à segurança digital, nem às companhias, nem aos cidadãos, pelo contrário, abre uma gama de alternativas para desenvolver sistemas de detecção e mitigação de riscos muito mais proativos e inteligentes. No entanto, os cibercriminosos também se utilizam da ferramenta com o intuito de identificar e explorar vulnerabilidades nas redes.
A crescente complexidade da segurança cibernética impulsionada pela IA deixa evidente a necessidade de profissionais altamente qualificados para inseri-la na operação cotidiana das organizações. Se atentar às medidas e aos controles e implementar proteções extras deve se tornar um cuidado inerente nas organizações, independentemente do tamanho da empresa e do setor em que atuam.
Os criminosos virtuais estão tornando o cenário cada vez mais perigoso no mundo digital – e, hoje em dia, tudo no mundo é digital. Alguns modelos já fornecem entradas projetadas com a missão de enganar o sistema. Eles já conseguem produzir ameaças sofisticadas e ampliar a superfície de ataque utilizando algoritmos de aprendizado da máquina, que podem identificar vulnerabilidades em sistemas e explorá-las de maneira automatizada, tornando-os mais eficazes e abrangentes.
Essa identificação pode vir de um mapeamento apontando os alvos potencialmente fracos, sejam regiões de um país, de um grupo social vulnerável ou de outras fontes de informações. Ao “roubar” um banco de dados a IA processa os dados de maneira rápida, a fim de extrair o que é relevante para encontrar onde será possível obter mais benefícios ao violar e expor conteúdos sensíveis.
A democratização de ferramentas de IA fez com que até quem não é ‘hacker’ profissional consiga usufruir das funcionalidades disponíveis com o intuito de obter vantagens indevidas.
Por exemplo, é possível consultar a IA e aprender técnicas que podem ser aplicadas na tentativa de roubar a senha do wi-fi do vizinho. Criar deep fakes convincentes e até robôs virtuais capazes também podem ser utilizados para enganar as pessoas e realizar ataques de engenharia social.
Cenário nacional
Dados do FortiGuard Labs apontam que o Brasil sofreu 103,16 bilhões de tentativas de ataques cibernéticos em 2022, um aumento de 16% com relação a 2021 (com 88,5 bilhões).
É como se cada brasileiro tivesse sofrido, em média, cinco ataques no último ano, considerando que a nossa população é de aproximadamente 203 milhões de pessoas. Na América Latina, estamos atrás somente do México (com 187 bilhões) e temos cinco vezes mais tentativas de ataque que a Colômbia, terceira colocada com 20 milhões.
Uma pesquisa realizada em parceria entre a Fiesp (Federação das Indústrias do Estado de São Paulo) e o Ciesp (Centro das Indústrias do Estado de São Paulo) trouxe um dado alarmante, mostrando que mais de um terço (36,2%) dos ataques cibernéticos nas empresas conseguem concluir seus objetivos. Na grande maioria das vezes (74%), elas visam indisponibilizar a operação. Em 68,4% dos casos houve ainda tentativa de extorsão (pedido de dinheiro para normalizar os serviços da empresa e sair da rede).
O mercado dos ataques virtuais parece crescer em um ritmo mais acelerado do que a preocupação das companhias brasileiras, que adotam uma cultura reativa, apenas tomando providências quando são atingidas. Os números refletem esse avanço, mas ainda vemos o ceticismo, acreditando que o Brasil é um país emergente, não está avançado e não é um dos grandes alvos de um setor que, em todo o mundo, deve ter um custo superior a US$ 20 trilhões até 2026, de acordo com a Cybersecurity Ventures.
O Brasil cresceu muito ao longo dos anos, tornando-se a maior economia da América Latina e, mesmo diante do aumento de ataques na pandemia, muitos não perceberam que estes são uma ameaça real no país. Mesmo bombardeados de notícias diariamente, há uma sensação interna de que isto está diante da realidade e nunca irá acontecer ‘com a minha empresa’. Isto é um grande problema, visto que não se deve esperar acontecer algum problema para melhorar a proteção digital.
Quais cuidados as empresas devem tomar?
Um fato curioso é que algumas empresas relativamente pequenas já estão maduras na área de segurança da informação, mostrando ter consciência da importância de estar coberto. No entanto, outras, de médio porte, ainda possuem a mente fechada para implementar esta área, mostrando um despreparo. Constatamos isso através de contatos com clientes, que fazemos periodicamente.
É comum ver entidades que jogam essa responsabilidade na área de TI (tecnologia da informação), em uma defensiva que não esconde o quão descoberto eles estão. Ainda há a ideia de que, quando houver um problema, a TI irá resolver, mas é preciso que todos construam este alicerce e enxerguem a segurança da informação da maneira correta.
Por mais que a área tenha um pé dentro da TI, a falta de profissionais nessas áreas possibilita brechas na defesa contra ameaças, desenvolvendo algoritmos robustos contra ataques e realizando auditorias regulares a fim identificar e reduzir vieses nos sistemas de IA.
Quatro pontos são determinantes para que a TI das empresas funcione de forma adequada. A primeira é adotar governança corporativa, com hierarquia, regras, níveis de acesso, papéis e segregação de tarefas bem delimitadas pela gestão. A segunda está na proteção de redes e sistemas, com firewall, duplo fator de autenticação, entre outros mecanismos.
Políticas de controle aplicáveis aos colaboradores devem estar documentadas, mostrando quais sites podem ser acessados, os softwares que podem ser baixados, e até mesmo explicando que não se deve deixar anotações com informações relevantes em suas mesas de trabalho.
Por fim, a empresa precisa sensibilizar e conscientizar todos os funcionários, apontando que são ativos importantes e que não eles não podem ser responsabilizados por perdas de dados, evidenciando o papel importante que possuem na proteção das informações.
Há previsão de melhora?
Hoje em dia, fazer seguro de carro é algo bem normal, coisa que não era no começo do século. Essa conscientização dos consumidores aponta um caminho importante à segurança da informação, que possui a mesma finalidade: se preparar para que o pior aconteça e, se ele acontecer, estar pronto para resolver de forma prática.
Ao mesmo tempo que existe esse ceticismo reativo nas empresas, surge uma grande chance de quem busca quebrar essas barreiras. Precisamos ter uma estratégia inteligente para que, de alguma forma, os empresários e os empreendedores consigam entender a mensagem: ‘segurança da informação não é apenas um custo, e sim um investimento’.
Quem sabe, em algum dia, esse segmento não conquiste a mesma maturidade que o mercado de seguro de carros já possui.
*Douglas Lopes é Gerente de Segurança da Informação da IntellTech.