As mais de 103 bilhões de tentativas de ataques cibernéticos em 2022 colocam o Brasil em segundo lugar entre os países da América Latina mais atingidos pelos cibercrimes. O valor representa um aumento de 16% no número de casos em relação a 2021. As ameaças cibernéticas são um fenômeno crescente no atual ambiente operacional digitalizado e conectado. As mesmas tecnologias que permitiram a transformação dos negócios também oportunizam crimes cibernéticos. Um recente estudo divulgado pela Proofpoint, Inc., empresa líder em cibersegurança e compliance, chamado State of the Phish, revelou que oito em cada 10 empresas brasileiras (78%) registraram, ao menos, uma experiência de ataque de phishing por e-mail em 2022, e 23% sofreram perdas financeiras como resultado. Ainda, 58% das empresas nacionais sofreram uma tentativa de ataque de ransomware no ano passado, com quase metade (46%) sendo bem-sucedido.
Embora os ransomware (espécie de malware cripotografado de sequestro de dados) e os golpes de comprometimento de e-mail comercial sejam opções mais conhecidas e populares de ataques cibernéticos, o estudo revelou que os hackers estão evoluindo e ampliando seu portfólio, por assim dizer, para processos menos conhecidos e mais nocivos para as organizações globais. E a extorsão on-line não é recente: um relatório apresentado em 2020 pela Kaspersky, empresa de cibersegurança com filial em São Paulo, revelou que ataques contra sistemas de controle industriais (ICS) cresceram após 12 meses de queda. Dentre os setores analisados, petróleo & gás, engenharia & integração de ICSs e energia foram os segmentos mais afetados por invasores.
Cabe pontuar que fatores como sistemas desatualizados, acesso remoto sem a aplicação das devidas melhores práticas de cybersegurança, infraestrutura digital inadequada, falta de alinhamento dos setores de operação com a área de gestão de risco em TI, contribuíram para agravar o cenário e conduzir à exposição do ambiente interno das empresas. Na era da Indústria 4.0, a cibersegurança é fundamental, já que tudo está conectado. Hoje, mais do que nunca, é necessário desenvolver mecanismos capazes de prevenir ou mitigar riscos e falhas para se defender de criminosos virtuais.
A falta de segurança tem sido custosa: um estudo da Kivu Consulting, consultoria global de segurança cibernética, aponta que o setor industrial gastou mais do que qualquer outro setor no ano de 2020, com pagamentos de resgate a ataques de ransomware girando em torno de US$ 6,9 milhões.
Ataques cibernéticos pela internet podem ser podem ser devastadoras para uma empresa, visto que os criminosos obtêm acesso aos dados e sistemas – muitas vezes sigilosos – das organizações. Ataques cibernéticos em sistemas de tecnologia de automação, por exemplo, repercutem e podem causar graves danos em diversos ambientes e operações fabris, além de afetar finanças, vendas, reputação, segurança da informação, interrupção de produção e, no pior dos casos, acidentes pessoais e ambientais.
Fato é que a segurança cibernética não é incumbência apenas do setor de TI, devendo as empresas apostarem em uma abordagem holística de elevada prioridade nas agendas da alta administração e dos conselhos. A operação digital pode gerar diversas oportunidades para criminosos em ambientes de TI (information technology) e de OT (operating technology), uma vez que os sistemas de controle industrial de fábricas e manufaturas trabalham de forma ininterrupta.
O risco de interconexões digitais entre as organizações ainda é um agravante. Em outras palavras, não significa que uma organização em particular será o alvo de ataques diretamente. Muitas vezes, pode ser uma organização dentro de uma rede (de fornecedores ou clientes, por exemplo) que tenha grande impacto e ingerência nos negócios. A compreensão desses tipos de associações entre as empresas – clusters – é crucial na prevenção de ameaças cibernéticas, garantindo que todas as partes cumpram os padrões de segurança e compartilhem abertamente informações sobre ameaças.
Uma estratégia de segurança cibernética cuidadosamente projetada é uma boa ferramenta para orientar o desenvolvimento de uma organização em direção a sistemas de TI e OT mais seguros e para fortalecer rotinas confiáveis nas operações diárias. Esse processo de estratégia pode, por exemplo, incluir a identificação e avaliação dos riscos potenciais, uma avaliação realista do estado atual da cibersegurança na organização, inclusive a sua rede de negócios, bem como a tomada de decisões sobre áreas de desenvolvimento e alocação de recursos. Ainda, é importante aumentar a conscientização dos colaboradores sobre ameaças cibernéticas por meio de comunicação, treinamento e exercícios de crise.
Conscientes dos efeitos potencialmente devastadores nos negócios, executivos seniores e outros profissionais da alta administração e do conselho estão cada vez mais atentos à relevância da segurança cibernética. Devido aos enormes impactos potenciais, a prevenção deve ser parte integrante do gerenciamento de riscos de uma empresa, e um plano de recuperação de ataques cibernéticos precisa ser incluído no plano estratégico e de continuidade de negócios. Também é bom vislumbrar que os riscos relacionados à segurança cibernética precisam ser reavaliados com mais frequência – de preferência, em tempo real. Tudo isso torna a segurança cibernética uma questão de nível estratégico.
No ambiente de negócios em que hoje se opera, é responsabilidade de todas as áreas e cadeias de valor de uma organização, e de sua alta administração, criar um ambiente e uma cultura de segurança cibernética. Segundo o “Relatório de Seguros Contra Ciberataques: Como otimizar a alocação de capital e mitigar riscos do sistema de informação”, da Bravo Research, estima-se que US$ 10,429 bilhões serão destinados à responsabilidade cibernética apenas neste ano. A empresa que não investir em uma boa gestão de riscos, visando minimizar as ameaças de ciberataques, corre não apenas riscos financeiros, mas de integridade dos seus colaboradores, bem como riscos ao meio ambiente, esses talvez, irreversíveis.
Cesar Augusto Paiva é Especialista em Automação da Valmet