0
0
Se fosse medido como um país, então o crime cibernético — que se prevê infligir danos no total de US$6 trilhões globalmente em 2021 — seria a terceira maior economia do mundo, depois dos EUA e da China.
A Cybersecurity Ventures espera que os custos globais do cibercrime cresçam 15% ao ano nos próximos cinco anos, atingindo US$10,5 trilhões anualmente até 2025, acima dos US$3 trilhões em 2015. Isso representa a maior transferência de riqueza econômica da história, arrisca os incentivos à inovação e ao investimento, é exponencialmente maior do que os danos infligidos por desastres naturais em um ano e será mais lucrativo do que o comércio global de todas as principais drogas ilegais combinadas.
A estimativa do custo do dano é baseada em números históricos de crimes cibernéticos, incluindo o crescimento recente ano após ano, um aumento dramático nas atividades hostis de hackers de gangues patrocinadas pelo Estado-nação e do crime organizado e uma superfície de ataque cibernético que será uma ordem de magnitude maior em 2025 do que é hoje.
Os custos do cibercrime incluem danos e destruição de dados, dinheiro roubado, perda de produtividade, roubo de propriedade intelectual, roubo de dados pessoais e financeiros, peculato, fraude, interrupção pós-ataque no curso normal dos negócios, investigação forense, restauração e exclusão de dados e sistemas hackeados e danos à reputação.
CYBERCRIME ACERTA EM CASA
Os Estados Unidos, a maior economia do mundo, com um PIB nominal de quase US$21,5 trilhões, constituem um quarto da economia mundial, de acordo com dados da Nasdaq.
O crime cibernético atingiu tanto os EUA que, em 2018, um agente especial de supervisão do FBI que investiga invasões cibernéticas disse ao The Wall Street Journal que todo cidadão americano deve esperar que todos os seus dados (informações de identificação pessoal) tenham sido roubados e estejam na dark web — uma parte da deep web— que é intencionalmente oculta e usada para ocultar e promover atividades hediondas. Algumas estimativas colocam o tamanho da deep web (que não é indexada ou acessível pelos mecanismos de busca) em até 5.000 vezes maior que a web de superfície, e crescendo a uma taxa que desafia a quantificação.
A dark web também é onde os cibercriminosos compram e vendem malware, exploram kits e serviços de ataque cibernético, que eles usam para atacar vítimas — incluindo empresas, governos, serviços públicos e provedores de serviços essenciais em solo americano.
Um ataque cibernético pode potencialmente desativar a economia de uma cidade, estado ou todo o nosso país.
Em seu best-seller de 2016 do New York Times — Lights Out: A Cyberattack, A Nation Unprepared, Surviving the Aftermath — Ted Koppel revela que um grande ataque cibernético à rede elétrica da América não é apenas possível, mas provável, que seria devastador e que os EUA estão chocantemente despreparados.
O empresário e filantropo bilionário Warren Buffet chama o crime cibernético de o problema número um com a humanidade, e os ataques cibernéticos são uma ameaça maior à humanidade do que as armas nucleares.
Um alvo está diretamente nos negócios da nossa nação.
“Os cibercriminosos sabem que podem manter as empresas — e nossa economia — como reféns por meio de violações, ransomware, ataques de negação de serviço e muito mais. Isso é guerra cibernética, e precisamos mudar nossa mentalidade em torno da segurança cibernética para nos proteger contra ela”, diz Jack B. Blount, presidente e CEO da INTRUSION, Inc.
Entidades de crimes cibernéticos organizados estão unindo forças, e sua probabilidade de detecção e acusação é estimada em até 0,05 por cento nos EUA, de acordo com o Relatório de Risco Global 2020 do Fórum Econômico Mundial.
“Toda organização americana — no setor público e privado — foi ou será invadida, está infectada com malware e é alvo de intrusos cibernéticos hostis do Estado-nação”, acrescenta Blount, que também é o ex-CIO do Departamento de Agricultura dos Estados Unidos (USDA).
A afirmação de Blount é apoiada por alguns dos principais especialistas em defesa cibernética do país e oficiais-chefes de segurança da informação (CISOs) da Fortune 500 em uma mesa redonda que foi ao ar recentemente no canal de podcast Cybercrime Radio.
RANSOMWARE
Ransomware — um malware que infecta computadores (e dispositivos móveis) e restringe seu acesso a arquivos, muitas vezes ameaçando a destruição permanente de dados, a menos que um resgate seja pago — atingiu proporções epidêmicas globalmente e é o “método obrigatório de ataque” para cibercriminosos.
Um relatório de 2017 da Cybersecurity Ventures previu que danos por ransomware custariam ao mundo US$5 bilhões em 2017, acima dos US$325 milhões em 2015 — um aumento de 15X em apenas dois anos. Os danos para 2018 foram estimados em US$8 bilhões, e para 2019 o número subiu para US$11,5 bilhões.
A previsão mais recente é que os custos globais de danos causados por ransomware atinjam US$20 bilhões até 2021 — o que é 57 vezes mais do que era em 2015.
Prevemos que haverá um ataque de ransomware às empresas a cada 11 segundos até 2021, acima de cada 40 segundos em 2016.
O FBI está particularmente preocupado com ransomware atingindo profissionais de saúde, hospitais, 911 e socorristas. Esses tipos de ataques cibernéticos podem afetar a segurança física dos cidadãos americanos, e essa é a vanguarda do que Herb Stapleton, chefe da seção de divisão cibernética do FBI, e sua equipe estão focados.
No mês passado, o ransomware reivindicou sua primeira vida. Autoridades alemãs relataram que um ataque de ransomware causou a falha dos sistemas de TI em um grande hospital em Duesseldorf, e uma mulher que precisava de internação urgente morreu depois que teve que ser levada para outra cidade para tratamento.
Ransomware, agora o que mais cresce e um dos tipos mais prejudiciais de crimes cibernéticos, acabará convencendo executivos seniores a levar a ameaça cibernética mais a sério, de acordo com Mark Montgomery, diretor executivo dos EUA. Cyberspace Solarium Commission (CSC) — mas ele espera que não chegue a isso.
SUPERFÍCIE DE ATAQUE CIBERNÉR
A definição moderna da palavra “hack” foi cunhada no MIT em abril de 1955. A primeira menção conhecida de hacking de computador (telefone) ocorreu em uma edição de 1963 da The Tech. Nos últimos mais de cinquenta anos, a superfície de ataque do mundo evoluiu de sistemas telefônicos para uma vasta esfera de dados, superando a capacidade da humanidade de protegê-la.
Em 2013, a IBM proclamou que os dados prometem ser para o século XXI o que era a energia a vapor para o século XVIII, eletricidade para o século XIX e hidrocarbonetos para o século XX.
“Acreditamos que os dados são o fenômeno do nosso tempo”, disse Ginni Rometty, presidente executivo da IBM Corp., em 2015, dirigindo-se a CEOs, CIOs e CISOs de 123 empresas em 24 setores em uma conferência em Nova York. “É o novo recurso natural do mundo. É a nova base da vantagem competitiva e está transformando todas as profissões e setores. Se tudo isso é verdade — mesmo inevitável — então o crime cibernético, por definição, é a maior ameaça a todas as profissões, a todos os setores, a todas as empresas do mundo.”
O mundo armazenará 200 zettabytes de dados até 2025, de acordo com a Cybersecurity Ventures. Isso inclui dados armazenados em infraestruturas de TI privadas e públicas, em infraestruturas de serviços públicos, em data centers de nuvem privada e pública, em dispositivos de computação pessoal — PCs, laptops, tablets e smartphones — e em dispositivos IoT (Internet das Coisas).
Como resultado da pandemia da COVID-19, quase metade da força de trabalho dos EUA está trabalhando em casa, de acordo com a Universidade de Stanford. À medida que os funcionários geram, acessam e compartilham mais dados remotamente por meio de aplicativos em nuvem, o número de pontos cegos de segurança aumenta.
Prevê-se que a quantidade total de dados armazenados na nuvem — que inclui nuvens públicas operadas por fornecedores e empresas de mídia social (pense na Apple, Facebook, Google, Microsoft, Twitter, etc.), nuvens de propriedade do governo acessíveis a cidadãos e empresas, nuvens privadas de propriedade de corporações de médio a grande porte e provedores de armazenamento em nuvem — atinja 100 zettabytes até 2025, ou 50% dos dados do mundo naquela época, acima de aproximadamente 25% armazenados na nuvem em 2015.
Cerca de mais um milhão de pessoas se juntam à internet todos os dias. Esperamos que haja 6 bilhões de pessoas conectadas à Internet interagindo com dados em 2022, acima dos 5 bilhões em 2020 — e mais de 7,5 bilhões de usuários da Internet em 2030.
As ameaças cibernéticas se expandiram de direcionar e prejudicar computadores, redes e smartphones — para pessoas, carros, ferrovias, aviões, redes elétricas e qualquer coisa com batimentos cardíacos ou pulso eletrônico. Muitas dessas coisas estão conectadas a redes corporativas de alguma forma, complicando ainda mais a segurança cibernética.
Até 2023, haverá 3X mais dispositivos em rede na Terra do que humanos, de acordo com um relatório da Cisco. E até 2022, 1 trilhão de sensores em rede serão incorporados no mundo ao nosso redor, com até 45 trilhões em 20 anos.
O tráfego IP atingiu uma taxa de execução anual de 2,3 zettabytes em 2020, acima de uma taxa de execução anual de 870,3 exabytes em 2015.
Os dados são o bloco de construção da economia digitalizada, e as oportunidades de inovação e malícia ao seu redor são incalculáveis.
DESPESAS EM CIBERSEGURANÇA
Em 2004, o mercado global de segurança cibernética valia US$3,5 bilhões — e em 2017 valia mais de US$120 bilhões. O mercado de segurança cibernética cresceu cerca de 35X durante esse período de 13 anos — antes do último dimensionamento de mercado pela Cybersecurity Ventures.
Os gastos globais em produtos e serviços de segurança cibernética para se defender contra crimes cibernéticos devem exceder US$1 trilhão cumulativamente durante o período de cinco anos de 2017 a 2021.
“A maioria dos orçamentos de segurança cibernética nas organizações dos EUA está aumentando linearmente ou planamente, mas os ataques cibernéticos estão crescendo exponencialmente”, diz Montgomery, da CSC. Essa simples observação deve ser uma chamada de atenção para executivos da C-suite.
A área da saúde ficou para trás de outras indústrias e o alvo tentador em suas costas é atribuído a sistemas de TI desatualizados, menos protocolos de segurança cibernética e equipe de TI, dados extremamente valiosos e a necessidade urgente de consultórios médicos e hospitais pagarem resgates rapidamente para recuperar dados. O setor de saúde responderá gastando US$ 125 bilhões cumulativamente de 2020 a 2025 para reforçar suas defesas cibernéticas.
O AF 2020 EUA O Orçamento do Presidente inclui US$17,4 bilhões de autoridade orçamentária para atividades relacionadas à segurança cibernética, um aumento de US$790 milhões (5%) acima da estimativa do ano fiscal de 2019, de acordo com a Casa Branca. Devido à natureza sensível de algumas atividades, esse valor não representa todo o orçamento cibernético.
A Cybersecurity Ventures prevê um crescimento anual do mercado de segurança cibernética de 12 a 15% até 2025. Embora isso possa ser um aumento respeitável, ele empalidece em comparação com os custos de crimes cibernéticos incorridos.
PEQUENAS EMPRESAS
“Existem 30 milhões de pequenas empresas nos EUA que precisam ficar a salvo de ataques de phishing, espionagem de malware, ransomware, roubo de identidade, grandes violações e hackers que comprometeriam sua segurança”, diz Scott Schober, autor dos populares livros “Hacked Again” e “Cybersecurity Is Everybody’s Business.”
Mais da metade de todos os ataques cibernéticos são cometidos contra pequenas e médias empresas (PMEs), e 60% delas saem do negócio dentro de seis meses após serem vítimas de uma violação ou invasão de dados.
66% das PMEs tiveram pelo menos um incidente cibernético nos últimos dois anos, de acordo com a Mastercard.
“Pequenas e médias empresas não têm os recursos financeiros e habilidades definidas para combater a ameaça cibernética emergente”, diz Scott E. Augenbaum, ex-agente especial de supervisão da Divisão Cibernética do FBI, Unidade de Fraude de Crimes Cibernéticos, onde foi responsável por gerenciar o Programa da Força-Tarefa Cibernética do FBI e o Programa de Direitos de Propriedade Intelectual.
Uma pesquisa do Better Business Bureau descobriu que para pequenas empresas — que compõem mais de 97% do total de empresas na América do Norte — os principais desafios para mais de 55% delas, a fim de desenvolver um plano de segurança cibernética, são a falta de recursos ou conhecimento.
Ataques de ransomware são de particular preocupação. “O custo do ransomware disparou e essa é uma grande preocupação para as pequenas empresas — e não parece que haja nenhum fim à vista”, acrescenta Schober.
AI AUMENTA DEFENSORES CIBERNÉRICOS
Você não traz uma faca para um tiroteio.
“O inimigo agora está usando IA (inteligência artificial) contra nós”, adverte Blount. “É fundamental que as empresas e o governo entendam que o ataque cibernético médio não vem de uma pessoa em um teclado — em vez disso, está vindo de um algoritmo de IA em execução em um supercomputador e vai noite e dia atacando todos os endereços IP que podem encontrar na internet. Não se importa se você é pequeno ou grande.” Como resultado, Blount não conheceu uma organização (em centenas) nos últimos cinco anos que não tenha sido vítima de malware.
Os EUA têm uma força de trabalho total de segurança cibernética empregada composta por quase 925 mil pessoas, e atualmente existem quase 510.000 vagas não preenchidas, de acordo com o Cyber Seek, um projeto apoiado pela Iniciativa Nacional para Educação em Cibersegurança (NICE), um programa do Instituto Nacional de Padrões e Tecnologia (NIST) nos EUA. Departamento de Comércio.
Diante de uma escassez de trabalhadores domésticos, os chefes das forças de defesa cibernética dos EUA — CIOs e CISOs das empresas de médio a maior porte da América — estão começando a aumentar sua equipe com software e dispositivos de IA e ML (aprendizagem de máquina) de última geração destinados a detectar intrusos cibernéticos. Esses sistemas de IA são treinados em conjuntos de big data coletados ao longo de décadas — e podem analisar terabytes de dados por dia, uma escala inimaginável para humanos.
A panacéia para um CISO é um sistema de IA que se assemelha às técnicas de investigação e relatório de um especialista humano para que as ameaças cibernéticas sejam corrigidas ANTES que o dano seja causado.
Se os inimigos estão usando a IA para lançar ataques cibernéticos, as empresas do nosso país precisam usar a IA para se defender.
PARA O CONSELHO
A segurança cibernética começa no topo.
A CSC tem uma mensagem urgente para executivos da sala de reuniões e da C-suite: O status quo no ciberespaço é inaceitável, o que é explicitado em seu inovador Relatório de 2020, que propõe uma estratégia de dissuasão cibernética em camadas — para proteger todas as empresas e governos dos EUA contra crimes cibernéticos e guerras cibernéticas. Mas, este não é o primeiro aviso. “Algumas das mesmas coisas que estamos recomendando hoje, estávamos pressionando há 23 anos,” diz Montgomery.
“Toda empresa deve ter um especialista em CISO ou segurança cibernética em seu conselho — porque o crime cibernético é o maior risco para a continuidade dos negócios que toda empresa enfrenta”, diz Blount. A ideia é colocar alguém na sala de reuniões que acene a bandeira vermelha e faça com que todos os outros prestem atenção à gravidade do risco. Montgomery concorda e diz que a atenção é a prioridade número um, não trazendo um novo CISO — em vez disso, capacite o CISO que você tem.
O valor de um negócio depende em grande parte de quão bem ele protege seus dados, da força de sua segurança cibernética e de seu nível de resiliência cibernética.
Se houver uma conclusão deste relatório, que seja esta: Não deixe sua sala de reuniões ser o elo de segurança cibernética mais fraco.
FONTE: CYBERCRIME MAGAZINE