Visão de Davos: a mudança econômica do cibercrime

0 0

Nota do editor: O autor participou de um painel de discussão no Fórum Econômico Mundial intitulado “Ransomware: Pagar ou Não Pagar” em 19 de janeiro de 2023.

Embora grande parte da imprensa no Fórum Econômico Mundial de 2023 em Davos, na Suíça, tenha se concentrado em conflitos internacionais, no terreno foi um assunto significativamente mais econômico. Certamente, muitas das conversas se concentraram em como a sociedade deve fazer mais para se alinhar em torno de soluções para as muitas policrises que enfrentamos hoje, incluindo a ameaça de uma terceira guerra mundial, aceleração das mudanças climáticas e aumento da desigualdade de renda devido ao COVID-19. Mas o principal entre os tópicos era a discussão real e tática sobre como reduzir os motivos de lucro dos cibercriminosos — e ajudar as empresas a encarar seu risco cibernético de uma maneira radicalmente diferente.

Em nosso painel sobre ransomware, Catherine De Bolle, diretora executiva da Europol, observou que o cibercrime é um risco criado por humanos, impulsionado pelas condições econômicas de alto lucro e oportunidades fáceis. Ransomware é a monetização mais recente desses motivos e oportunidades, e evoluiu de malware simples para explorações avançadas e modelos de extorsão dupla ou tripla.

O motivo do cibercrime é claro: roubar dinheiro. Mas a natureza digital do cibercrime torna a oportunidade excepcionalmente atraente, devido ao seguinte:

1. A criptomoeda torna a extorsão on-line, o comércio de bens e serviços ilícitos e a lavagem de fundos fraudulentos altamente anônimos e geralmente fora do alcance dos reguladores ou inspeções financeiras ocidentais.
2. Não há medo suficiente de ser pego por cibercrime. Recentemente, o Departamento de Justiça dos EUA obteve uma grande vitória ao levar o fundador de uma exchange ilícita de criptomoedas, Anatoly Legkodymov , à justiça. Mas os EUA tiveram que esperar até que ele viajasse para um país sob a jurisdição da polícia ocidental. A maioria dos criminosos não é tão descuidada, tornando essa prisão um raro sucesso.
3. Com a explosão nos gastos com transformação digital ( 16,3% CAGR nos próximos cinco anos ), os dados são o novo ouro. E é incrivelmente fácil de roubar, devido a falhas na higiene básica, como criptografar dados em repouso e em trânsito ou limitar o acesso apenas a usuários autorizados.
4. Pagar extorsão por meio de extensas apólices de seguro cibernético apenas alimenta a epidemia de ransomware ao incentivar mais crimes, como observou o diretor do FBI, Christopher Wray.

Como um veterano oficial de operações cibernéticas da Força Aérea que agora dirige uma empresa de soluções de risco cibernético que elabora apólices de seguro que cobrem pagamentos de extorsão, sinto esses pontos com muita clareza. É por isso que é hora de as empresas repensarem drasticamente como gerenciam seu risco cibernético não apenas como um problema técnico, mas também como um problema financeiro.

Combatendo o cibercrime com resiliência cibernética

Embora ajudar as empresas a pagar a extorsão nunca seja a primeira escolha para qualquer seguradora, seu papel é ajudar a tornar seus clientes inteiros e reduzir sua exposição financeira. Mas as seguradoras têm a responsabilidade de ajudar seus clientes a pensar de forma proativa e holística sobre como avaliam, medem e gerenciam seu risco cibernético em geral. Em outras palavras, pergunte:

• O cliente está investindo seu orçamento de segurança cibernética nos controles mais importantes?
• O cliente está se esforçando para ajudar a melhorar a higiene cibernética de suaorganização?
• O cliente está fazendo mais para quebrar os silos de gerenciamento que separam segurança e negócios?
• O cliente é capaz de prever e quantificar seu risco com base em sua postura de segurança?
• O cliente é capaz de melhorar sua cobertura de seguro quando faz todos os itens acima?

Essa é a ideia central por trás da resiliência cibernética, uma forma de proteger a infraestrutura digital para empresas integrando os elementos técnicos, políticos, comportamentais e econômicos necessários para mitigar e gerenciar o ciber como um risco previsível.

Em comparação com linhas de seguro como propriedade ou automóvel, que têm décadas de dados medindo o que impede um prédio de pegar fogo ou uma vítima de acidente de carro viva, o cibernético é uma linha de seguro menos madura. As apólices cibernéticas ainda são mais difíceis de subscrever , dada a dificuldade em quantificar e precificar o risco. Eles exigem subscritores talentosos respaldados por conhecimento técnico, software de avaliação de ameaças e análise avançada para medir os controles de segurança de uma empresa em relação aos riscos em seu setor. Mas, assim como os regulamentos que exigem sprinklers contra incêndio em prédios e cintos de segurança em carros, o seguro pode reescrever as regras de como o risco cibernético é gerenciado, ajudando nossos clientes a tornar suas infraestruturas digitais significativamente mais resilientes a ameaças de extorsão.

As melhores práticas ajudam a impedir a extorsão

Chainalysis, membro da Força-Tarefa de Ransomware do Instituto de Segurança e Tecnologia, descobriu que a receita de ransomware caiu quase 50% em 2022 . Embora tenhamos visto que as tentativas de extorsão continuam fortes, podemos dizer que menos empresas estão decidindo pagar extorsão devido a controles que permitem restaurar a partir de backups ou reconstruir suas redes de TI.

Isso nos diz que, para um determinado segmento do ecossistema corporativo, compartilhar as melhores práticas aumenta a resiliência à extorsão e aumenta o custo para os invasores. Nosso objetivo agora é mudar a visão das empresas e do setor de seguros em direção a essa nova abordagem de resiliência cibernética e recompensar aqueles que investem em uma forte higiene cibernética.

Em nosso grupo de discussão sobre ransomware, um CEO que havia acabado de frustrar uma tentativa de extorsão disse melhor quando notou que o que salvou sua empresa foi ensaiar um plano holístico para responder a um incidente. Exercitar-se com lições do mundo real ajudou sua equipe executiva a navegar com sucesso por uma invasão sem pagar o resgate. A mistura de líderes dos setores público e privado de Davos constituiu o público perfeito para ouvir esta mensagem.

Combater o cibercrime é um esporte de equipe e, para ter sucesso, devemos adotar essa estrutura de resiliência cibernética que integra os elementos técnicos, políticos, comportamentais e econômicos necessários para gerenciar a realidade do cibercrime cada vez maior como um risco cibernético previsível e gerenciável.

FONTE: DARK READING