O Global Cybersecurity Outlook 2023, apresentado no Fórum Econômico Mundial e publicado no início do ano, mostrou que a preocupação com a cibersegurança aumentou no mundo inteiro. Segundo o relatório, 93% dos especialistas e 86% dos líderes empresariais temem um ataque cibernético nos próximos dois anos. Nesse mesmo cenário, 70% e 76% desses, respectivamente, confiam na eficácia de políticas de privacidade de dados e nos procedimentos de controles internos.
Essa preocupação decorre do fato de, mesmo com uma crescente tecnologia dos sistemas, ainda existirem lacunas a partir das quais os ataques podem acontecer. “Para o atacante, basta ele achar uma brecha, enquanto, para o defensor, ele tem que defender todas as brechas”, diz o professor Marcos Simplicio, do Laboratório de Arquitetura e Redes de Computadores (Larc) do Departamento de Engenharia de Computação e Sistemas Digitais da Escola Politécnica da USP.
O professor explica que é mais fácil destruir do que construir algo que vai sobreviver a esses ataques. Existe, portanto, uma assimetria entre defesa e ataque. Em sua análise, isso tem a ver com o quanto de pessoas trabalham na área: há uma dificuldade de achar pessoas especializadas em ataque e segurança cibernética. Mesmo na área da computação, um pouco mais popular, há uma defasagem, particularmente no Brasil.
O problema, porém, é mundial. Não existem muitos profissionais treinados na área, muito menos especializados em segurança. Uma tentativa de diminuir essa lacuna no País é a criação de cursos específicos de treinamento em cibersegurança, oferecidos tanto na esfera privada quanto pública. “Têm surgido alguns cursos nesse sentido de especialização, talvez a tendência seja aumentar nos próximos anos”, diz Simplicio. Alguns países têm tradição em treinamento e acabam exportando conhecimento e profissionais. Um exemplo é Israel, obrigado a ter uma segurança cibernética forte pela quantidade de ataques que recebe.
“O mundo enxergou mais essa necessidade, talvez com o aumento do crime organizado, o sequestro de dados e a exigência de um pagamento para que você tenha acesso ao seu sistema e com a guerra da Ucrânia”, diz. O sequestro de dados e a exigência de pagamento, assim como a guerra da Ucrânia, acenderam um alerta mundial: não apenas é possível destruir um país com o uso de armamento bélico, como também por meio de ataques a sistemas frágeis, a um baixo custo.
“Para o atacante, ele achar uma brecha, isso seria potencialmente suficiente”, ele explica. O custo, muitas vezes, é de treinamento. Tirando isso, basta ter uma boa equipe de ataque e um certo número de computadores. Simplicio ainda dá dois exemplos de ataque. O primeiro é o ataque de negação de serviço, de difícil defesa, pois é de pouco custo e derruba sistemas, como sites. O outro é chamado de ataque volumétrico, quando o atacante manda muitas requisições e sobrecarrega o sistema intencionalmente. Não há como se defender, já que se trata de um ataque de quem tem mais recursos. O importante, portanto, é investir no treinamento de pessoal.
O que precisamos para investir em cibersegurança?
O que se tem discutido no mundo é a preocupação com infraestrutura crítica. Por exemplo, é possível acabar com o sistema de energia de um país por meio de um ataque cibernético. Outros sistemas, como os gasodutos, oleodutos, os transportes urbanos – em especial o Metrô – também são passíveis de ataques.
“Quanto mais tecnologia você coloca no sistema, mais você fica aberto a um potencial ataque”, explica o professor. É muito mais difícil atacar um sistema manual do que um totalmente automatizado e eletrônico. Hoje, empresas privadas já estão completamente automatizadas. “Quando você dá esse tipo de capacidade para uma empresa, está dando uma capacidade também para o atacante de achar um problema”, alerta Simplicio. A automação, infelizmente, vem acompanhada de uma mentalidade de guerra.
A crise econômica e a dificuldade de investir em larga escala impedem as empresas de agirem com mais precisão contra ataques cibernéticos. Em meio a uma crise, uma das primeiras áreas a sofrerem cortes é a da segurança. Uma das discussões do relatório é, inclusive, a presença de grandes empresas em outros países: uma empresa tem que pensar em como defender suas filiais a partir do país em que estão situadas. Não é todo lugar que tem mão de obra especializada e regulações voltadas à segurança cibernética.
Jornal da USP no Ar
Jornal da USP no Ar no ar veiculado pela Rede USP de Rádio, de segunda a sexta-feira: 1ª edição das 7h30 às 9h, com apresentação de Roxane Ré, e demais edições às 14h, 15h, 16h40 e às 18h. Em Ribeirão Preto, a edição regional vai ao ar das 12 às 12h30, com apresentação de Mel Vieira e Ferraz Junior. Você pode sintonizar a Rádio USP em São Paulo FM 93.7, em Ribeirão Preto FM 107.9, pela internet em www.jornal.usp.br ou pelo aplicativo do Jornal da USP no celular.
