Akamai: sofrer um ataque cibernético é questão de tempo
No mundo dos negócios, estar na mira de hackers é o preço que uma empresa paga por ser bem-sucedida no mercado. Sendo assim, ao mesmo tempo em que se busca o sucesso comercial, é preciso investir em proteção contra qualquer tipo de ataque cibernético.
“Não existe a história sobre se você vai ser atacado ou não, o que existe é quando você vai ser atacado. É questão de tempo”, afirma Helder Ferrão, gerente de Marketing de Indústrias para a América Latina (LATAM) da Akamai Technologies.
Em entrevista ao Tele.Síntese, o diretor da empresa do ramo de soluções de segurança ressalta que, assim como os avanços tecnológicos beneficiam os usuários, os criminosos também se utilizam das novas tecnologias, inclusive o 5G, para aperfeiçoar as técnicas de invasão a sistemas de informação. Desse modo, ferramentas de defesa precisam ser revisadas constantemente para bloquear investidas maliciosas.
“À medida que a tecnologia avança e se torna mais eficiente para os usuários, as técnicas dos atacantes, que enxergam essa evolução, também evoluem para tirar proveito disso”, pontua.
Na conversa, Ferrão também comenta sobre a necessidade de o setor público fortalecer seus ambientes digitais contra potenciais invasores, o aumento da exposição de indivíduos e empresas na internet e os reais perigos de um ataque cibernético de proporções catastróficas.
Confira, a seguir.
Tele.Sintese: Poderia fazer uma avaliação introdutória sobre o nível de segurança à disposição dos usuários de internet comparado ao volume dos ataques cibernéticos?
Helder Ferrão, gerente de Marketing de Indústrias LATAM da Akamai Technologies: Quando falamos em ataques envolvendo a questão de segurança cibernética, sempre temos que dividir em dois mundos: temos que olhar o lado do consumidor e o lado das empresas. Obviamente, as empresas, por força da natureza dos negócios, têm um volume de investimentos maior e contínuo na questão de desenvolver proteções. Já o consumidor deve ser muito mais educado para aprender a se autoproteger do que qualquer outra coisa, porque soluções e ferramentas de segurança têm limitações.
A capacidade dos atacantes – como chamamos os hackers – de desenvolverem novas técnicas e maneiras de fazer [invasões] é muito grande, e as empresas que entregam as soluções de segurança para os consumidores não conseguem soltar upgrades [atualizações] diários. Elas têm uma periodicidade para fazer upgrades, acumulando uma quantidade de novas técnicas de defesa. Então, cabe a nós termos uma postura de defesa muito grande. O elo mais fraco sempre é o usuário – e falo de uma amplitude maior, não só o usuário consumidor, mas também os funcionários das organizações que estão trabalhando remotamente.
Tele.Síntese: Qual é o nível de perigo que enfrentamos?
Ferrão: Temos pessoas dentro da estrutura da Akamai que ficam navegando na dark web o tempo inteiro para ver o que está sendo ofertado lá. Temos informações de inúmeros lotes de dados pessoais que são ofertados por preços irrisórios. Às vezes, com US$ 5 ou US$ 10, é possível comprar um banco de dados com informações sobre 1 milhão, 2 milhões ou 3 milhões de indivíduos, incluindo nome, e-mail, data de nascimento, numeração da conta bancária, endereço.
É assim que se oferta, dentro da dark web, pacotes de técnicas de invasão. O ransomware – o tipo de ataque em moda cujas projeções para 2023 apontam que vai continuar sendo o mais comum – se encontra na dark web sendo vendido como serviço. É o ransomware as a service (RaaS), como se fosse uma prestação de serviço mesmo.
Tele.Síntese: A segurança das redes é um tema que vem ganhando importância. Estamos mais vulneráveis hoje do que em qualquer outro período?
Ferrão: Não vou dizer que estamos mais vulneráveis do que nunca. Nós estamos, por consequência da evolução das possibilidades online, muito mais expostos, sem dúvida nenhuma. Hoje, para almoçar, fazemos um pedido de delivery pela internet. Se precisamos de um remédio, entramos no site da farmácia e pedimos por delivery. Só esses dois exemplos mostram que aumentamos a nossa quantidade de interações com a internet em 300%. Então, estamos muito mais expostos do que antigamente. E estou usando como base de tempo o final de 2019, antes de começar a pandemia, até hoje. Mas, se ampliarmos o tempo, a quantidade de empresas expostas na internet há dez anos deveria ser alguma coisa entre 15% e 20% do que existe hoje. Esse número se multiplicou inúmeras vezes.
Tele.Síntese: Quais são os principais alvos dos ataques cibernéticos?
Ferrão: Tem uma coisa para se pensar: por que os atacantes estão atacando mais? Teoricamente, toda empresa gostaria de ter sucesso. Se alguma empresa tem um certo destaque no mercado, ela chama a atenção de todos, como potenciais novos clientes e a mídia. Mas, infelizmente, por consequência, também chama a atenção dos mal-intencionados.
Por exemplo, o que aconteceu com o mercado de saúde desde o início da pandemia? Entrou em destaque. Fala-se muito sobre o que a indústria de saúde fez para atender os clientes de maneira remota e mais eficiente. Isso fez com que a atenção, inclusive dos atacantes, se voltasse para esse mercado. Há cinco anos, em ranking de indústrias mais atacadas, as empresas de saúde apareciam na sétima ou na oitava colocação. Hoje, varia entre terceiro ou quarto, porque se tornou uma indústria em evidência.
Duas nunca saem do topo: financeiro e e-commerce. São indústrias que chamam muito a atenção, são muito expostas e têm empresas enormes que têm o seu ambiente tecnológico acessível na internet.
Tele.Síntese: É o caso, por exemplo, do que houve com o grupo Americanas no ano passado, quando as lojas online ficaram fora do ar?
Ferrão: Isso está para completar um ano. Em relatório, eles mostraram que perderam R$ 923 milhões em cinco dias. Tiveram um impacto de quase R$ 1 bilhão de perda de receita. Isso acontece com muitas empresas.
Então, se você tem sucesso em seu negócio ou pertence a uma indústria que está em evidência no momento, há uma relação direta entre chamar muita atenção e ser alvo [de ataques], o que não significa, em hipótese alguma, que as empresas não vão fazer qualquer coisa para chamar a atenção. A empresa vai trabalhar para ter sucesso nos negócios e, ao mesmo tempo, aumentar a sua resiliência em relação à segurança do seu ambiente para se proteger dos possíveis ataques que vai receber.
Tem um jargão que usamos na indústria de segurança que é o seguinte: não existe a história sobre se você vai ser atacado ou não, o que existe é quando você vai ser atacado. É questão de tempo.
Tele.Síntese: Mas é possível estar preparado para tudo?
Ferrão: As empresas precisam definir uma estratégia de proteção do seu ambiente. É pensar o que se deve proteger primeiro, porque, em teoria, é o que vai chamar mais a atenção num determinado momento. Então, deve-se pensar o que se protege primeiro, como evoluir a proteção e como implementar novas camadas de defesa para garantir que o seu ambiente seja bem controlado e protegido.
E a empresa não implementa [o sistema de proteção] e para por aí. A tecnologia evolui, o negócio evolui. Então, a empresa tem um momento de tecnologia hoje, mas daqui a um ano o momento de tecnologia dela pode ser alterado. Então, tem que pensar em melhorar os produtos de segurança, porque a empresa está operando de outra forma.
Tele.Síntese: O mercado aposta muito na estratégia de segurança Zero Trust? Ela é a principal na atualidade e capaz de impedir invasões a sistemas de informação?
Ferrão: Zero Trust é uma definição de postura de segurança. Reforço a palavra “postura”, porque, como definição, “zero trust” é quase “confie desconfiando”. Trata-se de não liberar todos os acessos sem validá-los – e não só no momento da entrada, como ao longo da conexão do usuário.
Por exemplo, ao entrar em uma aplicação, valida-se o usuário na entrada, porém, não significa que se esquece dele depois. De tempo em tempos, ele é revalidado ou, no mínimo, monitorado para ver se está agindo de acordo com o que ele deveria fazer.
Ou seja, Zero Trust é uma postura de validação contínua do acesso. Então, para ser alcançada tal postura, tem que implementar algumas ferramentas de segurança. Primeiro, não existe nenhum produto que instale a postura completamente. A postura deve controlar o usuário, o que ele faz, minimizar impactos de eventuais penetrações e evitar que os acessos oriundos de dentro do ambiente tecnológico para fora cheguem a um site malicioso.
Tele.Síntese: Relatório recém-divulgado pelo Fórum Econômico Mundial, com base na opinião de diretores de TI e líderes empresariais, aponta que podemos ver um ciberataque de proporções catastróficas nos próximos dois anos. Qual é a sua opinião sobre isso?
Ferrão: A possibilidade existe? Acho que existe. Quando falam em “proporções catastróficas”, vou ser sincero e dizer que parei pouco tempo para pensar o que poderia ser feito para que um ataque pudesse ser considerado catastrófico. A primeira coisa que me vem à cabeça seria se houvesse um ataque orquestrado para um número muito grande de instituições financeiras. Ou seja, impedir que o sistema financeiro global realize transações por um período, até porque isso teria um efeito em cascata. Talvez, se você impactar cinco ou seis dos 20 maiores bancos do mundo, muito provavelmente os outros vão bloquear os sistemas preventivamente, deixando de fazer transações e colapsando o sistema como um todo.
Talvez, possamos pensar em sistemas de energia elétrica, já que todos são interconectados. Então, dá para fazer? Dá. Só que, por outro lado, penso que tem que ser um negócio organizado de uma maneira tal entre os atacantes, porque um grupo de hackers conseguir esse impacto, não acho impossível, mas muito improvável. É preciso ter uma capacidade de ataque muito grande. Quando falamos em grupo de atacantes, estamos falando em gente, sistemas, capacidade de processamento. Então, estamos falando de uma estrutura muito grande que tem um custo muito grande.
Portanto, não vejo um grupo de atacantes sozinho conseguindo fazer algo nessa proporção. Não acho que seja impossível, mas acredito que seja pouco provável nos próximos anos. Porém, assim como falei que as empresas têm de olhar o momento da tecnologia, nós estamos conversando olhando para o momento do ambiente da tecnologia da internet hoje. Se voltarmos a ter essa conversa daqui a um ano ou dois, o momento e o ambiente serão outros.
Tele.Síntese: O metaverso pode vir a representar um novo momento da tecnologia?
Ferrão: Acho que o metaverso, obviamente, será um tremendo terreno de oportunidades, mas também acho que nem todas as oportunidades já estão abertas, discutidas, vistas e enxergadas. Vejo que o metaverso, por exemplo, vai ser um ambiente que vai revolucionar o tamanho da captura da quantidade de dados e informações que você pode ter sobre um ser humano.
Acho que o mercado de e-commerce, num primeiro momento, é o que mais vai revolucionar com o metaverso. Tudo isso gera um volume de informações enorme que precisa ser armazenado em algum lugar. E para proteger todas essas informações, também será preciso evoluir em relação à segurança dos dados. Aí entram aspectos diretos da legislação atual, a LGPD [Lei Geral de Proteção de Dados Pessoais], porque não deixa de ser informação pessoal. Falo em LGPD hoje, mas imagino que outras legislações de proteção mais específicas serão desenvolvidas futuramente.
Tele.Síntese: Novas tecnologias, como o 5G, soluções de Inteligência Artificial e machine learning, trazem mais desafios ou potencializam a área de segurança? Qual é sua avaliação?
Ferrão: Algumas delas criam desafios, enquanto outras vão ajudar a questão da segurança. O que eu vejo é que todas as novas tecnologias têm como base, para troca de informação, o backbone da internet. O 5G é a última milha de conexão para trazer usuários para a internet. Essa última milha, antigamente, era o 2G e veio evoluindo. Essa evolução é a capacidade de comunicar numa performance muito melhor.
Quantas aplicações virão por consequência da entrega de rede 5G? Não faço a menor ideia, mas acredito que teremos a viabilização de um monte de coisa. Assim, voltamos ao aspecto de segurança. É preciso proteger redes privadas também, porque são suscetíveis de serem invadidas. Em algum ponto, a rede privada, mesmo que tenha o isolamento da rede 5G, do ponto de processamento para trás, vai ter conexão com a internet em algum lugar. Então, mesmo para as redes privadas, também é necessário pensar nos aspectos de segurança.
E poderíamos entrar em uma outra conversa sobre como as aplicações estão evoluindo. Cada vez mais se utiliza APIs [Application Programming Interface], que são avenidas expostas para serem atacadas. Tanto que os ataques a APIs se utilizam de bots para tentar ter mais eficiência. E os atacantes estão fazendo isso porque a cada dia se desenvolvem mais e mais APIs. Temos estatísticas de que, hoje, APIs respondem por 70% a 80% do tráfego de dados na internet.
Tele.Síntese: Podemos pensar que toda a potência do 5G também pode ser utilizada pelos atacantes?
Ferrão: Não uso a expressão de que novas tecnologias vão piorar a situação da segurança. Vou dizer que, assim como a tecnologia evolui, as maneiras e as técnicas de ataques evoluem junto. Então, o 5G vai possibilitar ataques mais sofisticados? Sim. Como eu falei, se você tem uma última milha que é mais eficiente, mais rápida e tem uma latência menor, essa conexão 5G também pode ser usada por um atacante.
Então, à medida que a tecnologia avança e se torna mais eficiente para os usuários, as técnicas dos atacantes, que enxergam essa evolução, também evoluem para tirar proveito disso tudo. E os produtos de segurança também evoluem olhando esses dois movimentos.
Tele.Síntese: O que, do ponto de vista da segurança cibernética, precisa ser discutido no âmbito político ou que você espera que o novo governo encampe?
Ferrão: Em primeiro lugar, o setor público tem que aumentar a sua preocupação com a segurança do próprio ambiente. Precisa pensar nas soluções de segurança para o suporte do seu negócio, que é prestar serviços públicos. O impacto de uma invasão num sistema de uma entidade pública pode ser muito grande. Vemos na mídia recorrentemente que sistemas de prefeituras foram invadidos e ficam indisponíveis por longos períodos, e a população sofre com isso.
E se anualmente é adequado rever a solução de segurança, acho que é difícil isso acontecer na esfera pública se o processo de contratação ou upgrade de uma solução continuar sendo da maneira que é. Às vezes, você vê processos de licitação pública que levam dois ou três anos para se resolver. Nesse período, tudo o que se especificou que precisaria comprar nem se usa mais.
E outra coisa é que o setor público tem que trabalhar, sim, a definição de leis e regulação para, de uma certa maneira, penalizar, no sentido de cobrar responsabilidade das empresas que eventualmente tenham suas informações vazadas. Não é questão de definir penalidades, até porque, na minha opinião, multa não resolve nada. No entanto, de alguma maneira, tem que responsabilizar quem não protege as informações, definindo políticas públicas e aplicando sanções.