Apesar dos bilhões de dólares investidos anualmente em segurança cibernética, a cibersegurança adequada e confiável continua sendo uma meta sempre ilusória. A complexidade tecnológica e o crescente número de ataques, juntamente com uma cada vez maior variedade de agentes de ameaças e maior interconectividade, tornam a proteção de sistemas e ativos digitais um sonho perene.
O principal entre os desafios para tomadores de decisão e especialistas é simplesmente identificar e compreender os riscos de segurança cibernética da sociedade. A empresa Bipartisan Policy Center, com sede em Washington, nos EUA, convocou um grupo de trabalho de especialistas da indústria, governo e sociedade civil para “identificar os principais riscos de segurança cibernética do país para aumentar a conscientização para que os formuladores de políticas e empresas possam tomar medidas pragmáticas e investir em contramedidas.”
O grupo de trabalho produziu seu relatório Top Risks in Cybersecurity 2023, destilando as avaliações dos especialistas em oito riscos “macro” e outros riscos não necessariamente específicos para 2023. O relatório elencou os perigos mais prováveis e mais impactantes para os quais as empresas devem estar preparadas em 2023.
O conjunto de riscos que o grupo desenvolveu é notável não por sua novidade, mas por serem notavelmente antigos, destacando a natureza perene dos desafios da segurança cibernética.
Principais desafios de segurança de macro
Os oito principais riscos macro a serem observados em 2023 destacados no relatório incluem:
- Ambiente geopolítico em evolução: A guerra lançada pela Rússia contra a Ucrânia é emblemática desse primeiro risco, abrangendo os principais fatores de menor inibição de ataques cibernéticos, ataques digitais a infraestrutura crítica, desinformação e campanhas de desinformação e abordagens protecionistas ao comércio que podem deixar empresas que produtos de tecnologia adquiridos no exterior ainda mais vulneráveis.
- Aceleração da corrida armamentista cibernética: à medida que os invasores intensificam seus ataques às organizações sitiadas, os defensores devem manter o ritmo em um ambiente que favorece desproporcionalmente os agentes mal-intencionados, que usam ferramentas e truques de consumo comumente disponíveis para atingir seus objetivos, ao mesmo tempo em que visam os ativos de segurança nacional.
- Problemas econômicos globais: a volatilidade e a inflação do mercado de ações representam riscos em todo o setor de segurança cibernética, ameaçando as cadeias de suprimentos, forçando as empresas a tomar decisões difíceis sobre a alocação de recursos e possivelmente prejudicando a inovação, pois as startups enfrentam um mercado de suprimento de capital enfraquecido.
- Regulamentações sobrepostas, conflitantes e subjetivas: as empresas enfrentam uma “colcha de retalhos complexa de regulamentações necessárias de segurança cibernética, segurança de dados e privacidade implementadas por autoridades nacionais, estaduais e locais, com requisitos prescritivos variados”, incluindo balcanização de privacidade de dados e violação leis de divulgação, elevando rapidamente os requisitos de controle de segurança e regulamentação de tamanho único.
- Governança corporativa atrasada: embora tenha havido uma melhoria significativa na prioridade que as organizações colocam em segurança cibernética nos últimos anos, muitas empresas ainda não colocaram especialistas em segurança cibernética em posições de liderança, excluindo CISOs e CSOs do C-suite e conselhos de administração e mantendo a segurança cibernética separados dos objetivos organizacionais.
- Falta de investimento, preparação e resiliência: os setores público e privado ainda estão insuficientemente preparados para um desastre de segurança cibernética devido a dados incompletos e imperfeitos, falta de preparação para crises, recuperação de desastres e planejamento de continuidade de negócios, falha na realização de exercícios e planejamento de crise, concentração de risco do fornecedor e recursos insuficientes de garantia de terceiros, o custo crescente do seguro cibernético, higiene cibernética e consciência de segurança deficientes crônicas entre o público em geral.
- Infraestrutura vulnerável: a infraestrutura crítica permanece vulnerável, pois as organizações dependem fortemente de agências estaduais e locais e fornecedores terceirizados que podem não ter os controles de segurança cibernética necessários, especialmente nos setores financeiro, de serviços públicos e de serviços governamentais, que geralmente funcionam em sistemas não corrigidos, código desatualizado e sistemas legados.
- Escassez de talentos: a escassez contínua de pessoal de segurança qualificado continua a expor as organizações a riscos cibernéticos, ainda mais evidentes pela automação insuficiente das tarefas necessárias para executar uma boa segurança cibernética.
Organizações devem adaptar suas próprias soluções de segurança
Notavelmente ausente do relatório estão quaisquer soluções explícitas para esses e outros problemas.
Um membro do grupo de trabalho, Chris Painter, ex-líder de segurança cibernética do Departamento de Estado, do Departamento de Justiça e da Casa Branca e atualmente presidente do The Global Forum on Cyber Expertise Foundation, disse que, com muita frequência, os relatórios do governo detalham soluções que não se aplicam a todos.
Embora algumas coisas, como riscos geopolíticos, estejam fora do controle da maioria das organizações, o relatório ainda pode ajudá-las a formular decisões estratégicas. “Você não vai mudar o comportamento da Rússia ou da China da noite para o dia, mas acho que há coisas que você pode fazer para endurecer seus alvos e estar ciente deles como riscos de fazer as coisas”, diz ele.
Na opinião de Painter, o valor real do relatório é sua capacidade de atingir públicos não técnicos. “Acho que isso é algo que as pessoas em cargos de chefia nas empresas, pessoas que são gerentes e não especialistas em computação, podem usar para ter uma noção do cenário.”