Mayday: desastres cibernéticos

Um conhecido programa de televisão traz a cada episódio a história por trás de acidentes aéreos. Pode parecer mórbido para alguns, mas é interessante o quanto se aprende sobre aviação em cada história relatada. E, mais importante, o quanto se aprende sobre a investigação que ocorre sempre que há um incidente aeronáutico.

Digo incidente pois a investigação acontece mesmo quando não há o acidente (aliás, um dos melhores episódios trata justamente de casos em que a tragédia foi evitada devido à habilidade dos pilotos, evitando que incidentes se tornassem acidentes – mas foram igualmente investigados). O programa mostra como a indústria aeronáutica evolui com as lições aprendidas em cada investigação, feitas de forma metódica e consistente. E mostra, ainda, como todo o processo torna a aviação mais segura a cada dia.

Após mais de 20 anos trabalhando com cibersegurança e vendo erros e incidentes se repetirem sem que lições sejam aprendidas, assistir a esse programa faz pensar em porquê a cibersegurança é encarada de forma tão diferente da segurança aeronáutica. A diferença decorre das vidas humanas em jogo? Ou porque o transporte aéreo precisa ser confiável para manter-se como um negócio bilionário? Seriam as normas da indústria e suas duras penas para os culpados? Ou, quem sabe, a publicidade dada aos acidentes?

Por muito tempo a cibersegurança, de fato, não compartilhava desses aspectos com a segurança aeronáutica, e qualquer uma das questões acima poderia explicar a diferença de atitudes. Mas, a verdade é que uma análise rápida indicará que a cibersegurança caminha a passos largos para estar exposta aos mesmos desafios. Vejamos:

• Vidas em jogo: ano passado um ramsonware (WannaCry) atacou equipamentos médicos em diversos hospitais ao redor do mundo. Ciberataques a infraestruturas críticas de energia elétrica, óleo e gás, refinarias, plantas industriais, minas, entre outros, podem causar fatalidades de diversas formas como explosões, inundações, intoxicações e acidentes. IoT (Internet das Coisas), carros inteligentes, Smart Cities – o mundo conectado deixa nossas vidas cada vez mais expostas a ciberincidentes que antes afetavam “apenas” nossos dados.
• Confiança em negócio bilionário: simples assim: a tecnologia permeia todos os negócios do mundo atual. A cibersegurança é fundamental para todos os negócios bilionários de hoje. Ponto. Mas se for necessário um pouco de digressão sobre o tema de confiança em um negócio bilionário, um exemplo perfeito é a indústria financeira. Ela sempre dependeu muito de confiança, e nunca dependeu tanto da cibersegurança. Ciberfraudes recentes no México (SPEI) e no Chile (SWIFT) causaram fraudes de mais de US$ 30 milhões. Os ataques impactaram a confiança dos clientes no sistema e ações concretas de prevenção de futuras fraudes são necessárias pelos bancos destes países.
• Normas e penalizações: normas e penalizações são aqui considerados em conjunto pois são dois temas relacionados: as penalizações geralmente vêm da regulamentação. Vide exemplos recentes como GDPR (a norma de proteção de dados da Europa) e a Lei Geral de Proteção de Dados (LGPD)  brasileira. Há anos existe uma penalização de valor considerável na norte-americana SOX, a qual muitas grandes empresas latino-americanas estão expostas.
• Publicidade dada aos eventos: combater o cibercrime – mas apenas aquele que não conseguir primeiro ocultar – tem sido, há anos, uma regra em muitas organizações. Enquanto a ocultação mantiver o negócio funcionando e a confiança dos clientes, para que investir em segurança?

Felizmente para nós, clientes e cidadãos, cada vez mais é difícil ocultar os ataques (as redes sociais estão aí também para isso!) e as regulamentações cada vez mais exigem transparência sobre ciberincidentes, para assegurar que ações corretivas sejam tomadas. Esse é um passo fundamental do processo. Se a queda de um avião passasse desapercebida da imprensa e da opinião pública, será que estaríamos tão avançados na segurança aeronáutica?

Conforme observado, com a dependência crescente dos negócios para com a tecnologia, faz-se necessária uma mudança de postura com respeito à cibersegurança, pois cada vez mais ela se equipara à segurança aeronáutica nas dimensões analisadas cima.

E quais pontos esta última nos pode trazer para reflexão?

Seguramente, a cultura da segurança deve permear as ações em todos os níveis da organização e por todo o processo. Percebe-se claramente isso em qualquer viagem de avião, desde a primeira porta do aeroporto de origem até a saída do aeroporto de destino.

Segundo, é assegurar que os processos de investigação e lições aprendidas sejam realizados de forma consistente e metódica, e que os resultados sejam, de fato, incorporados às operações para evitar recorrências.

Terceiro, é importante monitorar a operação para assegurar que essa se comporte conforme esperado, que ameaças e riscos sejam prontamente identificados e que ações de resposta sejam rapidamente tomadas. Quarto, o tema de atenção a normas: algumas indústrias, como a financeira, já são maduras no quesito cumprimento a normas de cibersegurança, mas muitas outras terão que acelerar sua maturidade nos próximos meses, em especial por conta da LGPD.

E, por último, acho que vale refletir que a segurança não é uma barreira aos negócios – no caso da indústria aeronáutica claramente é um habilitador dos negócios: as pessoas viajam de avião e a indústria prospera porque há segurança, e a segurança traz confiança. Se ninguém viajaria em um avião sem confiança e sem segurança, porque deveriam confiar suas vidas e dados a um negócio inseguro? Se o negócio for inseguro, e parecer inseguro, vai “decolar”? Ou seria um desastre cibernético esperando acontecer?

*Leonardo Carissimi é diretor de Soluções de Segurança da Unisys na América Latina