Em sequência ao artigo anterior sobre a análise dos custos totais do ataque a empresa de dados de crédito Equifax, temos agora um intrigante novo caso que poderá ter múltiplas consequências nas indústrias de seguros cibernéticos e no próprio setor de segurança.
Para contextualizar, o Capital One é o 10º maior banco americano com sede na cidade de Mclean no Estado da Virgínia, com receitas de U$ 28 bilhões e 48.800 funcionários.
Vários são os fatores comuns que despertam minha atenção nesta situação. Logo percebemos, como de hábito em gestão de riscos, que aquela probabilidade remotamente provável (aqui uma simples falha de configuração de um firewall) que os ultrapassados gráficos qualitativos tipo: verde, amarelo e vermelho teriam certamente descartado, foi a porta de entrada da atacante (Page Thompson, ex-funcionária da Amazon que está sendo acusada de vários crimes e poderá ter uma pena total de 25 anos em prisão federal) para ativar esta invasão.
Novamente, entre o momento do ataque (22 e 23/março de 2019, segundo o Banco) e a comunicação ao mercado (em 19 de julho de 2019) passaram-se cerca de quatro meses. Entre o dia do anúncio até o momento (aqui em contraposição ao caso da Equifax) as ações do banco tiveram uma queda de 13% num cenário econômico positivo.
Outros atores técnicos também estão envolvidos nas múltiplas ações judiciais já abertas, que até este momento estão num patamar de U$ 600 milhões. A Amazon Web Services (AWS) onde estes dados estavam localizados e a GitHub (empresa adquirida pela Microsoft) onde estas informações ficaram disponíveis por três meses sem que a GitHub comunicasse ao Banco Capital One.
As vítimas foram 106 milhões de clientes do Banco que, entre 2005 e início de 2019, solicitaram produtos da área de cartões de crédito. Semelhante ao caso da Equifax, as ações judiciais são contra as empresas envolvidas por negligência, falha de conduta técnica, enriquecimento ilícito, invasão de privacidade e quebra de confiança. Também foram abertas pelos investidores ações contra os executivos das áreas técnicas por não terem preservado os interesses dos clientes e procedimentos não proativos na gestão do caso neste intervalo de aproximadamente quatro meses.
Porém o fator que mais desperta minha atenção neste caso é a lógica subjetiva da indústria de seguros cibernéticos envolvida. O Capital One informou aos seus acionistas ter uma cobertura limite de até U$ 400 milhões (como já vimos as ações já superam em 25% este montante) sendo que a AIG (American International Group, Inc.) e a principal seguradora tendo, porém, outras 12 dividindo esta apólice. Também estão envolvidas outras tantas empresas de resseguros nesta situação. No artigo anterior fiz uma sucinta descrição das opções de gestão de riscos cibernéticos (desde que se estabeleçam os valores quantitativos envolvidos de forma clara e em linguagem financeira) para as partes envolvidas.
Certamente, o Capital One não fez esta análise e considerou estar 100% seguro na sua decisão de armazenar estes dados nos servidores da AWS. Provavelmente, neste contrato as partes não previram que uma pequena falha de configuração de um firewall poderia causar prejuízos diversos no patamar de U$ 600 milhões. A GitHub não detectou e, portanto, não comunicou que os arquivos que a hacker, Page Thomson, estavam nos seus sistemas por mais de três meses.
Aliás, destaca-se que este ataque foi descoberto por um inesperado e curioso e-mail de outro usuário da mesma GitHub. Ou seja, a empresa que pertence a Microsoft não teve a proatividade de descobrir que Page Thompon mantinha seus arquivos lá, ficando, portanto, numa situação vulnerável em relação as ações judiciais e perante a comunidade de clientes e o mercado em geral. O mesmo pode ser dito da AWS, que apesar de ter investido fortemente em segurança cibernética, cometeu este pequeno, mas crítico deslize, de não atualizar esta configuração do firewall.
Em projetos junto a clientes nos EUA, desenvolvi várias análises quantitativas de riscos e mesmo em setores muito diferentes ou Estados, os modelos analíticos têm sempre um padrão similar. Os eventos de maior probabilidade sempre apresentam um impacto de perda financeira menor. À medida que os gráficos se aproximam de baixas ou mesmo remotas probabilidades de ataques e/ou invasões os valores de perdas aumentam exponencialmente.
Seria similar a estimar, por exemplo, o impacto de uma catástrofe natural como um furacão, tsunami ou mesmo uma catastrófica queda das bolsas de valores num único dia. As estatísticas e os dados históricos vão nos mostrar que, sim, é possível de acontecer com algo menor a 0.01% de probabilidade de ocorrer. Então o que fazemos como cidadãos e no mercado corporativo? Adotamos a postura de “aceitar” estes riscos? Sabemos da possibilidade, mas aceitamos conviver com esta variável que possivelmente jamais irá ocorrer num ciclo total de vida.
Porém, torna-se mais claro que no cenário extremamente dinâmico das defesas cibernéticas, apresenta-se a situação clássica do dilema (como alocar os investimentos para obter o máximo de proteção com a menor probabilidade de falhas), como na teoria dos jogos e equilíbrio de Nash, onde dois ou mais jogadores (aqui exemplificado pelas partes envolvidas), nenhum jogador (no caso as seguradoras, conselho das empresas e as área áreas técnicas), têm a ganhar mudando sua estratégia unilateralmente.
Ou seja, é necessário uma análise detalhada de todos os cenários visando atingir o equilíbrio (dinâmico) entre as três opções possíveis: novos investimentos (mitigar/remediar os riscos), zonas de transferência (seguros) e reter (aceitar).
Verificando o padrão das curvas de alta, média e até a mínima probabilidade de ocorrência de impactos, em quais faixas a empresa (aqui o Capital One) deveria ter investido em sistemas e soluções de segurança cibernética? (além da Amazon e da GitHub) e quanto este orçamento iria mitigar (ou eliminar) tais riscos? Tipicamente, pela minha experiencia as seguradoras optam por criar apólices para probabilidades possíveis, mas pouco prováveis (onde os contratos tendem a ser mais lucrativos), porém deixando as extremidades (ou poderíamos chamar de “caudas”) sem qualquer cobertura (remota probabilidade e altíssimos prejuízos).
Simplificando, nas faixas de alta probabilidade e menor impacto econômico, os gestores tendem a aprovar a compra de sistemas, subjetivamente protegerão aquilo muito provável, porém em geral de baixo valor (ativos não críticos a empresa). Tipicamente haverá alguns vazios ao longo dos cenários onde não foram feitos investimentos e não há qualquer cobertura ou esta cobertura é muito inferior (como é possível ocorrer neste caso) aos valores totais da invasão ou ataque.
Como penso que deverá ocorrer, certamente todo o mercado irá rever seus paradigmas; os preços das apólices tendem a crescer e serão mais precisos, deixando claro quais faixas da curva estarão sob cobertura e em que condições serão ressarcidos os valores. Ao mesmo tempo, as tecnologias de segurança terão obrigatoriamente de aumentar sua efetividade na detecção rápida das invasões por algoritmos de inteligência artificial que, em tempo real, irão informar e conter/corrigir alguma anomalia que mesmo que tecnicamente irrelevante aprendemos pelos fatos reais serem as mais perigosas, destrutivas e onerosas.
*Leonardo Scudere é diretor executivo e fundador da Cyberbric Solutions. Possui ampla experiência em segurança cibernética e gestão de riscos, tendo atuado como executivo líder em grandes empresas como Oracle, IBM Latin América (ISS-IBM) e Computer Associates (CA)
