A cibersegurança vai além da tecnologia, abrangendo também a conscientização e o treinamento dos funcionários para evitar vazamento de informações ou possíveis chantagens e ameaças externas. Essa foi uma das principais mensagens transmitida por especialistas durante o evento CESAR Spotlight, realizado na última terça-feira, 4, em São Paulo pelo CESAR (Centro de Estudos e Sistemas Avançados do Recife), em parceria com a Embrapii (Empresa Brasileira de Pesquisa e Inovação Industrial).
“Às vezes as pessoas acham que cibersegurança é só tecnologia, que a gente está protegendo só a tecnologia. Mas ali na Caixa a gente tem uma experiência de que não é só a tecnologia em si, mas a pessoa que trabalha dentro da empresa. Por que tecnologia existe, pro bem e pro mal. Resolver com tecnologia é fácil”, conta Ronan Couto, Gerente de Cibersegurança da Caixa Econômica Federal, presente em painel do evento.
“Agora, quando tem alguém dentro do seu time, dentro da sua empresa, que conhece os processos internos da sua empresa, e essa pessoa é corrompida, ela vai e passa toda essa tecnologia e tenta tirar dados de dentro da empresa”, explica. “Então a cibersegurança é bem abrangente, indo desde a técnica e passando até a pessoa.”
Além das ameaças tecnológicas, foi destacado o risco de ataques internos facilitados por quadrilhas de hackers, por exemplo. Esses grupos podem chantagear ou subornar funcionários, persuadindo-os a fornecer senhas ou informações confidenciais de gerentes e executivos da empresa.
“Vocês viram que a gente tem proteção de rede, tem proteção de identidade, tem proteção de endpoint. Tudo isso são palavras técnicas muito bonitas. Mas, nós temos proteção para a pessoa?”, destaca Ronan, enfatizando que é necessário instruir a pessoa a entender que ela está inserida dentro de um processo e que ela deve ser o elo mais forte da cibersegurança.
“Uma das grandes dores da empresa é justamente essa questão da ameaça interna. Se você for atrás dos números, você verá que boa parte dos grandes vazamentos de dados que ocorrem normalmente tem a origem de alguma entidade ou pessoa que está dentro da empresa. Muitas vezes em conluio com uma organização criminosa de fora”, conta Fábio Maia, Tech Manager do CESAR e líder do CISSA (Centro Integrado de Segurança em Sistemas Avançados), criado em parceria com a Embrapii . “Como é que você se defende de quem está dentro da sua empresa?”, questiona.
Maia destaca que o problema é complexo e que uma das mais novas linhas de pesquisa do CISSA é a inteligência de ameaças, com o uso de IA e aprendizagem de máquina para tentar identificar precocemente esses casos de desvio de comportamento interno.
Cibersegurança para o setor elétrico
Além dos bancos, outro ponto importante abordado sobre o uso da cibersegurança está relacionado à proteção cibernética em setores como o da energia elétrica. A evolução desse setor deve considerar práticas robustas de proteção digital para mitigar riscos de ataques e falhas sistêmicas.
Diferentemente de países como China ou EUA, que vivem sob constante tensão, o Brasil não possui exatamente um sistema de cibersegurança mais direcionado para o setor elétrico.
“A cibersegurança não só traz importância, como está vinculada com toda a capacidade tecnológica que o setor elétrico tem criado, como subestações remotas, que podem ser desligadas ou desenergizadas com o acesso do hacker”, explica Donorvan Fagundes, Consultor de P&D e inovação do setor elétrico e ex-funcionário do CEMIG (Companhia Energética de Minas Gerais). “O setor elétrico precisa evoluir muito. O grande player é o setor bancário, e a gente precisa aprender muito com eles. Se a gente tiver um ataque que consiga ter alguma nocividade no sistema, nós vamos ter um problema muito grande no país, porque nós temos um sistema interligado nacional”, acrescentou.
De acordo com Fagundes, é necessário aprender e trabalhar com mais projetos e tecnologias para aumentar a segurança no setor. Apesar de o Brasil não ter um histórico bélico ou de relações mais conflituosas com outros países, o cenário para o futuro é cada vez mais volátil, principalmente pela inserção do Brasil no grupo dos BRICS.
“O Brasil pode nos próximos anos se tornar uma potência econômica vinculada a outros países e pode sofrer alguns ataques, principalmente para mostrar a fraqueza de nossos sistemas.”
Segundo Maia, do CESAR, a cibersegurança e a segurança em geral é uma corrida armamentista. “A segurança é assimétrica por natureza, existe uma assimetria entre ataque e defesa. O crime pode se mover de forma rápida porque ele não tem compliance, governança e regulação. O ataque só precisa ser bem sucedido uma vez. A defesa, se ela funcionar 999 vezes e falhar uma, ela falhou.”
Para o tech manager do CESAR e líder do CISSA, embora a IA suscite debates sobre seus impactos na segurança, ela continua sendo uma tecnologia ou ferramenta que será empregada tanto na defesa quanto no ataque.
“Eu acho que essa é uma questão que vai ter um período de maturação. Eu acho que, no curto prazo, vai favorecer o ataque, por conta dessa assimetria”, explica. “Essa maturação do uso da IA defensiva necessariamente vai ser mais lenta no lado defensivo. Então a curto prazo acho que a gente vai ter uma piora na situação. Mas daqui a dois ou três anos, acho que a coisa volta ao seu equilíbrio, como é sempre em segurança. Isso é da natureza do campo”, conclui.
Falta um índice de cibersegurança
Por fim, os palestrantes também ressaltaram que há uma ausência de um índice nacional de maturidade em segurança cibernética que avalie a situação do país em diversos setores. De acordo com Maia, até órgãos do governo federal utilizam índices de maturidade cibernética no Brasil que são realizados no exterior. Essa falta de maturidade também se estende ao setor bancário, considerado um dos mais avançados nesse quesito.
“A nossa percepção é que o nível de maturidade das empresas no Brasil em relação à segurança cibernética no país é bem baixa. Mas isso é minha percepção, não é uma pesquisa nem nada. Mas a gente tem uma linha de pesquisa no CISSA também”, informa Maia. “Isso é uma coisa que a gente vai buscar. Ter uma visão melhor de maturidade das empresas brasileiras.”
