Por Carmen Nery | Para o Valor, do Rio
A economia global conectada digitalmente embute uma série de riscos para os quais empresas e pessoas podem não estar preparadas. Da garantia de inviolabilidade dos ambientes à proteção da privacidade, não há como assegurar 100% de segurança. E os riscos e a dependência digital são cada vez maiores. Segundo dados da União Europeia, o mundo tem hoje 2 bilhões de pessoas conectadas, número que chegará rapidamente a 3 bilhões, quase metade da população mundial. A pesquisa “Fluxos globais em uma era digital: como o comércio, as finanças, as pessoas e os dados se conectam a economia mundial” do McKinsey Global Institute (MGI) aponta que, embora os fluxos do comércio e das finanças internacionais tenham diminuído a partir de 2008, a globalização não está se movendo em marcha à ré. Em vez disso, fluxos digitais são crescentes para transmissão de informações, ideias e inovação em todo o mundo, ampliando a participação na economia global. O estudo revela que, em mais de uma década, os fluxos globais tiveram um impacto de 10% no PIB mundial, totalizando U$S 7,8 trilhões só em 2014. Os fluxos de dados digitais já representam uma parcela maior desse impacto do que o comércio mundial de mercadorias físicas. O relatório destaca, ainda, que o mundo está mais interligado do que nunca. Os fluxos digitais e a largura de banda de redes transfronteiriças cresceram 45 vezes desde 2005 e devem crescer mais nove vezes nos próximos cinco anos. “Cada vez mais, as empresas estão deslocando o relacionamento do consumidor para as interfaces digitais. Porém, maior do que a interface digital é a economia de rede. É preciso separar da interface o que é infraestrutura e backoffice (retaguarda de sistemas), a porção não aparente da tecnologia. De forma crescente, as transações da sociedade contemporânea passarão pelas redes, e é preciso protegêlas”, defende Marcelo Coutinho, coordenador do mestrado em administração da Fundação Getulio Vargas (FGV). Beth Saad, professora da Escola de Comunicação e Artes da Universidade de São Paulo (ECA/USP), alerta que as pessoas hoje se comunicam em rede sem a percepção completa de que estão num ambiente privado vigiado e com alto grau de controle e manipulação. “Nem todos têm a consciência de que a dinâmica da navegação é monitorada e alterada, que a visualização é controlada por um algoritmo que o leva a estar inserido numa bolha de informação e que os seus dados são usados para atender às estratégias de negócio do Facebook. Em relação a esse tipo de risco digital, não há proteção”, afirma Beth. Setor que mais investe em tecnologia no Brasil, o sistema bancário já tem 92% das transações realizadas fora das agências. Considerandose internet banking e mobile banking, o volume de transações nesses canais representa 53% do total, número que sobe para 69% ao se considerarem também os POS de cartões de crédito e débito. Segundo Gustavo Fosse, diretor setorial de tecnologia e automação bancária da federação dos bancos, Febraban, os bancos reservaram, em 2015, 10% de seu orçamento de R$ 19 bilhões em tecnologia, ou cerca de R$ 2 bilhões para segurança. “Não há registro de invasões aos sites dos bancos. O que ocorre são os ataques de engenharia social em que o criminoso engana o cliente para capturar suas credenciais. Em 2013, houve uma série de ataques de negação de serviço que chegaram a tirar do ar o site de três bancos, mas nenhum teve os sistemas invadidos”, afirma. No caso dos cartões de crédito, 95% dos problemas ocorrem em transações não presenciais, segundo Henrique Takaki, coordenador do comitê de prevenção à fraude da Associação Brasileira das Empresas de Cartões de Crédito e Serviços (Abecs). As plataformas digitais como Uber, Alibaba, Airbnb, Amazon, eBay e Facebook são outro ponto de atenção. “Estamos criando gerações que confiam cegamente nas plataformas digitais. Minha mãe nunca confiou no internet banking, mas o jovem millenial chama um táxi pelo aplicativo do Uber, paga com cartão de crédito e acredita que a cobrança será correta. Mas isso não quer dizer que essas plataformas sejam seguras haja vista a vulnerabilidade encontrada no Uber em 2015″, diz Paulo Veloso, diretor de desenvolvimento de negócios da HPE Security Products para a América Latina. Ele observa que começa a se discutir o contraponto entre uso e segurança. Em 2015, segundo relatório publicado pelo “New York Times”, houve mais de 4.800 ataques bemsucedidos a empresas americanas, e quase um bilhão de registros foram comprometidos. E os ataques ganham proporções globais. Em abril deste ano, a rede financeira Swift sofreu um ataque que começou no Banco Central de Bangladesh, atingiu um banco europeu que teve credenciais de uso da rede roubadas, e, por meio delas, foram emitidas ordens de pagamentos de US$ 1 bilhão a partir de um banco de Nova York para depósito sem rastreabilidade no Banco das Filipinas. O sistema antifraude detectou, mas US$ 81 milhões foram pagos. “O perfil dos atacantes mudou, não é mais o hacker solitário, e sim uma organização empresarial articulada como ‘Crime Digital S.A’. O relatório “Cost of Cyber Crime”, produzido pela HPE, mostra que essas organizações chegam a ser verticalizadas por tipo de crime. E estimase em US$ 445 bilhões o mercado do crime digital”, diz Veloso. Mas nem toda ameaça é resultado de um crime. No final de junho, a Secury and Exchange Comission (SEC) aprovou a criação da ITX Trading como a mais nova bolsa do mercado de capitais americano. O que ela tem de diferente é o fato de retardar os sinais de ordem de compra para evitar os problemas de operadores de alta frequência. Leonardo Mattiazzi, vicepresidente de inovação da CI&T, conta que esses operadores foram retratados no livro “Flash Boys”, de Michael Lewis. Eles agem conectandose diretamente a redes de baixa latência nas bolsas americanas, para capturar ordens de compra de uma bolsa para outra antes que elas cheguem ao seu destino. Compram o papel na frente e revendem para o interessado com lucro em transações de milissegundos, totalmente baseadas em algoritmos. “Em seis de maio de 2010, eles provocaram um crash de algumas horas no Dow Jones”, diz Mattiazzi. Outro fato que preocupa é que os alvos de ataques não estão mais só na área financeira. André Pinheiro, líder de segurança da IBM, cita o estudo produzido pela empresa neste ano segundo o qual as violações em saúde estão à frente do mercado financeiro. Nos ataques mais comuns por indústria, a saúde ficou em terceiro lugar, com 9,2%, atrás somente de varejo e serviços de computação. O mercado financeiro ficou em quinto lugar, registrando 7,7%. Foram mais de 100 milhões de registros de saúde violados em 2015, e o time de pesquisadores da IBM descobriu que os números do seguro social e os registros de saúde permitem aos hackers ir mais a fundo, abrindo caminhos para uma plataforma que possibilita desde roubo de identidade a extorsão e também a possibilidade para focar em alvos maiores. Pinheiro observa que a indústria do crime está muito organizada e colaborativa. Do lado do bem, colaborase pouco. A IBM criou um portal de informações e o grupo XForce, que recebe 20 bilhões de eventos relacionados à segurança e atua em espionagem na deep Web. Agora vai usar a computação cognitiva, treinando o supercomputador Watson com oito universidades para desenvolver funcionalidades de prevenção e análise de dados. “Desse trabalho, sairá um sistema de proteção na nuvem para melhorar a segurança”, diz.
Incidentes diminuem, mas há mais empresas com danos
Por Carmen Nery | Do Rio
De acordo com o EMC Global Data Protection Index 2016, incidentes de segurança estão diminuindo desde 2014, mas, em geral, 13% a mais das empresas sofreram com perda de dados. A pesquisa revela que o custo médio da perda de dados é de mais de US$ 914 mil por caso. Além disso, mais da metade das empresas falha em proteger os dados na nuvem, embora mais de 80% indiquem que dependerão de aplicativos de negócios baseados em SaaS (software como serviço). Cerca de 36% das organizações perderam dados no último ano como resultado de uma violação de segurança. Marcos Nehme, diretor de prévendas e da divisão técnica para a América Latina e Caribe da RSA, empresa de segurança da EMC, diz que a maior parte das empresas constrói sua segurança baseada na proteção de perímetro suportada por sistemas como firewalls, antivírus, IPS, antiDDOS. Essas ferramentas protegem as companhias apenas contra ameaças conhecidas ou do passado, mas pouco podem fazer contra as mais novas criações dos cibercriminosos, que estão sempre um passo à frente. “Segurança 100% não existe, mas é possível análises de big data para identificar um tipo de ataque. E tecnologias de governança, risco e compliance automatizam respostas a incidentes”, diz. André Pinheiro, líder de segurança da IBM, observa que o mercado de segurança é o único que não é ditado nem por quem vende, nem por quem compra e sim por um terceiro: o atacante. A velocidade com que ele cria as ameaças faz com que as empresas as que produzem e as que adquirem defesas se movimentem. Segundo o Gartner, o mercado global de segurança movimentará US$ 91,66 bilhões este ano, devendo chegar a US$ 125 bilhões em 2020. No Brasil, o mercado somará, em 2016, U$ 808 milhões, atingindo US$ 1,08 bilhão em quatro anos. “As ameaças têm evoluído rapidamente. O ‘ransomware’ [que usam criptografia para tornar ilegíveis documentos armazenados em PCs das empresas] cresceu 375% nos últimos dois anos. Foram identificados 6 milhões de ataques em 2015. O cibercrime tem custado US$ 650 bilhões à economia, diz Mario Kanamaru, diretor geral da Intel Security. Ele observa que hoje não existe mais um perímetro de riscos e ameaças, e sim sistemas executados na nuvem. Relatório da Verizon revela que 80% dos ataques exploram vulnerabilidades conhecidas. Mas, nos novos negócios digitais com mobilidade, internet das coisas, redes sociais e nuvem , as pessoas, processos e as coisas abrirão novas portas de vulnerabilidade, e o maior risco será a própria atividade. É preciso que haja resiliência para reagir aos ataques”, recomenda Claudio Neiva, diretor de pesquisas do Gartner. Fernando Zamai, engenheiro de segurança da Cisco, diz que o principal risco é o roubo de dados, com perdas financeiras enormes. Um dos problemas de risco e compliance no Brasil é que as empresas não são obrigadas a reportar quando sofrem ataques. “As fraudes que mais têm crescido no país são aquelas cometidas justamente por vias nãodigitais, ou por meio das redes wireless, das redes cabeadas e das redes VPN”, diz Zamai. Ele alerta que os riscos tendem a aumentar com o processo de transformação digital por que passam as empresas. Estudo da Cisco aponta que apenas 25% das empresas encaram a digitalização de forma proativa e que quatro entre dez organizações desaparecerão nos próximos cinco anos devido à transformação digital. “A própria Cisco, ao introduzir e estimular o uso da telefonia IP, tirou do mercado líderes do segmento corporativo como a Nortel e a Siemens. A Apple estendeu a mão para salvar a indústria fonográfica com o iTunes, mas agora ela própria está ameaçada pelo Spotify “, diz.
Prejuízo com cibercrime soma US$ 1 trilhão ao ano
Por Françoise Terzian | De São Paulo
Estimase que o prejuízo anual gerado a partir do cibercrime no mundo gire em torno de US$ 1 trilhão, valor superior aos US$ 400 bilhões movimentados por ano pelo tráfico de drogas no planeta, de acordo com a Organização das Nações Unidas (ONU). Segundo a americana National Security Agency (NSA), os ciberataques têm causado “a maior transferência de fortuna da história”. De todos os setores da economia, o financeiro é o mais visado pelos invasores. Onde há dinheiro e informações confidenciais há uma maior tendência a roubos. Qualquer vulnerabilidade pode ser a porta de entrada para um hacker entrar em uma rede privada e desviar milhões de reais. Os bancos brasileiros estão hoje entre os mais seguros do mundo, em razão de seus aportes em “barreiras tecnológicas”. Segundo a Pesquisa Febraban de Tecnologia Bancária 2015, os investimentos e as despesas em TI somaram R$ 19,2 bilhões em 2015. Desse total, 44% foram destinados a software, 35% a hardware e 20% a telecom. Mesmo assim, os bancos ainda são alvos constantes de invasores, especialmente diante do cenário de uso crescente de novos conceitos como o “mobile banking”, a partir de dispositivos móveis. Só em 2015, esse tipo de transação cresceu 138% no Brasil, segundo a Federação Brasileira de Bancos (Febraban). Para evitar roubos, as instituições aumentaram seus investimentos em soluções de combate a fraudes e violações de dados. Ainda que seus ambientes sejam considerados seguros, há especialistas que classificam como “médio” o nível de proteção do setor financeiro. Há brechas e vulnerabilidades em seus sistemas por equívoco, por exemplo, das políticas de segurança de TI. Um erro comum é pensar isoladamente nos riscos. O outro é só tomar atitude à medida que os problemas surgem. “A segurança sempre foi tratada de forma estanque e pontual, como remediação. Hoje, se o banco não investir no meio digital, seu crescimento será limitado. E a segurança passou a ser uma conversa de negócios”, observa Paulo Breitenvieser, diretor de segurança da Cisco no Brasil. Ou seja, mais do que um problema da área de TI e do CIO, a segurança da informação passou a ser uma preocupação do CEO, do CFO e de responsáveis por todas as outras áreas. O cuidado é tamanho, observa o executivo da Cisco, que há bancos criando cartilhas para os fornecedores caso do Itaú, com níveis e regras de segurança a serem obedecidas. Ou seja, o parceiro que se relaciona com a instituição também deve ter seu ambiente protegido para não ser atacado e, consequentemente, não respingar no banco. Há cerca de dois anos hackers invadiram os sistemas de cadastro e pagamento da rede varejista Target, tendo acesso aos dados de aproximadamente 40 milhões de cartões de crédito. O caminho encontrado para o ataque foi a invasão da rede da empresa que dava manutenção ao arcondicionado da Target. Para a segurança ser efetiva, especialistas pregam que ela deve permear todas as etapas da operação, em uma estratégia de segurança dividida por camadas. “A primeira camada é a física. No caso dos bancos, isso se refere à parte de controle de acessos, como autenticadores, senha e token”, explica Armando Lima Amaral, diretor de Tecnologia da Tivit, focada em serviços integrados de tecnologia e que gerencia mais de 25 bilhões de transações por ano. A segunda camada é a de transporte de dados. A Tivit utiliza estratégias conhecidas como VPN (Virtual Private Network), rede 2G das operadoras, criptografia de dados e transferência EDI (Electronic Data Interchange). Na terceira camada voltada às aplicações, a estratégia é oferecer informações desconexas a um possível invasor. Além disso, é recomendado que as operações tenham monitoramento, detecção, proteção e resposta a eventos de segurança em tempo real, 24 horas por dia. O desafio do setor financeiro é ser cada dia mais digital, sem descuidar dos altos níveis de segurança e disponibilidade dos serviços. Nesse caso, recomendase desde o redesenho de processos até a adoção de novas tecnologias como a biometria que, segundo a consultoria Tractica, movimentará US$ 67,8 bilhões no mundo até 2024. “Os bancos são os grandes impulsionadores desta tecnologia. Metade dos caixas eletrônicos do Brasil já tem sensor biométrico, mas ainda há muito para crescer”, diz Amaral. Outra tendência é o uso da biometria no mobile banking: aplicativo reconhecerá a digital do correntista.
Fonte: Valor Econômico – 25/07