Quo vadis cyber risks? it-sa Expo&Congress: Palestra especial de Peter Hacker sobre riscos e desafios geopolíticos

A décima palestra especial na it-sa Expo&Congress, em 24 de outubro de 2024, promete mais uma vez insights empolgantes e uma perspectiva do futuro da segurança cibernética. O palestrante especial Peter Hacker se concentrará nos riscos e nas estratégias para superá-los.

Peter Hacker, especialista, empresário e autor, é especialista em mudanças digitais, crimes cibernéticos e segurança cibernética em escala global. Sua experiência é procurada por empresas, organizações internacionais e regionais, autoridades reguladoras e agências de classificação. Peter Hacker é o fundador e diretor administrativo da Distinction.global, um think tank independente e de atuação global para segurança cibernética e transferência de riscos na Suíça. 

Na entrevista, Hacker fala sobre pontos que ele examinará em detalhes em seu discurso exclusivo: A percepção dos riscos cibernéticos no nível da alta administração, os crescentes desafios geopolíticos, a importância da inteligência artificial e a resiliência como fator decisivo para resistir a ataques cibernéticos.  

Como gostamos de compartilhar explicitamente esta entrevista também para países francófonos, ou áreas específicas de língua francesa, decidimos estender a entrevista aos seguidores de Peter Hacker e interessados no Brasil para adaptar algumas questões especificamente para a região.

Há quanto tempo você está envolvido com a segurança cibernética e houve um gatilho específico para isso?

Há muitos anos sou fascinado por novas tecnologias e digitalização. Desde cedo, desenvolvi uma paixão por programação e desenvolvimento de códigos. Também tinha uma queda pelo lado obscuro da tecnologia. Logo percebi a estreita ligação entre as possibilidades técnicas e a segurança. Portanto, a segurança cibernética é perfeita para mim. Preparando os clientes com a minha equipe para o cenário de riscos em rápida mudança, trabalhando com novas tecnologias, utilizando oportunidades e abordando riscos – como especialista em segurança de TI com atuação internacional, tenho minha parcela de responsabilidade que todos nós temos por um futuro digital seguro. 

Como um especialista muito procurado, você viaja pelo mundo e está diretamente envolvido na percepção dos riscos cibernéticos no mais alto nível gerencial. Que perguntas os gerentes de alto escalão fazem a você?

Os riscos cibernéticos estão agora no topo do radar de risco de muitos membros do conselho de administração ou membros da diretoria com quem converso. O fato de os membros do conselho, especialmente nos EUA, já terem sido demitidos e responsabilizados legalmente por danos materiais causados por ataques cibernéticos certamente desempenha um papel importante. Como resultado, estou sentindo uma certa ansiedade em dedicar atenção suficiente ao tópico. Além disso, há finalmente, embora apenas gradualmente, uma percepção crescente de que investir em segurança cibernética protege ativos intangíveis, como propriedade intelectual ou reputação da marca. Isso certamente também se deve à frequência e à complexidade cada vez maiores dos ataques cibernéticos à infraestrutura crítica ou a áreas de serviços básicos, bem como às suas consequências financeiras, jurídicas e relacionadas à segurança. Gradualmente, a segurança de TI em nível de diretoria não é mais vista apenas como uma “despesa operacional”. No entanto, embora o medo de ser pego com o pé esquerdo esteja crescendo, muito pouco está sendo investido. Além disso, há simplesmente uma falta de recursos qualificados suficientes. Atualmente, as tensões geopolíticas estão afetando o comércio internacional e as cadeias de suprimentos em um grau sem precedentes. 

Você mencionou a situação geopolítica cada vez mais instável. Em quais aspectos do cenário de segurança global você está se concentrando em particular?

As tensões entre as superpotências continuarão a aumentar. A complexidade dos ataques cibernéticos aumentou globalmente, o que torna provável uma nova corrida armamentista. As eleições nos EUA também levarão a uma maior intensificação de possíveis novos vetores e alvos de ataque no espaço cibernético. Conflitos regionais, como Rússia-Ucrânia e Israel-Gaza, alimentaram novas tendências de ataque e hacktivismo, com foco em alvos sociais, econômicos e políticos. Continuamos a enfrentar engenharia social, ransomware, comprometimento de e-mail comercial (BEC), desfiguração de sites e ataques complexos de malware wiper. Além disso, novos métodos de ataque orientados por IA, muitas vezes apoiados por forças estatais, estão aumentando os desafios. 

Em sua opinião, quão bem posicionadas estão as empresas brasileiras em termos de segurança cibernética?

No Brazil, trabalho frequentemente com empresas industriais, de tecnologia, farmacêuticas, TI e financeiras. Sua tecnologia operacional ou de TI continua sendo o alvo favorito dos criminosos cibernéticos. As plantas industriais são muito mais fáceis de atacar hoje do que no passado, quando a TI e a TO eram separadas. O vínculo com a IIoT (Industrial Internet of Things, Internet Industrial das Coisas) aumenta o risco de ataques bem-sucedidos à TO, pois agora estamos vinculando simultaneamente dados organizacionais (logística e expedição) com dados técnicos de sistemas de fabricação auxiliados por computador (produção). Com muita frequência, há falta de investimentos e atualizações urgentes. Estou alarmado com a frequência dos ataques de engenharia social em setores como energia, gás, petróleo, engenharia, automotivo, bancário, seguros, farmacêutico e tecnologia. Incidentes em massa são apenas uma questão de tempo.

O que podemos aprender com outros países?

Estamos em uma corrida armamentista digital. Os hackers estão atacando infraestruturas essenciais em todo o mundo, inclusive no Brazil. Investir na proteção dessa infraestrutura deve ser uma prioridade. Minha recomendação urgente: repensar os conceitos de segurança, manter os sistemas atualizados, treinar as equipes regularmente, aliviá-las o mais rápido possível (recursos imitados inevitavelmente levam ao esgotamento) e remunerá-las melhor. Acima de tudo, porém, precisamos continuar nos lembrando: As pessoas geralmente estão no centro do ataque. A conscientização sobre a segurança cibernética é, portanto, o princípio e o fim de tudo. A resiliência cibernética, ou seja, a resposta e a recuperação, é pelo menos igualmente importante. Hoje, é mais importante do que nunca manter a capacidade de agir mesmo no caso de um ataque, ou seja, reagir ativamente. No nível da diretoria ou da gerência, é necessário que haja uma percepção ainda maior de que a segurança cibernética não é apenas uma questão de custo, mas também serve ao valor da empresa. Isso requer uma compreensão, em nível de alta gerência, do que está em jogo, incluindo os riscos de responsabilidade (inclusive responsabilidade da diretoria) envolvidos e, em particular, quais opções de ação estão disponíveis dentro de 12 a 72 horas – a chamada “inteligência acionável”. 

Então, os gerentes devem ver a segurança cibernética como um fator positivo para o sucesso da empresa?

Exatamente. Entender cada investimento em segurança cibernética como um investimento na proteção de ativos intangíveis e não como um fator de custo é a questão central para mais segurança de TI. Precisamos de uma mudança cultural aqui. Um ataque de longo alcance ao sistema financeiro global, a uma usina nuclear ou à infraestrutura de energia é um cenário de terror, mas, infelizmente, não pode ser descartado. O risco cibernético em potencial muda constantemente e está se tornando cada vez mais sistêmico. A falta de patches, recursos sobrecarregados, software desatualizado e o ritmo acelerado da digitalização formam a base para isso. Além disso, há dependências físicas e digitais maciças, em rápido crescimento e, às vezes, muito complexas, e ameaças à cadeia de suprimentos de software. Esses desenvolvimentos representam desafios cada vez maiores para a comunidade de segurança de TI. É necessária uma atitude clara que defina a segurança de TI como uma contribuição positiva para o sucesso corporativo. 

Que obstáculos você vê quando se trata de implementar conceitos de segurança cibernética de forma sustentável?

Os criminosos precisam de cada vez menos habilidades e recursos financeiros. Eles também não precisam mais de uma organização extensa – o crime cibernético como serviço significa que muitos participantes estão agindo de forma independente. Ao mesmo tempo, o custo e a pressão organizacional e de trabalho sobre as equipes de segurança estão crescendo exponencialmente. Ainda estamos no início da era digital. O uso da IA também exacerbará ainda mais a situação das ameaças, e já temos recursos insuficientes e, muitas vezes, pouco financiamento. Na minha opinião, é hora de estabelecer a importância da segurança cibernética não apenas no nível gerencial, mas a segurança de TI também deve ser representada no nível pessoal! Infelizmente, em nossos mandatos globais, vejo com muita frequência que os danos materiais e as obrigações de responsabilidade têm que surgir primeiro, antes que os membros da diretoria percebam a enorme importância da segurança cibernética para os negócios do dia a dia.

Há muito entusiasmo em torno do tema da IA, e a discussão sobre oportunidades e riscos terá um papel importante na it-sa Expo&Congress. Como você avalia o potencial da IA para a segurança cibernética e a troca de golpes entre atacantes e defensores?

Gosto de analisar essa questão sob três perspectivas.

Graças à IA, podemos reconhecer padrões de ataque mais rapidamente e obter informações importantes sobre mutações de malware.As tecnologias de IA reduzem os tempos de resposta e aprimoram as estratégias de defesa por meio da avaliação em tempo real dos dados de ameaças. No futuro, grandes quantidades de informações e correlações poderão ser analisadas imediatamente e ainda melhor e verificadas quanto a padrões suspeitos.

A experiência mostra que a chamada Last Known Good Configuration Recovery Option geralmente não é suficiente no caso de um ataque de ransomware. Como resultado, novos ataques estão ocorrendo constantemente. Ainda hoje, o uso de tecnologias de IA em salas limpas de dados traz vantagens caras, mas enormes. Esses são ambientes seguros e protegidos nos quais os dados pessoais são limpos e processados usando tecnologias de IA. Isso permite que eles sejam usados para uma ampla gama de análises de dados.

Mas os invasores também se beneficiam. Uma abordagem direta, por exemplo, concentra-se na programação de malware e vetores de ataque em scanners de vírus baseados em IA. 

O objetivo do invasor é, na verdade, banal, mas altamente eficiente: identificar comportamentos e eventos específicos que o scanner examina deliberadamente. Essas atividades resultam em um perfil que pode ser usado para otimizar o modelo de IA adequadamente. Isso permite a criação de padrões em termos de tática, tecnologia e comportamento, possibilitando recriar modelos de IA existentes e enganá-los com dados falsificados.

Estamos pesquisando tecnologias de IA há algum tempo para dar suporte aos nossos clientes no cenário de riscos em constante mudança. Uma coisa é certa: mesmo com a IA, continuará a ser um jogo de gato e rato com os invasores. Portanto, é aconselhável que priorizemos as oportunidades oferecidas pelas tecnologias de IA tanto quanto os riscos.

Você lida intensamente com o seguro cibernético. Em sua opinião, qual é a importância desse elemento de seguro?

Trabalhamos com seguradoras e empresas na questão do seguro cibernético. Essa cobertura faz sentido se for adaptada ao perfil de risco e testada na realidade. No entanto, os danos causados por ataques à infraestrutura essencial ou a órgãos governamentais dificilmente podem ser segurados.

Em princípio, sou da opinião de que os ataques cibernéticos estatais de qualquer tipo têm um componente sistêmico. Consequentemente, eles não podem ser segurados apenas pelo setor privado. Porque se os ataques estatais têm um impacto sistêmico, o delta entre as perdas econômicas e a capacidade de seguro é intransponível. A única maneira que vejo de lidar com esses riscos cibernéticos é por meio de uma parceria entre o setor de seguros e o setor público. Já houve alguns esforços em Cingapura ou projetos atuais nos EUA e no Reino Unido.

Como o mercado de seguro cibernético está se desenvolvendo?

De uma perspectiva global, estamos falando de um volume de prêmios de pouco menos de US$ 16 bilhões este ano. Desse total, 85% estão concentrados na América do Norte e na Europa. Mais de dois terços desse valor podem ser atribuídos aos EUA e ao Canadá. Os terceiros mercados em crescimento são a América do Sul, a Ásia-Pacífico e o Oriente Médio, incluindo a Índia. Presumimos que o volume de prêmios dobrará até 2030 devido à digitalização. No Brasil, há um grande potencial de recuperação para as Grandes Empressas e PMEs, mas, ao mesmo tempo, é necessário um forte investimento na implementação de estratégias de segurança de TI e no gerenciamento de riscos. Poucas empresas brasileiras compram seguros cibernéticos e menos ainda com limites materiais. Muitas vezes é um problema de compreensão do produto, suas implicações e valor para a empresa. Hoje, menos de 3% das empresas na América Latina adquirem seguros cibernéticos. Embora no Brasil mais grandes empresas estejam comprando seguros cibernéticos, o setor de PMEs ainda é amplamente mal atendido ou rejeita a compra de tal cobertura de seguro.

Como palestrante especial na it-sa Expo&Congress, você subirá ao palco em Nuremberg no dia 24 de outubro. Você pergunta “Quo vadis cyber risks?” – o que os participantes da feira podem esperar?

É claro que darei uma olhada no status quo e entrarei em mais detalhes em minha análise dos pontos já mencionados aqui, como riscos cibernéticos, IA e geopolítica. Mas muito mais importante para mim é o desenvolvimento que já está no horizonte:

A digitalização e os riscos cibernéticos associados são irreversíveis. Nosso nível de interconexão nunca foi tão alto, as dependências de TI nunca foram tão desafiadoras e o potencial do nosso setor nunca foi tão grande. No futuro, as tecnologias, os códigos, os malwares e os vírus se transformarão em ativos estratégicos, econômicos e geopolíticos – mas também em desafios – em uma escala inimaginável. Portanto, a importância da segurança cibernética crescerá exponencialmente.

Nosso futuro está se tornando mais imprevisível e menos previsível. A questão é: aonde esses desenvolvimentos levarão e o que significam para os países, as empresas e a sociedade?

Speaker Reel

Peter Hacker is a passionate, internationally sought-after Swiss expert in his field who thinks outside the box. The speaker, entrepreneur and author research the topics of digital change, cyber crime and underwriting. He gives keynotes and lectures from Frankfurt to Sydney to New York, describing challenges, opportunities and solutions using real examples that drastically influence companies and politics.