Um conhecido programa de televisão traz a cada episódio a história por trás de acidentes aéreos. Pode parecer mórbido para alguns, mas é interessante o quanto se aprende sobre aviação em cada história relatada. E, mais importante, o quanto se aprende sobre a investigação que ocorre sempre que há um incidente aeronáutico. Digo incidente pois a investigação acontece mesmo quando não há o acidente (aliás, um dos melhores episódios trata justamente de casos em que a tragédia foi evitada devido à habilidade dos pilotos, evitando que incidentes se tornassem acidentes – mas foram igualmente investigados). O programa mostra como a indústria aeronáutica evolui com as lições aprendidas em cada investigação, feitas de forma metódica e consistente. E mostra, ainda, como todo o processo torna a aviação mais segura a cada dia.
Após mais de 20 anos trabalhando com cibersegurança e vendo erros e incidentes se repetirem sem que lições sejam aprendidas, assistir a esse programa faz pensar em porquê a cibersegurança é encarada de forma tão diferente da segurança aeronáutica. A diferença decorre das vidas humanas em jogo? Ou porque o transporte aéreo precisa ser confiável para manter-se como um negócio bilionário? Seriam as normas da indústria e suas duras penas para os culpados? Ou, quem sabe, a publicidade dada aos acidentes?
Por muito tempo a cibersegurança, de fato, não compartilhava desses aspectos com a segurança aeronáutica, e qualquer uma das questões acima poderia explicar a diferença de atitudes. Mas, a verdade é que uma análise rápida indicará que a cibersegurança caminha a passos largos para estar exposta aos mesmos desafios. Vejamos:
- Vidas em jogo: ano passado um ramsonware (WannaCry) atacou equipamentos médicos em diversos hospitais ao redor do mundo. Ciberataques a infraestruturas críticas de energia elétrica, óleo e gás, refinarias, plantas industriais, minas, entre outros, podem causar fatalidades de diversas formas como explosões, inundações, intoxicações e acidentes. IoT (Internet das Coisas), carros inteligentes, Smart Cities – o mundo conectado deixa nossas vidas cada vez mais expostas a ciberincidentes que antes afetavam “apenas” nossos dados.
- Confiança em Negócio bilionário: simples assim: a tecnologia permeia todos os negócios do mundo atual. A cibersegurança é fundamental para todos os negócios bilionários de hoje. Ponto. Mas se for necessário um pouco de digressão sobre o tema de confiança em um negócio bilionário, um exemplo perfeito é a indústria financeira. Ela sempre dependeu muito de confiança, e nunca dependeu tanto da cibersegurança. Ciberfraudes recentes no México (SPEI) e no Chile (SWIFT) causaram fraudes de mais de US$ 30 milhões. Os ataques impactaram a confiança dos clientes no sistema e ações concretas de prevenção de futuras fraudes são necessárias pelos bancos destes países.
- Normas e penalizações: normas e penalizações são aqui considerados em conjunto pois são dois temas relacionados: as penalizações geralmente vêm da regulamentação. Vide exemplos recentes como GDPR (a norma de proteção de dados da Europa) e a Lei Geral de Proteção de Dados (LGPD) brasileira. Há anos existe uma penalização de valor considerável na norte-americana SOX, a qual muitas grandes empresas latinoamericanas estão expostas.
- Publicidade dada aos eventos: combater o cibercrime – mas apenas aquele que não conseguir primeiro ocultar – tem sido, há anos, uma regra em muitas organizações. Enquanto a ocultação mantiver o negócio funcionando e a confiança dos clientes, para que investir em segurança? Felizmente para nós, clientes e cidadãos, cada vez mais é difícil ocultar os ataques (as redes sociais estão aí também para isso!) e as regulamentações cada vez mais exigem transparência sobre ciberincidentes, para assegurar que ações corretivas sejam tomadas. Esse é um passo fundamental do processo. Se a queda de um avião passasse desapercebida da imprensa e da opinião pública, será que estaríamos tão avançados na segurança aeronáutica?
Conforme observado, com a dependência crescente dos negócios para com a tecnologia, faz-se necessária uma mudança de postura com respeito à cibersegurança, pois cada vez mais ela se equipara à segurança aeronáutica nas dimensões analisadas cima.
E quais pontos esta última nos pode trazer para reflexão?
Seguramente, a cultura da segurança deve permear as ações em todos os níveis da organização e por todo o processo. Percebe-se claramente isso em qualquer viagem de avião, desde a primeira porta do aeroporto de origem até a saída do aeroporto de destino. Segundo, é assegurar que os processos de investigação e lições aprendidas sejam realizados de forma consistente e metódica, e que os resultados sejam, de fato, incorporados às operações para evitar recorrências. Terceiro, é importante monitorar a operação para assegurar que essa se comporte conforme esperado, que ameaças e riscos sejam prontamente identificados e que ações de resposta sejam rapidamente tomadas. Quarto, o tema de atenção a normas: algumas indústrias, como a financeira, já são maduras no quesito cumprimento a normas de cibersegurança, mas muitas outras terão que acelerar sua maturidade nos próximos meses, em especial por conta da LGPD.
E, por último, acho que vale refletir que a segurança não é uma barreira aos negócios – no caso da indústria aeronáutica claramente é um habilitador dos negócios: as pessoas viajam de avião e a indústria prospera porque há segurança, e a segurança traz confiança. Se ninguém viajaria em um avião sem confiança e sem segurança, porque deveriam confiar suas vidas e dados a um negócio inseguro? Se o negócio for inseguro, e parecer inseguro, vai “decolar”? Ou seria um desastre cibernético esperando acontecer?
* Leonardo Carissimi é diretor de Soluções de Segurança da Unisys na América Latina
Leia nesta edição:
CAPA | TECNOLOGIA
Centros de Dados privados ainda geram bons negócios
TENDÊNCIA
Processadores ganham centralidade com IA
TIC APLICADA
Digitalização do canteiro de obras
Esta você só vai ler na versão digital
TECNOLOGIA
A tecnologia RFID está madura, mas há espaço para crescimento
Baixe o nosso aplicativo