II OAB Digital Summit: Entenda como ataques cibernéticos ameaçam a segurança dos dados de usuários e corporações
03/11/2020 16:03
“O grande ponto de discussão, atualmente, está em o quão preparadas as organizações estão para responder a incidentes cibernéticos, sabendo que inevitavelmente serão comprometidas”, Fernando Carbone, palestrante do II OAB Digital Summit, que acontecerá nesta quinta (05) e sexta-feira (06).
Inscreva-se no II OAB Digital Summit: evento reúne debates sobre inovação, tecnologia e advocacia.
No mundo hiperconectado, a transformação digital atinge todas as áreas e todos os negócios. Corporações utilizam a tecnologia para se tornarem mais competitivas e eficientes e, à medida que os avanços surgem, os riscos crescem. No mundo virtual, ninguém está 100% seguro. Criminosos vasculham as vulnerabilidades dos sistemas, esperando para realizar um ataque. Os riscos são cada vez mais reais e ameaçam a segurança de dados das empresas e, por consequência, dos usuários.
Os ataques cibernéticos estão entre as maiores preocupações de empresários e lideranças mundiais. Segundo o Relatório Global de Riscos 2020, divulgado na edição de janeiro do Fórum Econômico Mundial, os ataques cibernéticos e a fraude ou roubo de dados estão entre os 10 principais riscos globais, com os ciberataques na quinta posição. O impacto negativo de um ciberataque pode trazer prejuízos milionários a organizações, à economia global, além de instabilidade para os governos.
A pandemia do Coronavírus intensificou ainda mais esse cenário de riscos. A lista de golpes é extensa e atinge, tanto usuários, quanto instituições financeiras e grandes corporações. Com essa ascensão do crime virtual, a importância da segurança de dados e de um plano de resposta a incidentes se mostra cada vez maior. Essa é mais uma área do Direito Digital, que traz grandes oportunidades para advogados e advogadas atuarem. De olho nesse cenário, o II OAB Digital Summit vai trazer especialistas para compartilharem conhecimento com o público.
Na sexta-feira (06) pela manhã, o Associate Partner do X-Force IRIS Practice na IBM, Fernando Carbone, será um dos palestrantes sobre o tema. O profissional já atuou junto a empresas líderes no segmento de cibersegurança, como Cipher, PwC e Kroll. É professor de Computação Forense da Universidade Mackenzie, do Instituto Impacta de Tecnologia e do Instituto Bussiness Group. Carbone possui 20 anos de experiência prática com segurança da informação, computação forense e investigações de crimes digitais.
Para o especialista, o aumento das discussões sobre o tema muito se deve à legislação que recentemente entrou em vigor no Brasil: “O fortalecimento das discussões em torno de regulamentações, tais como GDPR (lei europeia) e LGPD (legislação brasileira), certamente refletem nos próprios indivíduos e nas organizações que se preocupam com seus dados pessoais e com os impactos que podem surgir ao verem seus dados vazados e utilizados em potenciais fraudes na internet. O tema Cyber Security e Resposta a Incidentes começa a entrar nas pautas das discussões, não somente técnicas, mas também executivas”, acrescentou.
Conforme Carbone relata, uma grande vulnerabilidade identificada pelos criminosos para atacar as empresas nesse período de pandemia foi o home office. “A movimentação dos colaboradores para o home office e as rápidas ações das áreas de tecnologia, para disponibilizar seus sistemas para acessos remotos, proporcionou um cenário favorável para a exploração de falhas e vulnerabilidades. Algumas pesquisas da IBM apontam, por exemplo, que os ataques do tipo Phishing cresceram 14.000% somente devido à pandemia, e, adicionalmente, notamos uma grande onda de ataques sofisticados que impactaram completamente as operações de grandes empresas no Brasil”, afirmou.
O palestrante do II OAB Digital Summit reforça, ainda, que falta maturidade para as empresas no Brasil quando o assunto é identificação e respostas aos ataques: “É comum, ainda, notarmos um baixo nível de maturidade de resposta a incidentes, ou seja, o foco ainda é muito voltado para a proteção. Obviamente a ideia não seria alterar essa postura de proteção, mas adicionalmente fortalecer aquelas de resposta, com abordagens proativas. O desafio está em obter o comprometimento da alta direção para direcionar esforços e investimentos em programas reativos”, avalia.
Investir em tecnologia capaz de identificar, o quanto antes, uma invasão pode ser decisivo para o valor dos prejuízos: “Pesquisas apontam que o comprometimento ocorre em questões de minutos, ou seja, um atacante consegue acesso ao ambiente corporativo de forma muito rápida, mas a detecção e resposta ocorre em um período de quase um ano. Essa "janela" de exposição permite aos atacantes navegar tranquilamente nos ambientes corporativos, vazando grandes volumes de dados. Dessa forma, as ações estão bastante voltadas a identificar rapidamente quaisquer indícios de comprometimento, reduzindo drasticamente essa "janela" que beneficia os atacantes”, explica Carbone.
Atuação da advocacia nos ataques cibernéticos
O advogado e a advogada que busca atuar no Direito Digital pode se especializar em ações de invasões cibernéticas e sequestros de dados: “É nítida a importância da área jurídica dentro do ecossistema de Cyber Security. Dentro de um panorama de riscos, os impactos regulatórios têm tomado proporções significativas no negócio. O suporte jurídico é imprescindível para garantir o cumprimento dessas leis e normas. Para o cenário de Resposta a Incidentes, a situação não é diferente. A necessidade de estabelecer uma melhor comunicação com o órgão regulador e também com os clientes da companhia é o segredo de uma boa gestão de crise, e isso, sem dúvidas, requer a atuação dos departamentos jurídicos”, salienta Carbone.
Termos
Espionagem industrial: Segundo Carbone, os ataques que atingem as organizações possuem, principalmente, motivadores financeiros, inerentes a atividades de espionagem industrial. O grande objetivo dessas ações maliciosas é o da obtenção de vantagens competitivas, que movimentam grandes volumes financeiros no mercado, através da obtenção indevida de segredos de negócios, projetos, estratégias executivas, etc. Normalmente são ataques sofisticados e de alta complexidade, com o financiamento de grandes empresas ou até mesmo de agências governamentais.
Phishing: O Phishing é uma forma de roubar dados pessoais geralmente utilizando arquivos infectados ou e-mails com links maliciosos, além de páginas falsas. Dessa forma, o usuário é enganado e fornece voluntariamente seus dados.
Ransomware: Carbone reforça que o grande vilão ainda continua sendo os ataques de Ransomware, mas hoje com uma variante importante chamada de Ransomware Double Extortion. “A grande evolução está no fato de, além das ações de criptografia dos equipamentos das organizações e dos pedidos de resgate para a liberação, os atacantes praticam a extorsão para que dados corporativos não sejam divulgados na internet. Certamente essa é uma grande preocupação das grandes organizações, uma vez que isso implica em impactos regulatórios, principalmente com questões relacionadas a LGPD”, alerta.
Jornada de Cloud/Computação em nuvem: Para Carbone, a transformação digital é o tema do momento. As empresas que não acompanharem essas mudanças, como a jornada de Cloud, estarão muito menos competitivas em breve. Lembrar do componente de segurança, nessa jornada de transformação, é essencial para o sucesso do programa. A computação em nuvem é o fornecimento de serviços de computação, incluindo servidores, armazenamento, bancos de dados, rede, software, análise e inteligência, pela Internet “nuvem”.
03/11/2020 16:03