Uma das maiores preocupações das empresas – públicas e estatais – diz respeito à segurança dos dados e o risco de ataques cibernéticos. Violações a informações sigilosas podem gerar milhões – e em alguns casos bilhões – de reais em prejuízos às empresas. Em entrevista a MONEY REPORT, Tzachi Alon, diretor da PwC Israel, especialista em segurança cibernética, avaliação de riscos e caça a ameaças, fala sobre a importância de tratar a segurança digital como prioridade dentro de uma companhia.
O mundo está cada vez mais caminhando para o universo digital. Os riscos aumentam junto com as novas tecnologias?
O mundo está se digitalizando, mas o ICS (Industrial Control System, sistema de controle de processos industrias) ainda não está adaptado às novas tecnologias. O sistema está ficando mais vulnerável à medida que o mundo fica mais digital, pois muita coisa mudou nos últimos dez anos. A maior questão não é a digitalização, mas manter a segurança da estrutura principal. Os países estão começando a entender que danos no controle de sistemas pode trazer proporções catastróficas. Um ataque crítico na infraestrutura é muito pior do que nas redes pessoais ou websites.
Investir em cibersegurança deve ser prioridade?
A preocupação com a cibersegurança é recente. Hoje, nós entendemos que a próxima guerra será em uma arena digital. Os ataques devem mirar alvos que afetam a segurança nacional. Imagine o impacto caso aeronaves, trens, bancos e infraestrutura de comunicação (torres, mídia e etc.) sejam atingidos. Para proteger-se destes ataques, é preciso setorizar os alvos, mapear os impactos e, então, protegê-los. Duas coisas podem ajudar esse processo: um guia de orientação regulatória, como manuais de ação e leis específicas; e tecnologias de sistemas de segurança. Alguns países estão entendendo isso e começaram a providenciar essas medidas, outros ainda estão esperando. Além disso, cada país precisa ter noção do setor que causará maior preocupação nacional.
Como você disse, alguns países já estão providenciando medidas de cibersegurança, e outros estão “esperando”. Segundo uma pesquisa da PwC, 44% de empresas em mais de 122 países ainda não tem um plano de segurança digital. Por quê?
Muitas empresas não possuem essa política porque ainda não existe uma regulação específica para isso. A legislação é um dos melhores caminhos para aumentar os investimentos na área. Se não há leis, não há incentivo e o CEO não vê o momento certo de criar estas estruturas. Há uma piada no exército que diz: “não há medalhas para os defensores”. Se você atacar algo e for bem-sucedido, vai ganhar uma medalha; mas, quando você está defendo, é apenas mais um dia em que nada acontece. Voltando para o nosso assunto, para solucionar este problema é preciso criar uma legislação específica, entender onde estão as informações cruciais e quais os meios de chegar a elas. Se a empresa não sabe quais os prováveis riscos, não vai conseguir lidar com ele. Não há como resolver todos os problemas de uma vez, é preciso ter um plano e segui-lo. Caso contrário, a empresa apenas poderá responder os ataques, e de forma muito pobre pois não tem ferramentas para enfrentar a situação de forma ideal.
Hoje, Israel é considerada um “Vale do Silício” em cibersegurança. Há alguma razão para isso?
Nós [israelenses] pensamos muito sobre isso. Primeiramente, vivemos em uma região difícil. A situação nos criou. Sofremos muitos ataques digitais, e utilizamos a tecnologia como uma ferramenta de defesa há mais tempo, 20 ou 30 anos. Temos que nos defender e estar preparados. A sensação de estarmos sempre sob ataques, faz com que tomemos uma atitude. Nessa situação tudo fica rápido, você faz muitas coisas simultaneamente. É bom, mas exaustivo. Há também um montante de unidades tecnológicas de diferentes agências de segurança. Israel é a principal fundadora das tecnologias de segurança em empresas, além de ter muitos especialistas na área.
O que o Brasil pode aprender com Israel dentro da cibersegurança, considerando que não há essa atmosfera de ataque constante?
A primeira coisa, que essa situação tensa não é uma bom, é a natureza de Israel. O Brasil tem um ambiente e características diferentes, mas pode aprender com a experiência de segurança e compartilhamento de informação dentro de organizações de mesmo setor. Prevenção é segurança, mas ela pode falhar. O atacante tem muitas vantagens: o elemento surpresa, geralmente conhece a organização muito bem antes do ataque, o que faz com que ele consiga invadir um sistema. Se ele não for conseguir, não irá tentar, é como os ataques funcionam. Para ter uma proteção efetiva e ação rápida é preciso ferramentas de visibilidade, ver o ataque rapidamente, e compartilhar a informação em uma plataforma específica por empresas de mesma atuação (energia, transportes, comunicação), seja dentro da mesma organização, país ou cidade. O setor hidrelétrico por exemplo, pode compartilhar informações entre empresas que atuam no mesmo rio, podendo acelerar as ações de segurança e evitar danos significativos.
Os hackers ou invasores têm algum perfil? Quais os principais alvos?
Empregados e internos são os mais propensos a atacar uma empresa. Eles são 80% dos responsáveis por ataques digitais, agindo diretamente ou ajudando alguém a entrar no sistema. Mas tudo irá depender do país e da organização. Além disso, há muitos atores e interesses e não há como fazer uma segurança para um tipo específico de invasor. É preciso estar preparado para qualquer coisa.
