The Economist: Mundo vive hoje uma pandemia de ciberataques

Antes, operações criminosas nas redes não passavam de um roteiro de ficção mal escrito; agora, se tornaram rotina

PUBLICIDADE

Por The Economist
Atualização:

Há 20 anos, isso talvez parecesse o roteiro de um thriller de qualidade duvidosa. Atualmente, é rotina. Em 7 de maio, criminosos cibernéticos paralisaram durante cinco dias o abastecimento do oleoduto que fornecia quase metade do petróleo da Costa Leste dos Estados Unidos. Para que o funcionamento voltasse ao normal, eles exigiram um resgate de US$ 4,3 milhões da Colonial Pipeline, a empresa proprietária. Dias depois, a maioria dos hospitais da Irlanda foi vítima de um ataque semelhante por um ransomware (uma espécie de vírus que bloqueia o sistema operacional do computador de alguém e é usado por hackers para cobrar resgates, geralmente em criptomoedas).

Estação da Colonial Pipeline em Maryland; empresa sofreu ataque hacker e interrompeu operação que abastece Costa Leste dos EUA com quase metade do combustível utilizado na região. Foto: EFE/EPA/JIM LO SCALZO

PUBLICIDADE

Esses ataques são provas de uma época de intensificação da insegurança cibernética que impacta a todos, de empresas de tecnologia a escolas e exércitos. Uma ameaça pode ser catastrófica: imagine o sistema de controle de tráfego aéreo ou uma usina nuclear falhando. Mas outras são mais difíceis de detectar, já que os crimes cibernéticos impedem o uso de dados digitais de muitas indústrias, dificultando uma revolução que promete elevar os padrões de vida em todo o mundo.

A primeira tentativa de ataque por ransomware foi feita em 1989, com um vírus que se espalhou por meio de disquetes. Os crimes cibernéticos estão se agravando à medida que mais dispositivos são conectados às redes e a geopolítica torna-se menos estável. O Ocidente está em desacordo com a Rússia e a China e várias autocracias dão abrigo a criminosos cibernéticos.

Trilhões de dólares estão em jogo. A maioria das pessoas tem uma vaga lembrança de desastres evitados por pouco: desde o ataque à Sony Pictures que assolou Hollywood, em 2014, até o sofrido pela Equifax, em 2017, quando os dados de 147 milhões de pessoas foram roubados. Os grandes ataques cibernéticos são ao mesmo tempo familiares e lembranças nada nítidas: lembra do vírus SoBig, da invasão à SolarWinds ou do ransomware WannaCry?

Publicidade

Um estudo da London Business School, prestes a ser publicado, captura as tendências analisando as observações feitas para investidores por 12 mil empresas listadas em 85 países ao longo de duas décadas. O risco cibernético mais do que quadruplicou desde 2002 e triplicou desde 2013. O padrão de atividade tem se tornado mais global e afetado uma gama maior de setores. Aqueles que passaram a se conectar de casa para trabalhar durante a pandemia, provavelmente, fizeram com que os riscos aumentassem. E o número de empresas afetadas atingiu um recorde.

Diante desse quadro, é natural se preocupar mais com as assombrosas crises causadas por ataques cibernéticos. Todos os países têm nós físicos (pontos conectados) vulneráveis, como oleodutos, usinas de energia e portos, cuja falha pode paralisar grande parte da atividade econômica. O setor financeiro é um foco crescente de crimes cibernéticos: atualmente, os ladrões de banco preferem laptops a balaclavas. As autoridades reguladoras começaram a se preocupar com a possibilidade de um ataque causar o colapso de um banco.

Mas, ao mesmo tempo que o custo da ameaça às novas tecnologias aumenta, a confiança nelas diminui. Os computadores estão sendo interconectados a objetos do nosso dia a dia, como carros, casas e fábricas, criando uma “internet das coisas” industrial. As percepções colhidas em oceanos de dados prometem revolucionar a assistência médica. Em teoria, tudo isso aumentará a produtividade e salvará vidas nos próximos anos. Entretanto, quanto mais o mundo digital é atormentado pela insegurança, mais as pessoas se esquivam dele e mais conquistas potenciais serão perdidas. Imagine ficar sabendo de um ransomware que bloqueou o carro conectado de alguém e exibiu a mensagem: “Pague US$ 5 mil ou as portas ficarão trancadas”.

Em Tampa, Flórida, motorista enche o tanque e faz reservas Foto: Octavio Jones/Reuters

Lidar com a insegurança cibernética é difícil porque isso confunde as fronteiras entre o Estado e os atores privados e entre a geopolítica e o crime. As vítimas de ataques cibernéticos incluem empresas e órgãos públicos. Os perpetradores incluem Estados realizando espionagem e testando sua capacidade de infligir danos em uma guerra, mas também gangues criminosas na Rússia, no Irã e na China, cuja presença é tolerada porque elas causam problemas ao Ocidente.

Publicidade

Uma nuvem de sigilo e vergonha em torno dos ataques cibernéticos aumenta as dificuldades. As empresas não costumam divulgá-los. Os incentivos habituais para que elas e suas contrapartes mitiguem os riscos não funcionam bem. Muitas empresas negligenciam o básico, como a autenticação em dois fatores. A Colonial Pipeline não tinha tomado nem mesmo precauções simples. E a indústria da segurança cibernética tem muitas pessoas desonestas que enganam os clientes. Muito do que é vendido é pouco melhor do que “amuletos mágicos medievais”, nas palavras de uma autoridade de segurança cibernética.

Tudo isso significa que os mercados financeiros têm dificuldade em definir o preço do risco cibernético e a penalidade paga por empresas mal protegidas é muito pequena. O estudo da London Business School, por exemplo, conclui que o risco cibernético é contagioso e está começando a ser contabilizado nos preços das ações. Mas os dados são tão difíceis de entender que é improvável que o efeito reflita o risco real.

Ajustar os incentivos do setor privado é o primeiro passo. Autoridades nos EUA, no Reino Unido e na França querem proibir a cobertura de seguro para pagamentos de resgate, alegando que isso incentiva novos ataques. Melhor exigir que as empresas divulguem publicamente os ataques e os potenciais custos deles. Nos EUA, por exemplo, os requisitos são vagos e envolvem grandes intervalos de tempo.

Com uma divulgação dos ataques mais precisa e uniforme, os investidores, as seguradoras e os fornecedores poderiam identificar melhor as empresas que estão investindo de modo insuficiente em segurança. Diante dos prêmios de seguro mais altos, do preço das ações caindo e do risco de litígio, os gestores talvez se esforçassem mais. Os fabricantes teriam mais motivos para estabelecer e obedecer a padrões de produtos para engenhocas que ajudam a deter a onda de dispositivos interconectados digitalmente inseguros. Os governos devem policiar a fronteira entre o sistema financeiro convencional e o misterioso mundo das finanças digitais. Os resgates costumam ser pagos em criptomoedas. Deveria ser mais difícil transferir esse tipo de dinheiro para contas bancárias comuns sem a comprovação de que ele é de uma fonte legal. Assim como negociar criptomoedas por outros ativos deveria enfrentar as mesmas obrigações das instituições financeiras respeitadas.

Publicidade

Posto de gasolina afetado pelo desabastecimento na capital americana, Washington; normalização levará dias Foto: Will Oliver/EFE

PUBLICIDADE

A insegurança cibernética também é uma questão de geopolítica. Na guerra convencional e nos crimes transnacionais, existem normas de comportamento que ajudam a controlar os riscos. No domínio cibernético, reinam a novidade e a confusão. Um ataque cibernético de criminosos tolerado por um adversário estrangeiro justifica uma retaliação? Quando uma invasão virtual requer uma resposta do mundo real?

Um ponto de partida é as sociedades liberais trabalharem juntas para deter os ataques. Nas recentes cúpulas do G-7 e da Organização do Tratado do Atlântico Norte (Otan), os países ocidentais prometeram fazer isso. Mas confrontar Estados como China e Rússia também é crucial. Obviamente, eles não vão parar de espionar os países do Ocidente, que também fazem a própria espionagem. Mas uma terceira reunião, entre os presidentes Joe Biden e Vladimir Putin, deu início a um difícil diálogo sobre o crime cibernético. O ideal seria que o mundo trabalhasse em um acordo que tornasse mais difícil para os criminosos da internet ameaçarem a saúde de uma economia global cada vez mais digital. / TRADUÇÃO DE ROMINA CÁCIA  © 2021 THE ECONOMIST NEWSPAPER LIMITED. DIREITOS RESERVADOS. PUBLICADO SOB LICENÇA. O TEXTO ORIGINAL EM INGLÊS ESTÁ EM WWW.ECONOMIST.COM