Ao longo de 2021, organizações públicas e privadas continuaram a sentir os impactos significativos do cenário de ameaças cibernéticas em constante mudança, o tempo todo sob a imensa pressão de uma pandemia contínua.
Com o início de 2022, alguns dos mesmos temas que reinaram supremos em 2021 continuarão, mas novos e emergentes riscos cibernéticos e desafios de segurança parecem se materializar. Aqui estão algumas das principais tendências que assistiremos no decorrer do ano.
Aqui estão algumas das principais tendências que assistiremos no decorrer do ano.
1) ATAQUES DE RANSOMWARE QUE NÃO PARAM
O ransomware dominou o cenário de ameaças em 2021. A natureza direcionada dos ataques, juntamente com a crescente sofisticação dos agentes de ameaças, resultou em grandes perdas para seguradoras e organizações em todo o mundo.
Os números contam uma história convincente. Nos primeiros seis meses de 2021, a Rede de Repressão a Crimes Financeiros do Departamento do Tesouro dos EUA informou US$ 590 milhões em atividades suspeitas relacionadas a ransomware (opens a new window). Enquanto isso, o Centro Nacional de Segurança Cibernética (NCSC) do Reino Unido informou que, apenas nos primeiros quatro meses de 2021, lidou com o mesmo número de incidentes de ransomware que em todo o ano de 2020 (opens a new window) - o que foi o triplo do número que o NCSC enfrentou em 2019.
Os agentes de ameaças mostraram que estão constantemente aprimorando suas habilidades, sem indicação de que isso diminuirá em 2022. Mas com o aumento da sofisticação, os agentes de ameaças podem infligir tantos danos que o potencial de ganhar dinheiro diminui. Portanto, os agentes de ameaças geralmente equilibram infligir sofrimento com a garantia de grandes pagamentos.
O pool de agentes de ameaças também aumentará com o ransomware como serviço expandindo seu escopo e alcance. Inicialmente, os agentes de ameaças menores podem começar pequenos, mas refinarão suas habilidades de extorsão e aumentarão seus empreendimentos criminosos ao longo do tempo.
A criptografia e a exfiltração de dados provaram ser lucrativas há alguns anos. Mas alguns agentes de ameaças estão procurando aumentar as apostas - organizações que de outra forma seriam capazes de restaurar a partir de backup e indiferentes à liberação de dados exfiltrados agora devem considerar como responder quando os agentes de ameaças procuram extorquir seus clientes, fornecedores e parceiros de negócios e /ou lançar ataques distribuídos de negação de serviço (DDoS) que interrompem as redes, inundando as com tráfego da Internet.
O ransomware direcionado ao setor de saúde não é novidade e sua capacidade de impactar o atendimento ao paciente é inegável. No entanto, no outono de 2021, foi relatado que um processo foi aberto alegando que a perda da vida de um bebê foi causada por um ataque de ransomware (opens a new window). Ataques contínuos de ransomware no setor de saúde podem resultar em um aumento nas reivindicações de responsabilidade alegando cuidados inadequados e insuficientes devido a incidentes de segurança cibernética.
O risco e a exposição de ataques de ransomware continuarão a evoluir, tornar-se mais sofisticados e causar danos substanciais aos setores público e privado. As organizações precisarão permanecer vigilantes em 2022 e além.
2) ACELERAÇÃO DA ATIVIDADE REGULATÓRIA
Quando a União Europeia adotou o Regulamento Geral de Proteção de Dados em 2016, foi revolucionário – uma lei de proteção de privacidade inédita. Os Estados Unidos ainda não têm uma lei nacional de proteção à privacidade, mas alguns estados – incluindo Califórnia, Colorado e Virgínia – promulgaram leis abrangentes de proteção à privacidade. A pressão do público, da comunidade empresarial e das agências governamentais para que a legislação aborde os riscos de segurança cibernética manterá os reguladores ocupados em 2022.
No nível federal, a Lei de Relatórios de Incidentes Cibernéticos – introduzida em 2021 – propôs a criação do Escritório de Revisão de Incidentes Cibernéticos na Agência de Segurança Cibernética e Infraestrutura (CISA) para receber, agregar e analisar relatórios de incidentes cobertos. Os incidentes cobertos devem ser relatados dentro de 72 horas após uma entidade coberta acreditar razoavelmente que ocorreu um incidente coberto. O projeto de lei também imporia outros requisitos de relatórios imediatos.
Já em 2022, vários estados – incluindo Kentucky, Oklahoma, Vermont e Flórida introduziram leis de proteção à privacidade. E em uma carta de janeiro aos membros do Congresso, a Câmara de Comércio dos EUA pediu a aprovação da legislação nacional de proteção de dados (opens a new window) para “promover o ecossistema digital necessário para a América competir”.
Internacionalmente, 2021 viu a Lei de Proteção de Informações Pessoais da China entrar em vigor, as penalidades na Lei Geral de Proteção de Dados Pessoais do Brasil se tornaram aplicáveis e a decisão final de implementação da UE sobre cláusulas contratuais padrão. No final de 2021, o Parlamento Europeu e o Conselho chegaram a acordo sobre O projeto de Lei de Governança de Dados (DGA) (opens a new window), que “visa aumentar a confiança no compartilhamento de dados, cria novas regras da UE sobre a neutralidade dos mercados de dados e facilita a reutilização de determinados dados mantidos pelo setor público”. Adoção da DGA aparece provavelmente em 2022.
O tamanho e o escopo da atividade regulatória provavelmente continuarão a aumentar. Em 2022, provavelmente veremos a introdução de novos regulamentos, bem como alterações, regulamentos de apoio, ajustes e avisos relacionados a muitas dessas leis recentemente promulgadas. À medida que essas novas leis e iniciativas se tornarem efetivas, as atividades de fiscalização aumentarão – assim como os litígios relacionados às leis de proteção à privacidade e pedindo aos tribunais que interpretem o significado e a maneira pela qual essas leis estão sendo aplicadas.
OUTRAS INICIATIVAS FEDERAIS EM 2021 INCLUÍRAM:
Ordem Executiva 14028, melhorando a Cibersegurança da Nação (opens a new window), que exige, entre outras coisas, que os provedores de serviços compartilhem informações sobre ameaças cibernéticas que possam afetar as redes governamentais.
Um aviso atualizado do Escritório de Controle de Ativos Estrangeiros do Departamento do Tesouro sobre possíveis sanções que podem ser impostas para facilitar pagamentos de ransomware.
Introduzidos novos manuais de resposta a incidentes e vulnerabilidades (opens a new window) pelo CISA.
A Iniciativa de Fraude Cibernética Civil do Departamento de Justiça (opens a new window), que se concentrará em fraudes relacionadas à segurança cibernética por contratados do governo e beneficiários da subvenção.
3) DESAFIOS PERSISTENTES DO SERVIÇO DE NUVEM
À medida que mais organizações migram para soluções baseadas em nuvem para dar suporte a suas operações e infraestrutura de rede, os agentes de ameaças procurarão maneiras de explorar e se infiltrar nessas soluções. E 2022 não terá escassez de desafios de segurança cibernética associados à nuvem.
Simples configurações incorretas e permissões impróprias deixam os sistemas baseados em nuvem vulneráveis a ataques de agentes de ameaças. Deixar as portas abertas ou armazenar credenciais de administrador e chaves de criptografia em um ambiente de nuvem não seguro é a oportunidade perfeita para os agentes de ameaças obterem acesso aos dados e ativos críticos de uma organização.
O uso de ambientes multinuvem também pode criar oportunidades para explorar dados e informações.
Ambientes multinuvem exigem que os responsáveis pela tecnologia da informação e funções de segurança entendam as complexidades de mais de um ambiente de nuvem e garantam que haja um programa de segurança implementado para os vários ambientes.
Algumas organizações verão a mudança para uma solução baseada em nuvem como uma forma de absolvê-las de ter que lidar com segurança – o provedor de nuvem fará isso, certo? Isso é um pensamento impróprio: embora um provedor de nuvem ofereça alguma segurança, ainda cabe à organização que usa a solução em nuvem garantir que medidas de segurança adicionais sejam implementadas para proteger seus ativos.
4) AMEAÇAS CRESCENTES DE TECNOLOGIA OPERACIONAL
Com a transformação digital, veio a convergência da tecnologia operacional (TO) e da tecnologia da informação (TI). Antes da era digital, as pessoas monitoravam as máquinas e sistemas, mas agora sensores e dispositivos monitoram, rastreiam e automatizam – hardware e software de computador são usados para gerenciar equipamentos e sistemas operacionais.
Setores de infraestrutura crítica, como energia, indústria, manufatura, logística, petróleo e gás, telecomunicações e gerenciamento de serviços públicos dependem fortemente da TO.
Os cibercriminosos procurarão armar ambientes de TO, como o tentado em uma estação de tratamento de água em Oldsmar, Flórida, no início de 2021. Nesse incidente, um agente de ameaças obteve acesso à tecnologia de operações na planta e tentou envenenar a água usada por milhares de moradores da cidade. Felizmente, esse ataque foi interrompido antes que a água se tornasse tóxica.
As vulnerabilidades em ambientes de TO podem ser negligenciadas, pois muitas organizações estão atualmente focadas em melhorar os ambientes tradicionais de TI e fortalecer essas defesas. Em 2022, os ambientes TO não podem ser ignorados.
5) CADEIA DE FORNECIMENTO EM RISCO
Ataques direcionados contra várias cadeias de suprimentos criaram grandes turbulências para o setor privado e público. Esses ataques destacam uma organização, mas resultam em destruição substancial porque muitas outras dependem da organização-alvo.
Várias interrupções notáveis na cadeia de suprimentos em 2021 foram atribuídas a comprometimentos de segurança cibernética, incluindo aqueles envolvendo a Kaseya, fornecedora de soluções de gerenciamento de segurança e TI; Colonial Pipeline, operadora de oleodutos e gasodutos; e JBS Foods, fornecedora de alimentos.
Os atores de ameaças continuarão implantando essa estratégia, que já provou ser muito lucrativa — as interrupções na cadeia de suprimentos continuarão ao longo de 2022.
6) TALENTOS EM SEGURANÇA CIBERNÉTICA
Recrutar e reter os melhores profissionais de segurança cibernética para enfrentar os desafios apresentados pelo atual cenário de ameaças cibernéticas será um desafio empresarial significativo em 2022.
Em 2021, havia cerca de 4,19 milhões de profissionais de segurança cibernética em todo o mundo (opens a new window), um aumento de mais de 700.000 em relação a 2020, de acordo com o 2021 Cybersecurity Workforce Study do International Information System Security Certification Consortium. Apesar desse rápido crescimento na força de trabalho de segurança cibernética, o estudo também observa que “a demanda global por profissionais de segurança cibernética continua superando a oferta”. Isso resultou em uma lacuna na força de trabalho de segurança cibernética.
Além disso, a segurança cibernética não é mais um risco de tecnologia da informação ou segurança da informação – é um risco de governança corporativa. As organizações não apenas precisarão fazer investimentos significativos para contratar, treinar e reter forças de trabalho com conhecimento e experiência em tecnologia da informação e segurança da informação, mas também atrair e reter talentos com a capacidade de apoiar as metas e objetivos de segurança cibernética da organização.
7) CONFIANÇA NO APRENDIZADO DE MÁQUINA E INTELIGÊNCIA ARTIFICIAL
Muitas organizações começaram a adotar ou estão considerando o uso de soluções automatizadas, inteligência artificial e aprendizado de máquina para dar suporte às funções operacionais e de negócios. Parte disso parece ser impulsionada pela pandemia do COVID-19 (opens a new window).
Embora a automação e o aprendizado de máquina existam há algum tempo, são tecnologias relativamente novas para os usos sofisticados para os quais estão sendo empregadas. Com qualquer tecnologia moderna, podem surgir problemas com codificação, configuração incorreta, testes insuficientes e conflitos com outros sistemas e plataformas.
À medida que mais organizações avançam em direção a soluções automatizadas, ou consideram fazê-lo, os riscos de segurança cibernética associados a essas tecnologias devem ser gerenciados de forma adequada e eficaz. As organizações também devem entender que a eficiência e a economia de custos que tornam o aprendizado de máquina e a inteligência artificial atraentes também levarão os agentes de ameaças a usar essas mesmas tecnologias.
8) CIBERSEGURANÇA MELHORADA CONSCIÊNCIA E CULTURA
É difícil quantificar em números financeiros os danos causados por agentes de ameaças nos últimos anos. Mas o impacto negativo que esses ataques tiveram sobre indivíduos, empresas privadas e entidades públicas é imenso.
Um impacto positivo do atual ambiente de risco cibernético é uma maior conscientização sobre a necessidade de diligência, estratégias de gerenciamento de risco e resiliência empresarial. Em uma pesquisa de 2021, o Gartner descobriu que 88% dos conselhos corporativos agora veem a segurança cibernética como um risco comercial (opens a new window), acima dos 58% em 2016.
Com maiores obrigações de conformidade e atenção significativa da mídia em torno da segurança cibernética, indivíduos, organizações privadas e órgãos governamentais continuarão a tomar medidas adicionais e significativas para melhorar sua conscientização sobre o cenário de ameaças cibernéticas e criar resiliência – eles não podem deixar de fazê-lo.
9) MAIS COLABORAÇÃO ENTRE O PÚBLICO E SETORES PRIVADOS
O cyber tem sido historicamente considerado um problema de TI. Mas um relatório recente publicado pelo J.P. Morgan International Council observou que “o cibernético é a arma mais perigosa do mundo – política, econômica e militarmente”. O combate e a mitigação desse risco só podem ser realizados com responsabilidade compartilhada.
Embora o incentivo do governo federal para colaborar e compartilhar informações tenha existido de algumas formas nos últimos anos, incluindo a Lei de Compartilhamento de Informações de Segurança Cibernética de 2015, houve desenvolvimentos significativos em 2021, levando essa chamada a novos patamares.
Em maio, o presidente Biden emitiu uma ordem executiva deixando clara a necessidade de colaboração e compartilhamento de informações quando se trata de inteligência de ameaças. O presidente Biden se reuniu posteriormente em agosto com líderes do setor privado – incluindo os setores de tecnologia, serviços financeiros, energia e água, educação e seguros – para discutir a necessidade de abordar as ameaças à segurança cibernética.
Maiores pedidos de colaboração entre o setor privado e público, bem como dentro de indústrias e classes de negócios provavelmente serão vistos em 2022. Uma única organização ou indústria não pode combater os riscos cibernéticos sozinha – será necessário haver parcerias entre setores, entre público e privado empresas e além fronteiras.
“A cibernética é a arma mais perigosa do mundo – política,
econômica e militarmente.”
— J.P. Morgan International Council
10) CONDIÇÕES DO MERCADO SEGURO ESTRESSADAS
Os segurados e potenciais compradores de seguros podem esperar que o mercado de seguros cibernéticos permaneça tenso em 2022.
Uma alta frequência e severidade substancial nos sinistros, juntamente com uma maior atividade de fiscalização legislativa e regulatória, fizeram com que os mercados de seguros cibernéticos exigissem certos controles mínimos para qualificação de seguro, limite de cobertura e redução de capacidade e limites. As seguradoras não mostraram nenhuma indicação de que os prêmios e o escrutínio de subscrição serão moderados em 2022.
No entanto, novos participantes no mercado de seguros estão surgindo e fornecendo algum vislumbre de capacidade adicional de mercado. Cada seguradora tem sua própria proposta de valor e está tentando se destacar no mercado de seguros cibernéticos, com algumas estratégias, incluindo:
Análise aprimorada para subscrição;
Automatização de determinados processos de subscrição e sinistros; e
Construindo resiliência cibernética para seus segurados desde o início da relação de seguro.
A ascensão dos novos entrantes deve ser uma notícia bem-vinda no mercado de seguros cibernéticos.
À medida que a compreensão das causas das perdas pelas seguradoras se aprofunda, os requisitos de subscrição evoluirão. No entanto, a exigência de controles fortes não mudará, mesmo que possamos ver os preços começarem a diminuir no final de 2022 ou em algum momento de 2023.
Para mais informações, contate mauricio.bandeira@lockton.com (opens a new window)