O que fobia de cobras e cibersegurança têm em comum? Foi com essa indagação curiosa — porém extremamente interessante — que Steve Grobman, vice-presidente da McAfee, iniciou o segundo dia da RSA Conference 2021 (RSAC21). Grobman demonstrou que, embora muitas pessoas sofram de ofidiofobia, os dados científicos mostram que tal temor é irracional, visto que pouquíssimas pessoas morrem anualmente decorrentes de uma picada de serpentes, temos mais medo dos ofídios do que, por exemplo, dirigir um veículo a 120 km/h em uma estrada, que estatisticamente é algo muito mais perigoso.
- RSAC21 | O que nós vimos de legal hoje (17)
- Fornecedores de TI do governo dos EUA podem ser obrigados a divulgar vazamentos de dados
- Não somos polícia para investigar vazamentos, diz diretor presidente da ANPD
O que o especialista quer dizer é que, no fim das contas, “muitas das nossas percepções sobre cibersegurança também estão equivocadas”, e precisamos confiar mais nos dados do que no que vemos na mídia. Em outra analogia, o executivo ressaltou que os furacões recebem uma grande cobertura midiática nos Estados Unidos todo ano, embora eles façam poucas vítimas fatais e matam menos do que — acredite ou não — cair de uma escada em sua própria casa. A campanha da botnet TrickBot, por exemplo, oferece bem mais riscos e não é tão comentada quanto um incidente de grande porte como o da SolarWinds.
“Precisamos minimizar os riscos passivos, podemos olhar frequências em diferentes cenários para preparar nossas defesas. Ataques que afetam uma única empresa recebem muita atenção da mídia. Devem? Sim e não. Precisamos garantir que esses casos não virem um ‘playbook’ universal”, explica.
Confiança é essencial
Logo em seguida, Vasu Jakkal, vice-presidente de segurança, compliance identidade da Microsoft, falou sobre como a segurança está cada vez mais se tornando um diferencial competitivo dentro das empresas. Os consumidores estão cada vez mais conscientes a respeito de sua privacidade online e questionam, sem pestanejar, se determinado serviço ou produto possui os requisitos necessários para proteger seus dados de maneira assertiva.
“Criar confiança é essencial; é a moeda mais crucial que trocamos entre nós”, afirma Jakkal. Segundo ela, a arquitetura zero trust é a maior arma que temos para garantir essa relação de confiança com os usuários. "Fica claro que a adoção do zero trust vai reduzir as barreiras de inovação ao incorporar privacidade na construção de novos serviços”, explica. A especialista também ressalta a importância da segurança aberta (open security), que se baseia na colaboração entre a comunidade para resolução de desafios em vez da dependência de um único fornecedor ou mesmo de seu time interno.
Biden de olho em cibersegurança
Ao longo dos últimos anos, vislumbramos como a segurança da informação pode causar danos a uma nação e afetar a soberania de um país, causando interrupções em infraestruturas críticas ou até mesmo roubando informações de cunho altamente sigiloso. No palco virtual da RSAC21, Anne Neuberger, assessora de segurança nacional adjunta para tecnologias cibernéticas e emergentes na administração Biden, garantiu que o novo presidente dos EUA “está engajada” em enxergar cibersegurança como um imperativo nacional — especialmente após casos como o da SolarWinds.
Como bem pontuado por Anne, cibersegurança não é só uma questão política, mas também econômica, visto que incidentes, ataques e vazamentos custam milhões de dólares por ano. Para a especialista, é necessário mudar nosso mindset para antecipar detecções de riscos e focar na prevenção. Isso inclui tanto colaborações internacionais quanto com empresas para desenvolver, promover e garantir o pleno funcionamento de processos de proteção contra ameaças emergentes, como os ransomwares. “O governo precisa do setor privado e o setor privado precisa do governo”, afirma.
Além de modernizar suas próprias defesas cibernéticas (como a adoção de autenticação de múltiplos fatores), Anne comentou que a administração Biden está preocupada com o fato de que muitos fornecedores do governo estadunidense entregam softwares com brechas que, para eles, não são merecedoras de patches imediatos. Considerando isso “inaceitável”, a assessora garantiu que os fornecedores de soluções cibernéticas terão que desenvolver seus códigos em um ambiente seguro, com autenticação forte, uso de criptografia e ferramentas de ponta para detectar vulnerabilidades prematuramente.
Uma LGPD para os EUA
A palestra de Anne serviu como uma excelente introdução para um interessante painel no qual se reuniram Adam Hickey (da Divisão de Segurança Nacional do Departamento de Justiça dos EUA), Tonya Ugoretz (diretora assistente do FBI), Aruna Viswanatha (repórter de Justiça do The Wall Street Journal) e Luke Dembosky (membro da Debevoise & Plimpton). O tema? A futura criação de uma legislação federal nos Estados Unidos sobre notificações de incidentes cibernéticos.
Atualmente, no país, apenas quatro estados possuem leis próprias sobre proteção de dados — algo que invariavelmente acaba tornando bastante difícil para as empresas saberem quais são suas obrigações (afinal, é desafiador para um e-commerce filtrar seus consumidores pelo local onde eles moram e responder especificamente às normas daquela região). Por conta disso, a criação de uma lei federal — baseada na europeia General Data Protection Regulation (GDPR), mas simplificada — facilitaria bastante esse processo.
O caso SolarWinds foi novamente citado, desta vez como um bom exemplo de colaboração entre o setor público e o privado. “Eles fizeram a coisa certa pela perspectiva do governo. Foi extraordinário. É o caso em que a vítima em si é uma empresa de cibersegurança que consegue identificar algo que terá um grande impacto”, explica Tonya. “Mas não podemos esperar que isso ocorra sempre, o que ressalta a importância de uma lei federal”, conclui. A ideia é que a nova lei não obrigue, mas sim incentive notificações voluntárias como essa.
Os painelistas citaram diversas ideias que estão sendo rascunhadas para uma lei de notificação de incidentes cibernéticos no país, mas ainda estamos longe de ter algo concreto — tudo o que sabemos é que o foco está na padronização e no objetivo de dar às empresas a maior facilidade possível de reportar problemas. Como pontuado por Tonya, cada incidente seria como um assassinato de um assassino em série — seja lá quem estiver por trás do episódio, certamente fará de novo. Cada notificação alimenta as autoridades com mais pistas para descobrir a verdade.
Um ano difícil, mas com oportunidades
Após uma didática palestra sobre ferramentas anti-reconhecimento facial conduzida por Mike Kiser, CTO da SailPoint (com direito a demonstrações de aplicações como Fawkes, LoeKey e Spartacus), o segundo dia da RSAC 2021 encerrou-se com a participação de diversos CISOs de grandes corporações globais que compartilharam brevemente suas experiências e insights durante o enfrentamento da pandemia do novo coronavírus.
Florence Mottay, do conglomerado varejista belga Ahold Delhaize, comemorou a performance da companhia em 2020 — mesmo com a crise, 45 mil novos colaboradores foram contratados, Para o especialista, profissionais de segurança estão naturalmente acostumados a lidar com crises, o que facilitou a passagem por tal período conturbado.
Marene Allison, da Johnson & Johnson, relembra que os criminosos tentaram “monetizar” a crise de todas as formas possíveis, e, como uma empresa de saúde, a J&J naturalmente se tornou um alvo. “Eu fiz uma pausa e pensei na magnitude do que estava na nossa frente, na frente da empresa, na frente do time de segurança. Juntei todo o meu conhecimento das empresas que trabalhei”, afirmou. Ataques cibernéticos nesse segmento aumentaram, durante tal período, em 30%.
“Se formos falar de pessoas, resiliência é operar com empatia e com as distrações de trabalhar de casa, transformando isso em parte do DNA com o qual operamos”, defende Lakshmi Hanspal, do serviço de armazenamento Box. Para ela, a crise é uma oportunidade para trabalharmos juntos na segurança de dados. “Outra parte da resiliência são as empresas em si, que mudam do modo crise para o modo estratégico, quebrando barreiras e encontrando formas seguras de agir digitalmente”, conclui.
Participou do debate também a Dra. Reem Al-Shammari, que ocupava o cargo de CISO na Kuwait Oil Company antes da pandemia; porém, foi promovida a líder de transformação digital e soluções corporativas. Para ela, “2020 foi um ano de sobrevivência, com uma transformação digital sem precedentes”, e os profissionais de segurança são os heróis que ajudaram-nas a sobreviver.
“Os humanos se tornaram vulneráveis, e os criminosos usaram isso a seu favor. Aprendemos que a cibersegurança é uma cultura que deve estar refletida em todos os lugares. Estamos indo para uma nova era, e, sem os controles apropriados de segurança, não vamos sobreviver mais um ano. Não é sobre se seremos atacados, mas quando”, finaliza.
Confira o que mais já publicamos sobre a RSA Conference 2021: