O Podcast Rio Bravo conversa com Maurício Paranhos, COO da Apura Cyber Intelligence. Num momento em que a sociedade está hiperconectada, a segurança de dados é uma questão fundamental tanto para os indivíduos quanto para as corporações. Ficou para trás a época em que os ataques virtuais eram manifestações ligadas apenas a desafios de hackers engajados; agora, o problema é tema de preocupação inclusive dos governos, haja vista a lei geral de proteção de dados, que foi sancionada em agosto de 2018 e que entrará em vigor a partir de fevereiro de 2020. “A lei indica que as empresas precisam ter um responsável pela gestão da proteção de dados dos seus clientes”. Ouça a entrevista no player abaixo!
Rio Bravo: Há pouco mais de um ano, a questão da segurança de dados ficou bastante em evidência por conta de um cyber ataque global de grandes proporções. Quais são as estratégias para dar conta desse tipo de enfrentamento num contexto em que a segurança da informação nunca foi tão importante como agora?
Maurício Paranhos: Pois é, isso é muito relevante. A segurança da informação começa a ficar em voga nos últimos anos, principalmente no ano passado, quando a gente teve esse grande incidente a nível mundial, que foi o WannaCry. O Wanna Cry, o que ele é? Ele é um ataque do tipo ransomware. Qual foi o diferencial dele? O diferencial é que, além dele contaminar as máquinas dos usuários através de um clique num arquivo contaminado, ele se espalhava pela rede, então muitas vezes um usuário, sem ter nenhuma ação proativa, acabava se contaminando com aquele malware. O que esse malware fazia? Ele criptografava a informação da máquina do usuário e, ao mesmo tempo, o atacante solicitava um resgate de pagamento em bitcoins para resgate daquela informação, então várias empresas foram comprometidas, vários usuários foram comprometidos por não ter algumas proteções dentro de casa e também por não ter um plano de continuidade do negócio implementado, um backup de informações, uma série de contingências que possibilitariam a recuperação daquela informação sem nenhuma perda financeira. Por outro lado, um fato importante também desse ataque que aconteceu é que ele explorou uma vulnerabilidade, uma falha nos computadores que já havia correção para aquilo há pelo menos dois meses, mas as pessoas e várias corporações também não têm a prática de estar atualizando constantemente os seus equipamentos, então acaba que boa parte das máquinas no mundo estavam vulneráveis àquele tipo de ataque mesmo já existindo a correção. Esse ataque é interessante, porque ele se tornou num nível de escala mundial e teve acompanhamento da mídia como um todo, mas esse tipo de problema é enfrentado hoje pelas pessoas e pelas corporações todos os dias. O que a gente poderia fazer para evitar que esse tipo de problema acontecesse no nosso ambiente? Primeiro, a solução mais básica e mais imediata é identificar essas vulnerabilidades e implementar as atualizações, as correções no nosso ambiente corporativo, nos nossos computadores, nos nossos equipamentos pessoais também e, além disso, a gente pode implementar outras soluções também. Quando a gente está falando no segmento corporativo, as médias e grandes empresas e boa parte das pequenas empresas também já têm aquela proteção básica, um firewall corporativo, um antivírus instalado na máquina, mas hoje os ataques são muito direcionados.
Rio Bravo: Os ataques são mais sofisticados hoje?
Maurício Paranhos: São mais sofisticados. Como boa parte das empresas já têm aquela proteção padrão, que se baseia em assinaturas, ele faz uma identificação de um ataque com base no comportamento, na assinatura daquele ataque, os atacantes hoje começam a trabalhar com ataques não identificados por essas soluções padrões de mercado, então são ataques novos. Incidente de segurança, efetivamente, todo mundo vai ter. O que a gente tenta trabalhar hoje é no apoio e na identificação desses incidentes.
Rio Bravo: Nesse sentido, o quanto dessa exposição e fragilidade se deve ao fato da gente estar conectado, no contexto do trabalho, quase integralmente? O quanto se deve ao fato da gente estar muito exposto, haja vista que a gente está hiperconectado?
Maurício Paranhos: Hoje, o usuário está conectado praticamente 24 horas por dia. Ou ele está dormindo ou ele está conectado, seja no seu equipamento corporativo, seja no seu equipamento pessoal, então isso traz novas fragilidades realmente pro ambiente corporativo e o nível de ataque, a forma de funcionamento dos ataques vêm evoluindo constantemente também. Se a gente pensar no início dos anos 90, quando eu comecei a trabalhar com tecnologia, os ataques eram muito simples, mas tinha pouca gente realizando esse tipo de ataque. O acesso à informação era muito mais complexo do que é hoje, então a gente tinha poucos livros relacionados ao assunto e praticamente nenhuma informação disponível no mundo online, então as pessoas que trabalhavam do lado de lá, do lado negro da força, a gente pode chamar assim, tinham a necessidade de um estudo muito aprofundado de técnicas para fazer estrago praticamente nenhum, porque o mundo não estava conectado como está hoje em dia, então quando acontecia algum incidente era basicamente os conhecidos script keys, que são pessoas que tinham acesso a alguma informação, liam sobre algo já estruturado e executavam aquilo, conseguiam acesso a um ambiente corporativo, iam lá e pichavam o site daquela empresa, mais para ter uma boa referência no mundo underground, ele ser reconhecido como alguém que conseguiu acesso, conseguiu pichar o site de uma determinada empresa, de um determinado órgão governamental. Hoje, o cenário mudou. Nos anos 2000, a gente já começou a partir pro mundo efetivo da fraude. A gente já começou a ter cyber criminosos profissionais, mafiosos virtuais, começou a ter um grande foco também em fraudes financeiras. Foram criadas quadrilhas específicas focadas em fraudes virtuais, porque percebeu-se que era muito mais fácil assaltar, por exemplo, um banco de uma forma virtual do que você invadir uma agência bancária e ter o risco de ser preso e etc.
Rio Bravo: E esse tipo de ação é mais comum do que a gente imagina?
Maurício Paranhos: Muito mais comum. A gente tem até uma evolução. A partir dos anos 2010, a gente começou a ter acesso também a algumas informações que foram divulgadas, alguns vazamentos do WikiLeaks, por exemplo, que já ultrapassou inclusive a questão de crimes financeiros, de fraudes virtuais para espionagem industrial, para espionagem entre países. A gente viu vários casos disponíveis na mídia, com vazamentos que aconteceram no WikiLeaks. Obviamente, não é que a partir dos anos 2010 passou-se a acontecer, acontece muito provavelmente desde o início da conectividade, desde o início da internet, mas, sem dúvida, esse tipo de espionagem, espionagem entre países, entre empresas espionando empresas concorrentes, empresas tentando descobrir soluções de vanguarda de seus concorrentes, sabotando algum trabalho internamente, a gente começou a ter acesso a esse tipo de informação de que realmente acontece. Hoje, o que acontecia no mundo físico passou a acontecer também no mundo virtual. Hoje, a gente tem um grande mercado, que é conhecido como C2C, o Criminal to Criminal, pessoas trocando informações em deep web, dark web, nas redes do mundo underground referentes a vazamentos de informações de grandes corporações, informações financeiras, vazamento de códigos-fonte de aplicações que vão viabilizar que um atacante tenha acesso ao ambiente corporativo, então o cenário vem mudando bastante nos últimos anos.
Rio Bravo: Como é que funcionam as iniciativas relacionadas a contrainteligência?
Maurício Paranhos: Quando a gente fala de contrainteligência, vale a gente mencionar o Sun Tzu, então se você conhece o seu inimigo e conhece a si mesmo, você não precisa temer o resultado de cem batalhas, por exemplo. O que isso significa? Significa que você tem que conhecer o seu ambiente — quando a gente está falando de um ambiente corporativo, você tem que conhecer as suas tecnologias, as suas possíveis falhas internas — e você também tem que conhecer o que o outro lado, o que o mundo underground está procurando sobre a sua empresa. A gente consegue implementar soluções de contrainteligência com foco na defesa contra ameaças como espionagem, sabotagem, vazamento de informações, cyber crime e terrorismo, então a gente utiliza a inteligência em fontes abertas, por exemplo, para monitorar mídias sociais, fóruns, dark web, deep web para coletar informações de interesse relacionadas às empresas. No Brasil, as informações têm migrado muito para o mundo online, mas a gente não tinha até hoje nenhuma exigência legal que exigia que as empresas se protegessem contra esse tipo de coisa. Recentemente, agora em agosto de 2018, o Brasil lançou a Lei Geral de Proteção de Dados. Do que essa lei trata especificamente? Essa lei é muito baseada na GDPR, que é a lei do Reino Unido, que foi lançada em 2016, se eu não me engano, e entrou em efetividade esse ano agora. Ela indica que toda empresa hoje deve ter um responsável, alguém responsável pela gestão da proteção dos dados dos seus clientes, então todo mundo que tem informação estrutura de clientes aqui no Brasil, daqui até os próximos 14 meses, em fevereiro de 2020, vai ter que implementar alguns controles internos, vai ter que definir um responsável pela gestão da informação corporativa e proteger de uma forma mais adequada a informação do seus clientes.
Rio Bravo: Ou seja, esses dados não vão estar mais tão disponíveis assim pra esse tipo de cyber ataque?
Maurício Paranhos: Eu não digo nem disponível, porque a disponibilidade é importante até pro negócio da empresa, mas as empresas vão ter que ter um cuidado muito maior, uma proteção muito maior desses dados. Se a empresa não proteger aqueles dados, o que pode acontecer? Primeiro, todo mundo vai ficar sabendo. Um dos requisitos da lei é a publicidade de qualquer infração que aconteça. Qualquer vazamento de informação que aconteça, a empresa não vai poder guardar pra si, ela vai ter que tornar aquele incidente público e, além disso, ela vai sofrer sanções. Hoje, a multa prevista em lei é de até 2% do faturamento anual até o limite de R$ 50 milhões por infração, então o nível de investimento que você vai ter em segurança com certeza vai ser menor do que o prejuízo financeiro que você pode ter, principalmente quando a gente fala de grandes corporações, então o nível de proteção tende a aumentar muito daqui pra frente. A gente já começa a sentir isso no mercado. Algumas soluções de vanguarda que a gente representa, por exemplo, não tinham tanta demanda no Brasil, a gente via acontecendo mais demandas de clientes nos Estados Unidos e na Europa, onde já tem legislações mais evoluídas de proteção, mas a gente nos últimos meses já tem sido procurado pelos nossos clientes para começar a conversar sobre soluções de maior vanguarda. No Brasil, essa preocupação sempre foi muito forte no segmento financeiro e em empresas que já têm um compliance muito forte. Empresas com ação na Bolsa já têm que seguir uma série de legislação e o impacto financeiro por perdas relacionadas a segurança da informação é um impacto financeiro direto, então essas empresas já, naturalmente, se preocupavam com esse tipo de questão, mas agora a gente vê que empresas que não tinham uma maturidade muito grande de segurança começam a se preocupar também em implementar alguns controles adicionais para evitar que isso aconteça.
Rio Bravo: Nesse sentido, qual é a trajetória da Apura em termos de desempenho e mesmo de iniciativas para dar conta de cyber ataques?
Maurício Paranhos: Nós, na Apura, nos encaixamos como uma empresa de DFIR, que é um conceito norte-americano que é o Digital Forensics and Incident Responses, então a gente atua fugindo um pouquinho daquelas soluções de commodity que todo cliente já tem. A gente tenta apoiar os nossos clientes com serviços especializados, com soluções de vanguarda, soluções que trazem valor agregado pro cliente e fogem um pouquinho daquele dia a dia, então o nosso foco é desenvolver soluções próprias e também representar soluções de mercado, de empresas americanas, empresas europeias, empresas de Israel, que trazem um valor mais agregado pro cliente. A gente auxilia, então, tanto na parte de detecção desses incidentes quanto na velocidade de resposta e de atuação, de identificação de como aquele incidente ocorreu, de como o cliente vai corrigir as falhas relacionadas àquele incidente para evitar que ele não aconteça mais, então a gente foca nesse tipo de atuação.
Rio Bravo: Em termos de custo, dá pra gente estimar o prejuízo que um cyber ataque pode causar? No exemplo do WannaCry, qual foi o tamanho do prejuízo?
Maurício Paranhos: Quando a gente fala de custo, depende do estudo que a gente vai analisar, depende da métrica que foi feita a análise, a gente vai chegar num número, mas a gente pode pensar diretamente relacionado ao WannaCry. Qual é o impacto pra uma empresa impactada pelo WannaCry ou por alguma das centenas de variantes do WannaCry que hoje já existem? Se você teve a sua empresa contaminada, teve um servidor de banco de dados, um servidor de arquivos comprometido, por exemplo, e não tinha o backup daquela informação, a sua empresa vai parar por muito tempo. Quanto vale a sua empresa ficar parada uma semana, duas semanas, um mês por uma falha desse controle? Sem acesso a informação, a empresa praticamente parou, então o prejuízo é muito grande. A gente tem alguns estudos de mercado que vale a pena comentar aqui. Por exemplo, o site Estadista.com cita que o Brasil está entre os top 10 — se eu não me engano, na nona colocação — como o país que tem mais máquinas comprometidas com malware no mundo. Hoje, mais de um terço das máquinas disponíveis no Brasil estão comprometidas com algum malware, então o número é muito grande. Um estudo da RapidShare, um fabricante de tecnologia, fala que o Brasil é o 12º país do mundo com maior nível de exposição a ameaças. Hoje, Estados Unidos está em primeiro lugar. Alguns estudos da Symantec que vale a pena a gente comentar também. Hoje, o Brasil, é o terceiro país com maior origem de ataques, mais ou menos 6% dos ataques que acontecem no mundo têm origem no Brasil. A China, hoje, é o primeiro e Estados Unidos, o segundo. Poderia comentar também que o Brasil hoje é o terceiro do ranking, mas muitas vezes o ataque que acontece no Brasil, um atacante, por exemplo, está fechando uma VPN para a Rússia, que conecta com uma VPN na Ucrânia e faz o ataque da Ucrânia, então no ranking a gente vai enxergar que o ataque está saindo da Ucrânia, mas muitas vezes está no Brasil, então esse número do Brasil pode ser ainda maior. Ano passado, no mesmo estudo da Symantec, a gente teve a informação que 62 milhões de brasileiros sofreram ataques cibernéticos durante só o ano de 2017, então mais ou menos 60% da população brasileira teve algum tipo de problema. O impacto mensurado só no Brasil é de US$ 22 bilhões, praticamente R$ 100 bilhões foi o tamanho do prejuízo estimado em cyber ataques apenas no Brasil. A gente está falando de um país onde, no mesmo estudo da Symantec, 59% das pessoas falaram que compartilham suas senhas, então às vezes não adianta também você ter vários controles corporativos implementados para aumentar o nível de segurança da corporação, sendo que mais da metade dos seus usuários internos compartilham a sua senha, então você perde a rastreabilidade, você perde qualquer segurança no acesso a um sistema corporativo. No Brasil, 4,5 milhões de modens estavam comprometidos com uma falha de segurança de algo que já foi corrigido em 2012. Há seis anos já existe a correção, mas hoje tem 4,5 milhões de modens espalhados pelas casas das pessoas, pelos ambientes corporativos que têm essa falha, então a cultura de segurança da informação no Brasil vem mudando aos poucos. A gente entende que nesse momento, principalmente com a criação da Lei Geral de Proteção de Dados, isso tende a acelerar e melhorar bastante. A gente acha que no curto e no médio prazo a gente já vai ter uma mudança brutal na cultura de segurança da informação no Brasil.
Rio Bravo: O quanto o acesso às mídias sociais como ambiente corporativo representa vulnerabilidade para a contenção desses dados mais sigilosos?
Maurício Paranhos: Eu acho que isso vai depender muito também da política interna que a empresa vai ter, porque não adianta você bloquear o acesso a uma rede social na sua rede corporativa se o telefone pessoal do usuário que está lá dentro da sua empresa acessa, então se ele quiser vazar uma informação para uma rede social ele vai vazar com o seu equipamento pessoal. Apenas bloquear o acesso, não acredito que tenha um grande impacto de melhoria no ambiente. O que as empresas precisam ter são políticas e campanhas de conscientização internas que mobilizem os seus usuários a ter consciência da criticidade da informação corporativa e da responsabilidade pelo seu uso também. A partir do momento que um funcionário, que um colaborador, um terceirizado tem ciência da sua responsabilidade e do impacto que um determinado vazamento de informação pode ter, ele vai ter um cuidado adicional, porque ele vai saber do risco que ele está correndo e das punições que ele pode sofrer, então não adianta simplesmente você bloquear um acesso corporativo a uma rede social, porque se o usuário quiser ele vai ter formas de contorno, de vazar aquela informação, então você precisa implementar controles, mas também capacitar o seu usuário, conscientizar e ter punição para os casos em que ocorra um determinado tipo de vazamento. A gente vê que na prática isso tem mudado. A gente, na Apura, começou a ser mais procurado nos últimos meses com essa questão da Lei Geral de Proteção de Dados que foi implementada no Brasil. O nosso plano de crescimento da empresa é bastante grande. Para você ter uma ideia, a gente recebeu um aporte de investimento há mais ou menos dois, três meses atrás, de um fundo de investimento, então se os fundos de investimento estão investindo em empresas de segurança da informação é porque esse assunto estará cada vez mais em voga no país. Esse fundo vai nos viabilizar que a gente invista mais no desenvolvimento de produtos próprios, que a gente expanda a nossa área comercial para alguns locais que a gente não está presente no Brasil hoje. Hoje, a gente está presente em São Paulo, Rio de Janeiro, Brasília e Belo Horizonte. Nossa ideia é ter um ponto de presença também no Norte, Nordeste, um ponto de presença na região Sul para a gente expandir. Hoje, felizmente, a gente já consegue estar presente de boa parte dos maiores clientes no Brasil, das maiores empresas, mas o nosso plano é que esse ano a gente já consiga crescer mais ou menos 50% e manter esse ritmo de crescimento nos próximos anos também. Isso é uma realidade da Apura, mas uma realidade também do mercado de segurança da informação. Esse tipo de demanda vem crescendo bastante no país e é algo que vai ser cada vez mais comentado e as empresas estão cada vez mais se preocupando com isso também.
Fonte: “Rio Bravo Investimentos”
