A lista é longa e o perímetro vasto: o o crime cibernético amplia seu raio de ação em todos os gânglios da vida pública e privada. Parece não haver lugar seguro para guardar os dados pessoais ou empresariais, a memória, as escolhas políticas ou as invenções. Todos os valores, ou melhor, dados considerados imateriais, tornaram-se mercadorias de troca, chantagem, uso indevido e ilegítimo. Como as empresas e instituições respondem?
Na semana passada teve lugar em Roma, na Universidade La Sapienza, a apresentação doRelatório Italiano de Segurança Cibernética 2016, criado pelo CIS-Sapienza e pelo Laboratório Nacional de Segurança Cibernética, onde foi feita a situação da segurança de TI do país. Em primeiro lugar as notícias dos últimos 60 dias: o ano em curso começa com o caso Piramid Eye, ainda com as investigações em curso, e destaca a já consolidada utilização de malware com o objetivo de invadir e-mails e servidores de personalidades conhecidas da política e da economia. Alguns dias depois, o conceituado jornal britânico The Guardian revela que os e-mails do ministro das Relações Exteriores da Itália foram atacados por pelo menos quatro meses em 2016.
Em meados de fevereiro, a Autoridade Alemã Tlc decidiu retirar uma boneca do mercado por ser considerada perigosa para a privacidade, levantando efetivamente a tampa da fragilidade da Internet das Coisas (IOT). Também em meados de fevereiro, o Governo italiano atualiza o DpCm sobre a segurança informática do país, procurando racionalizar e atualizar o anterior Decreto Monti sobre o funcionamento das estruturas institucionais constituídas para fiscalizar o Cibercrime. Entre outras coisas, o novo Decreto integra-se com as recentes disposições comunitárias – a Diretiva de Segurança de Redes e Informação – elaboradas precisamente para tornar o espaço europeu de informação mais seguro. Em 22 de fevereiro, o Relatório Clusit 2016 é apresentado pela Associação Italiana de Segurança de TI, onde, entre outras coisas, lemos que nosso país está totalmente entre os dez primeiros do mundo no ranking de alvos de crimes cibernéticos.
Mas a verdadeira notícia, agora surgindo com evidências particulares, é que o campo de batalha não é mais apenas o das grandes instituições ou empresas, quando, em vez disso, o objetivo é a espinha dorsal da economia nacional: médias e pequenas, ou mesmo micro, empresas tamanho. É precisamente nesta área que se concentra a maioria dos ciberataques ilícitos, precisamente onde os níveis de sensibilização para o risco, capacidade de reação, atualização e formação dos quadros são mais baixos. Em essência: a cultura de segurança física, lógica e organizacional dos sistemas corporativos de TIC em nosso país é substancialmente pobre.
Há escassez de dados, até porque muitas vezes envolvem ataques com baixos valores económicos (o pedido de resgate varia proporcionalmente à dimensão do roubo, estamos a falar de centenas ou alguns milhares de euros), suportáveis por pequenas empresas que , embora para não sofrer o prejuízo, pagam e se calam. Enquanto a notícia de um ataque a um escritório institucional ou a uma grande empresa faz mais barulho na mídia. Segundo fontes do Politécnico de Milão, o faturamento italiano da Segurança da Informação em 2016 cresceu 5% em relação ao ano anterior, mas envolveu apenas grandes empresas que estão interessadas em 74% dos cerca de 980 milhões investidos no setor. Os setores mais afetados dizem respeito à saúde, distribuição em grande escala, o setor bancário e financeiro em terceiro lugar.
O mecanismo de fixação mais simples e conhecido consiste em um ransomware (os mais conhecidos são os conhecidos como Cerber e Zeus) que adentram as memórias e se apropriam dos arquivos presentes nos sistemas. Uma vez realizado o ataque, as informações são criptografadas e é solicitado à vítima um resgate para recuperar seus dados. O princípio que considera um investimento em Segurança como um gasto certo diante de uma possibilidade incerta costuma ser considerado bem fundamentado e, com esse critério, deixa-se a porta aberta para os cibercriminosos que bem sabem que, justamente nas pequenas e médias empresas , na maioria dos casos, ainda está convencido de que um bom antivírus é suficiente para evitar o ataque. Segundo a Kaspersky Lab, empresa envolvida na frente de CyberSec, esse fenômeno em 2016 teve um aumento significativo na frente de telefonia móvel, onde, nos 12 meses anteriores, malware móvel triplicou seu alcance, também como resultado da falha na atualização dos sistemas operacionais.
Voltando ao encontro da semana passada na Universidade Sapienza de Roma, o Cis Report propôs uma espécie de memorando de segurança de TI voltado justamente para aquelas empresas que ainda não desenvolveram um grau de atenção suficiente sobre o assunto. É sobre 15 verificações essenciais de segurança cibernética capaz de ativar todos os procedimentos necessários para proteger seus dados, sua imagem econômica e identidade. Mas, como argumentou Roberto Baldoni, que apresentou o relatório, essa grade é eficaz quanto mais as empresas estão cientes de serem alvo de atividades agressivas de TI.
Finalmente, durante a mesma nomeação, foram dadas notícias de particular importância e significado: a Universidade de Roma La Sapienza ativou o primeiro curso de mestrado em Cibersegurança desse tipo presente na Itália. Como afirma o Prof. Luigi Mancini, é a primeira resposta acadêmica interdisciplinar capaz de formar pessoal de alto nível capaz de enfrentar com eficácia os desafios da segurança cibernética. Segundo a revista Forbes, se em 2016 havia mais de um milhão de trabalhadores no setor, espera-se um aumento de até seis milhões para os próximos três anos, só para confirmar que o espaço de TI tem se tornado cada vez mais uma vantagem competitiva para países que estão capazes de proteger seus ativos de dados e informações confidenciais.
