Com mais de 84% de sua população on-line, a América do Sul é uma das regiões mais conectadas do mundo, atrás apenas da Europa e da América do Norte em termos de penetração da Internet. É também um dos maiores mercados digitais do mundo, com mais de 368 milhões de usuários de Internet no total.
Não é à toa que os atacantes cibernéticos a consideram um alvo preferencial.
Conforme passa por uma transformação digital, a região enfrenta uma enxurrada crescente de ransomware, comprometimento de e-mail corporativo (BEC), phishing e outros ataques. Quanto ao caso em questão, nosso relatório anual State of the Phish revelou que mais de 70% das organizações do Brasil sofreram pelo menos um ataque bem-sucedido de phishing em 2022.
O senador chileno Kenneth Pugh não está surpreso. Representando a região de Valparaíso desde 2018, Pugh foi essencial no apoio à lei que declarou outubro “Mês da cibersegurança” no Chile. (O Chile é um dos países mais avançados digitalmente da região, com o mais alto percentual de usuários de Internet e as maiores médias de velocidade de banda larga.)
Ex-oficial da marinha chilena, ele considera a cibersegurança e sua importância como uma missão conjunta do governo e do setor privado. Ano passado, ele ajudou a aprovar uma lei que protege a infraestrutura crítica do país. Ele também participou da criação de novas leis sobre inteligência, proteção de dados pessoais e crimes virtuais. Em sua função como senador, Pugh agora está trabalhando em uma legislação para definir padrões de cibersegurança e proteger infraestruturas críticas. Entre outras medidas, a proposta deve criar uma nova agência nacional de cibersegurança para o Chile.
Pugh falou recentemente com a Proofpoint para compartilhar suas opiniões sobre o cenário de ameaças na América Latina e o que espera a região:
Qual é o estado da cibersegurança na América Latina? De que formas as ameaças que estão visando as organizações da região são semelhantes ou diferentes das de outras regiões?
O estado da cibersegurança na América Latina encontra-se em um nível “entre intermediário e baixo”. Isso de acordo com medições realizadas a cada quatro anos pela Organização dos Estados Americanos (OEA) seguindo o modelo de maturidade da capacidade de cibersegurança desenvolvido pela Universidade de Oxford. No último relatório, de 2020, os países mais maduros da região foram classificados nos estágios 2 e 3 (em uma escala que vai até 5) em cada dimensão.
Alguns perpetradores de ameaças comuns têm alcance global. Há também perpetradores locais — como o grupo “Guacamaya Roja”, que visou grandes empresas e órgãos governamentais no ano passado.
Há uma diferença de percepção entre as ameaças enfrentadas pelas organizações e seu grau de conscientização ou preparação para essas ameaças? Ou entre os líderes de segurança da região e seus usuários?
De fato, há uma diferença de percepção. Os elementos criminosos do ciberespaço dispõem de todos os recursos de que necessitam — tempo, qualificações e dinheiro — e não têm regras a seguir. O governo e as empresas precisam seguir regras. E, às vezes, eles não têm recursos adequados para enfrentar os ataques cibernéticos.
Você pode ter um certo grau de conscientização quando se prepara. Porém, durante um ataque, você pode enfrentar problemas de organização e preparação (que afetem a sua capacidade) para responder adequadamente. Você precisa preparar a sua organização para esses cenários.
Os líderes de segurança precisam expandir além do departamento de TI e estar mais presentes em todo o âmbito das organizações em que atuam — às vezes eles nem são ouvidos suficientemente pela governança corporativa. Precisamos ter no conselho, diretores que possuam qualificações em cibersegurança.
Como a Internet permeia todos os aspectos de nossas vidas, também precisamos de uma nova geração de políticos que sejam líderes de segurança no ciberespaço para ajudar a proteger as pessoas e seus direitos. Por exemplo, a liberdade de expressão é um direito humano que deve ser protegido no ciberespaço. Mas é um direito para seres humanos — e não para inteligência artificial (IA).
O que é necessário, em nível de país, para enfrentar efetivamente o desafio do combate ao volume e à sofisticação crescentes das ameaças na região?
(Precisamos de) mais pessoas qualificadas, com sólidos conhecimentos e experiência em cibersegurança, para nos adaptarmos e reagirmos rapidamente a novas formas de ataque e novos TTPs (táticas, técnicas e procedimentos). (Também precisamos) do apoio da IA nesse processo, para acelerar a resposta. Uma vez desenvolvidos esses talentos e essa cibercultura, (precisamos) tomar a iniciativa de frustrar essas forças atacantes.
Quais são os papéis do governo e do setor privado na cibersegurança? Eles são diferentes dos de outras regiões? Há oportunidades para que ambos trabalhem juntos? Há o risco de excesso de regulamentação por parte de órgãos governamentais ao tentar reagir a ameaças em rápida evolução?
O governo deve definir uma política permanente nessas questões, uma estratégia para enfrentar a situação com objetivos claros e mensuráveis (que sejam alcançáveis dentro de um cronograma predefinido), e produzir uma política pública 2.0 com regras claras para todos — e, então, impor essas regras. A tecnologia está evoluindo muito rapidamente, uma vez realizada uma medição completa, esse processo deve ser revisado pelo menos uma vez a cada quatro anos, como faz a OEA.
O setor privado deve seguir as regras estabelecidas pelo governo e preparar seu pessoal. As empresas precisam investir em treinamento em cibersegurança para suas equipes, incluindo preparação em desafios de segurança internacionais. Elas também devem investir em atualização de hardware e software e na criação de uma cultura de cibersegurança na empresa que comece com governança corporativa em nível de diretoria. E devem testar suas capacidades utilizando serviços de outras empresas.
Há o risco de excesso de regulamentação por parte de órgãos governamentais ao tentar reagir a ameaças cibernéticas em rápida evolução?
Há risco de regulamentação excessiva de uma tecnologia específica, é claro. A política pública 2.0 deve se basear em dados e evidências, e não em uma determinada tecnologia.
Elementos cibercriminosos não seguem regras ou regulamentos. Eles dispõem de tempo e recursos consideráveis. Por outro lado, o governo e as empresas seguem regras e têm acesso limitado a recursos.
A definição de princípios e a criação de uma nova cultura de cibersegurança são essenciais, tanto para o setor quanto para o governo. Esse problema não pode ser enfrentado e resolvido apenas pelo setor ou pelo governo isoladamente. A colaboração entre os setores público e privado é uma necessidade.
Que conselho o Sr. daria a organizações da América Latina que buscam permanecer seguras sem prejudicar processos corporativos ou a produtividade dos usuários?
Estar um passo à frente dos criminosos cibernéticos. Investir nas suas equipes cibernéticas e em seus equipamentos. Atualizar-se e pesquisar constantemente. Realizar treinamentos com equipes internas e externas e fazê-las competir em desafios de cibersegurança e exercícios de treinamento. Isso ajudará na criação de uma nova cultura cibernética na organização.
Tentar seguir as melhores práticas de confiança zero e investir em uma identidade digital robusta. Além disso, investir nos conhecimentos de todos os membros da organização — inclusive os terceiros com os quais você trabalha — para que eles saibam como reconhecer e evitar campanhas de phishing ou de desinformação.
Saiba como a Proofpoint ajuda organizações da América do Sul a proteger pessoas e a defender dados.