O Relatório de Riscos Globais, divulgado anualmente pelo Fórum Econômico Mundial, avalia os riscos mais preocupantes enfrentados pelo mundo, resultado de um processo de consulta a especialistas em diversas áreas, incluindo líderes empresariais, acadêmicos, organizações da sociedade civil e líderes governamentais e que inclui uma análise detalhada dos riscos de segurança, ambientais, políticos e tecnológicos.
O relatório fornece informações valiosas sobre as tendências e os desafios globais, permitindo que governos, empresas e indivíduos possam estar mais bem preparados para enfrentar os riscos identificados, em um período de 2 a 10 anos. Além disso, identifica áreas de oportunidade e destaca boas práticas que podem ser adotadas para melhorar a resiliência e a capacidade de resposta aos riscos globais, sendo especialmente utilizado como fonte de informação para organizações internacionais.
Uma das preocupações destacadas no relatório de 2023 é a ameaça de uma guerra cibernética (ocasionada pelo crime cibernético difundido e ciberinsegurança), ocupando a oitava posição para a próxima década. O crime cibernético difundido se refere a uma variedade de atividades criminosas que são realizadas através de meios eletrônicos e que podem ser perpetradas de forma anônima e remota. Em uma era em que a tecnologia é cada vez mais integrada às nossas vidas e aos sistemas críticos de infraestrutura, a ameaça de ataques cibernéticos é cada vez maior. Diariamente são criados novos tipos de malwares e formas de ataques, em uma velocidade ainda maior do que os antídotos cibernéticos.
Uma guerra cibernética é uma forma de conflito que envolve o uso de ataques cibernéticos para interromper, destruir ou desestabilizar sistemas críticos de computadores e redes. Estes ataques podem ser realizados por indivíduos, grupos ou estados e visam prejudicar a economia, a segurança e a infraestrutura de uma nação ou região e pode causar interrupções graves nos sistemas financeiros, de saúde, energia e de comunicações, além de ameaçar a privacidade e segurança das informações pessoais.
O impacto de uma guerra cibernética pode ser devastador, com prejuízos financeiros massivos e danos irreparáveis a sistemas críticos. Além disso, pode levar a uma erosão da confiança pública nas instituições e na tecnologia, bem como a uma escalada de tensões entre as nações envolvidas. É importante estar preparado para enfrentar a ameaça de uma guerra cibernética. Isso inclui investir em medidas de segurança cibernética, desenvolver planos de resposta a incidentes, capacitar as equipes de cibersegurança e estabelecer políticas e regulamentações para lidar com as ameaças, mediante um plano de gestão de vulnerabilidades e recuperação de desastres que seja eficaz para suportar e combater os ataques.
LEIA TAMBÉM:
Já uma ameaça cibernética é o direcionamento de um ataque aos sistemas, redes e informações confidenciais armazenadas em dispositivos eletrônicos, como computadores, smartphones, tablets e servidores. As ameaças cibernéticas podem ser causadas por vários motivos, incluindo vingança, espionagem, extorsão, roubo de identidade, destruição de dados e interrupção dos serviços.
Alguns exemplos incluem vírus, malware, phishing, ataques de negação de serviço (DoS), ataques de força bruta, fraudes, roubo de identidade ou informações confidenciais e sequestro de dados (ransomware). Essas ameaças podem resultar em prejuízos financeiros, danos à reputação, interrupção dos negócios e, em casos graves, vazamento de dados pessoais e de outras informações confidenciais, como segredo de negócio, gerando o sentimento de ciberinsegurança.
A falta de segurança cibernética adequada em muitas organizações e a disseminação de ferramentas de hacking tornam mais fácil para os criminosos cibernéticos realizar ataques em larga escala, tornando-se um problema global que afeta governos, empresas e indivíduos em todo o mundo. Os custos de prevenção e resposta a crimes cibernéticos difusos são significativos e muitas vezes exigem a cooperação internacional para investigar e processar os autores desses crimes.
De acordo com dados do relatório divulgado pelo FortiGuard Lab, o Brasil sofreu 103,16 bilhões de ataques cibernéticos em 2022, ficando atrás apenas do México, na América Latina, que registrou 187 bilhões de ataques. Na comparação entre o último trimestre do ano e o anterior, houve um aumento de 61,7%. Enquanto o último trimestre apontou 30,4 bilhões de ataques, o terceiro trimestre indicou 18,8 bilhões. Dados apontam que a América Latina e o Caribe sofreram mais de 360 bilhões de tentativas de ciberataques em 2022.
Por isso, é necessário investir em governança e adotar medidas de segurança cibernética suficientes diante da crescente ameaça de ciberataques e da ciberinsegurança. A segurança cibernética envolve a implementação de políticas, procedimentos e tecnologias que ajudam a prevenir, detectar e responder a ameaças cibernéticas. É um conjunto de ações para ampliar o nível de maturidade de governança corporativa, especialmente quanto ao ambiente tecnológico.
Isso inclui a proteção de redes e sistemas, o monitoramento de atividades suspeitas, a gestão de senhas e a criptografia de dados, além de ter um plano de resposta a incidentes de segurança cibernética, que inclui ações para lidar com violações de segurança e para minimizar os impactos de um ataque, manter o software de segurança atualizado, usar senhas fortes e únicas, ser cauteloso ao clicar em links ou baixar arquivos, não fornecer informações pessoais a fontes desconhecidas e realizar backups regulares de dados importantes.
A implementação destas medidas passa a ser consideradas ainda mais importantes no momento em que a Autoridade Nacional de Proteção de Dados (ANPD), publicou recentemente o seu regulamento para a aplicação das sanções administrativas previstas na Lei Geral de Proteção de Dados (LGPD), que vão desde uma advertência para casos mais leves, até a aplicação de multa com base no faturamento da empresa ou a proibição parcial ou total do exercício de atividades para os casos mais graves.
A relevância cresce ainda mais quando entram em pauta as iniciativas ESG, que juntamente com a cibersegurança são frequentemente vistos como conceitos separados e distintos, mas, na realidade, estão intimamente relacionados. Ambos podem ter um impacto significativo no perfil de risco e no desempenho geral de uma empresa. A adoção de práticas ESG é relevante porque permite que negócios operem de forma mais sustentável e responsável, o que acarreta em inúmeros benefícios, incluindo melhoria de desempenho financeiro, atração e retenção de talentos, mitigação de riscos e aprimoramento da reputação.
Empresas que priorizam critérios ESG são mais propensas a ter medidas robustas de cibersegurança em vigor. Por exemplo, uma empresa com uma estrutura forte de governança provavelmente terá políticas e procedimentos claros para cibersegurança, bem como recorrência de suas atualizações. Da mesma forma, uma empresa que prioriza a responsabilidade social é mais propensa a investir na capacitação dos funcionários nas melhores práticas de cibersegurança e na implementação de protocolos de segurança para proteger os dados dos clientes.
Além disso, empresas que priorizam critérios ESG são mais propensas a serem proativas na identificação e abordagem de potenciais riscos de cibersegurança. Por exemplo, uma empresa com políticas ambientais fortes pode ser mais propensa a identificar riscos relacionados à cadeia de suprimentos ou fornecedores terceirizados que possam impactar em sua estrutura de cibersegurança. Da mesma forma, uma empresa comprometida com a responsabilidade social pode ser mais propensa a investir em tecnologias de cibersegurança que protejam a privacidade e segurança dos dados dos clientes.
A necessidade de ser transparente no reporte de ações ambientais, sociais e de governança se aplica também a aspectos relacionados à segurança da informação. Acresce-se que há aspectos relacionados à cibersegurança que podem ter impactos significativos na sociedade e no meio ambiente. Pelo viés ESG, por exemplo, um ataque cibernético à infraestrutura de uma empresa pode interromper as operações, levando a um aumento no consumo de energia e nas emissões de gases de efeito estufa, já que sistemas de backup são utilizados para compensar a interrupção. Da mesma forma, um incidente de segurança com dados pessoais pode resultar na divulgação de informações sensíveis, causando danos à reputação e prejuízos sociais.
Conclui-se, portanto, que a ameaça de uma guerra cibernética, prevista pelo Relatório de Riscos Globais do Fórum Econômico Mundial, não está restrita ao campo da cibersegurança. Minimizar impactos negativos e ser adaptável aos novos riscos são necessidades intrinsecamente relacionadas à estratégia corporativa, e, em especial, à continuidade, relevância e resistência de um negócio.
_____________________________________________________________________________________________________________________________________________
ADALBERTO FRAGA VERÍSSIMO JUNIOR – Advogado da Lee, Brock Camargo Advogados, pós-graduado em Direito Digital e Proteção de Dados pelo EBRADI, pós-graduado em Segurança da Informação, em Cibersegurança e em Inteligência Artificial pela Faculdade Única/Grupo Prominas. Mestrando em Direito Privado, Tecnologia e Inovação pelo IDP
LORENA CARNEIRO DO NASCIMENTO – Sócia da Lee, Brock, Camargo Advogados, LLM em Direito Societário e Mercado de Capitais pela FGV Rio e MBA em Gestão da Inovação e Empreendedorismo pela FIA Business School. Membro da Comissão Especial de Privacidade, Proteção de Dados e Inteligência Artificial da OAB-SP