Últimas notícias

Fique informado
Os crimes cibernéticos devem ser uma das grandes ameaças globais nos próximos vinte anos

Os crimes cibernéticos devem ser uma das grandes ameaças globais nos próximos vinte anos

17 de novembro de 2020

Os crimes cibernéticos devem ser uma das grandes ameaças globais nos próximos vinte anos. Segundo o portal Cybersecurity Ventures, estima-se que os ataques hackers devem causar mais de US$ 6 trilhões em perdas financeiras em todo o mundo em 2021, um salto dos US$3 tri registrado em 2015.

Mark CamilloDiretor de Riscos Cibernéticos da AIG Seguros

“Os ataques cibernéticos são um problema global e os órgãos reguladores buscam alcançar padrões de segurança”, diz Mark Camillo, Diretor de Riscos Cibernéticos da AIG Seguros

Isso representa a maior transferência de riqueza econômica na história, colocando em risco os incentivos à inovação.

Entre os crimes mais comuns estão os esquemas fraudelentos por phishing, roubo de identidade e ransomware, sendo que este último pode gerar prejuízos da ordem de US$ 20 bilhões até 2021, 57 vezes mais do que causou em 2015.

Diante desse cenário, entidades públicas e organizações privadas vêm se movimentando para criar mecanismos de proteção aos dados de pessoas e empresas, como uma forma de inibir e coibir os crimes digitais.

A General Data Protection Regulation (GDPR), lei que entrou em vigor em maio de 2018 com o objetivo de proteger os cidadãos da União Europeia contra a violação de privacidade e dados, inspirou países como o Brasil a seguirem o mesmo caminho, com a formulação da agora vigente Lei Geral de Proteção de Dados.

Para comentar o impacto dessas iniciativas regulatórias e a importância de considerar os riscos cibernéticos em todas as esferas das organização, Mark Camillo, Diretor de Riscos Cibernéticos da AIG, líder e referência global em seguros de riscos cibernéticos, que acompanhou de perto a implantação da regulamentação GDPR na União Europeia e as dificuldades das empresas em se adequar às normas, compartilha sua experiência à frente das operações da AIG na Europa, Oriente Médio e África com o tema, e o que é preciso ser adotado para se atingir padrões apropriados e o mínimo de maturidade em segurança cibernética.

O Brasil acaba de adotar a Lei Geral de Proteção de Dados. Que lições e melhores práticas você traz sobre a implantação da lei na Europa?

Antes de a lei europeia entrar em vigor, havia vários avisos antecipados e orientações sobre o que ela traria e as medidas a serem tomadas. As empresas tiveram muito tempo para se adaptar a ela. Sabemos que as prioridades de cada empresa são diferentes, dependendo da atividade e do tipo de dados que cada empresa coleta.

Cada empresa deve primeiro entender que tipo de dados ela coleta, para qual propósito e, então, certificar-se de que está cumprindo a lei. Mesmo assim, ainda persiste algum nível de subjetividade e as diferenças culturais podem levar a diferentes ações realizadas pelas organizações. Por exemplo, depois que a lei entrou em vigor na Europa, tivemos quase o mesmo número de notificações de sinistro na Irlanda e na Espanha.

No entanto, dessas notificações de sinistros, mais de 50% foram comunicados ao regulador irlandês, ao passo que, em Espanha, foram comunicados menos de 5%. Isso demonstra como a cultura pode impactar a implementação e pode ter grandes divisões entre o norte e o sul da Europa.

Além disso, não houve um manual padrão adotado pelos reguladores, então incidentes que poderiam ser aproximadamente os mesmos em termos de impacto / causa de perda podem levar a resultados diferentes do ponto de vista da aplicação. Portanto, muito disso ainda está sendo trabalhado.

Como você enxerga esse movimento, não apenas do Brasil, mas de outros países, sobre a implementação de lei de gerenciamento de dados?

Os ataques cibernéticos vêm acontecendo em varias partes do mundo e, atualmente, levar à Justiça quem os promove é quase impossível. Daí ser extremamente importante levantar e corrigir as vulnerabilidades dos sistemas empresariais.

As companhias precisam avaliar com frequência suas vulnerabilidades. Por exemplo, neste momento, no qual muitos estão se conectando remotamente, é preciso checar: todas as medidas cabíveis foram tomadas?

Campanhas de phishing permanecem na esperança de que haja um clique em um email malicioso, que dê acesso a sistemas. Os bandidos não estão se concentrando em um país específico. Este é um problema global. É por isso que em todo o mundo, cada vez mais, órgãos reguladores estão tentando implementar controles para que as empresas mantenham os padrões adequados e atinjam um certo nível de maturidade em segurança cibernética.

Que mensagem você deixa aos CEOs e CISOs brasileiros que estão se adaptando à lei?

A maior parte dos principais ativos de uma marca hoje são não físicos, ou seja, dados. Portanto, é preciso focar nessa área, pois ela constitui grande parte da vantagem competitiva de uma empresa.

É muito importante saber se a organização tem tratado essas informações de maneira adequada, as responsabilidades potenciais dos funcionários e as consequentes multas e penalidades regulatórias que a empresa pode sofrer.

É fundamental tomar as medidas adequadas para proteger esses ativos. Todas as empresas precisam levar isso a sério! As empresas têm muitas informações, até mesmo de seus funcionários.

É importante ter alguém na liderança da empresa que tenha experiência em tecnologia, cibersegurança, proteção de dados ou uma empresa de consultoria que possa ajudar a organização a minimizar os riscos ao máximo. Caso contrário, pode haver problemas potenciais de governança corporativa, especialmente se os executivos precisarem responder a investigações regulatórias e multas e danos potenciais à reputação / marca e subsequente queda no preço das ações.

Após a GDPR entrar em vigor em 2018, vimos um crescimento significativo no número de sinistros, notificações nas apólices e aumento dos custos com profissionais especializados na regulação dos sinistros, conforme relatório feito pela AIG (Cyber Claims Report 2019). Esta realidade se mantém até hoje, dois anos após a implementação da GPDR? Quais consequências podemos esperar para o mercado de Cyber nos próximos anos?

De fato, temos visto um aumento significativo no número de notificações de sinistros e essa realidade se mantém.

Por exemplo, antes do GDPR, se uma pessoa recebeu por engano a correspondência de outra pessoa, isso não teria sido relatado (seja como uma reclamação ou notificação regulamentar). Hoje, os indivíduos podem potencialmente buscar compensação da organização por algo assim, portanto, as organizações estão sendo muito mais proativas. Devido à frequência e gravidade das reclamações, estamos vendo o mercado cibernético começar a se fortalecer.

As empresas estão garantindo que o consentimento adequado seja recebido dos clientes para o uso de dados. Acho que a tendência é por uma regulamentação mais abrangente. E a situação mundial que vivemos agora só vai exacerbar essa tendência.

Crypto ID é o maior canal sobre criptografia no Brasil!

O QUE É CRIPTOGRAFIA?

A criptografia protege a segurança pessoal de bilhões de pessoas e a segurança nacional de países ao redor do mundo.

A criptografia de ponta-a-ponta (end-to-end encryption ou E2EE) é um recurso de segurança que protege os dados durante a troca de mensagens, de forma que o conteúdo só possa ser acessado pelos dois extremos da comunicação: o remetente e o destinatário. 

Criptografia Simétrica

Criptografia Simétrica utiliza uma chave única para cifrar e decifrar a mensagem. Nesse caso o segredo é compartilhado.

Criptografia Assimétrica

Criptografia Assimétrica utiliza um par de chaves: uma chave pública e outra privada que se relacionam por meio de um algoritmo.  O que for criptografado pelo conjunto dessas duas chaves só é decriptografado quando ocorre novamente o match.  

Criptografia Quântica

Criptografia Quântica utiliza algumas características fundamentais da física quântica as quais asseguram o sigilo das informações e soluciona a questão da Distribuição de Chaves Quânticas – Quantum Key Distribution.

Criptografia Homomórfica

Criptografia Homomórfica refere-se a uma classe de métodos de criptografia imaginados por Rivest, Adleman e Dertouzos já em 1978 e construída pela primeira vez por Craig Gentry em 2009. A criptografia homomórfica difere dos métodos de criptografia típicos porque permite a computação para ser executado diretamente em dados criptografados sem exigir acesso a uma chave secreta. O resultado de tal cálculo permanece na forma criptografada e pode, posteriormente, ser revelado pelo proprietário da chave secreta.