Colunistas

Entrevista: Clint Watts explica como sobreviver em um mundo de hackers

Autoridade no assunto aponta quão vulneráveis estamos aos ataques cibernéticos e quais os cuidados que pessoas, empresas e países precisam ter para evitar esse problema.

Publicado

em

Tempo médio de leitura: 14 min

Você já deve ter percebido que as senhas para acessar e-mail, dispositivos e serviços digitais estão cada vez mais complexas. De simples números e letras há alguns anos para combinações mais extensas ou sistemas mais sofisticados envolvendo impressões digitais, códigos de segurança enviados por aplicativos e verificação em duas etapas.

Essa maior proteção dos nossos dados e informações está diretamente relacionada à evolução dos ataques realizados no mundo digital, que hoje são realizados por verdadeiras organizações criminosas que atuam globalmente impactando não apenas nossas vidas mas também gerando prejuízos a empresas, instituições e governos.

Recentemente, por exemplo, os cibercriminosos atacaram um oleoduto que é responsável pelo transporte de metade do combustível de aviação consumido na costa leste dos Estados Unidos. Neste ataque, foram roubados mais de 100 gigas de dados e uma investigação do FBI apontou a autoria para o grupo DarkSide, que utiliza um software próprio para criptografar e roubar informações no mundo digital.

Os crimes já atingiram grandes empresas como Microsoft, Intel e Twitter. No caso da rede social, o ataque atingiu contas de políticos e empresários como Joe Biden, Barack Obama, Jeff Bezos, Bill Gates e Elon Musk.

No Brasil, uma ação contra o Superior Tribunal de Justiça (STJ) destruiu backups do sistema do órgão prejudicando mais de 12 mil julgamentos que estavam em andamento, e os trabalhos da Corte brasileira foram paralisados por uma semana.

No mesmo período, um ataque atingiu também o Tribunal Superior Eleitoral (TSE) durante as eleições municipais de 2020, fato que atrasou a apuração dos votos nas urnas eletrônicas. Investigações apontaram que a ação contra o TSE partiu de hackers situados não só no Brasil como também em outros países como Estados Unidos e Nova Zelândia.

Com ataques tão sofisticados como esses e nossas vidas cada vez mais dependentes do mundo digital, o que podemos esperar dos próximos anos em relação aos ataques cibernéticos? E como as pessoas, empresas e governos devem lidar com esse problema cada vez mais recorrente e estruturado?

Para tentar responder a essas perguntas conversei com o americano Clint Watts, uma das maiores autoridades em cibersegurança do mundo. Pesquisador sênior do Centro de Segurança Cibernética da George Washington University, Watts já atuou como Oficial Executivo do Centro de Combate ao Terrorismo na Academia Militar dos Estados Unidos, e foi agente especial do FBI atuando na força-tarefa de combate ao terrorismo.

Na avaliação do especialista, o tempo cada vez maior nas redes sociais e em dispositivos digitais tem deixado as pessoas mais vulneráveis aos ataques cibernéticos, que podem por meio de uma simples fake news ou o chamado “Troll Army” – perfis falsos que atuam para persuadir as pessoas no mundo digital com conteúdos que darão acessos a dados e informações aos criminosos.

Mesmo sabendo dos perigos que corremos na internet, Watts explica que há uma ação voltada a mudar a nossa percepção em relação ao que estamos expostos. Segundo ele, ao passar muito tempo nas redes sociais, as pessoas passam a perder a capacidade de saber o que é verdadeiro ou falso devido à grande quantidade de informações recebidas.

Para explicar esse fenômeno, ele aponta quatro pontos nas quais as pessoas tendem a acreditar no que veem nas redes sociais, que são: 1) Aquilo que se lê primeiro, ou seja, mesmo sendo uma fake news a tendência é que a pessoa acredite nesse fato por não ter visto em outro lugar; 2) Aquilo que vemos mais vezes, onde a repetição do conteúdo faz as pessoas passarem a acreditar nele; 3) Uma informação vinda de uma fonte confiável, como um familiar ou amigo do trabalho; 4) Informações que passam a ter crédito por não serem refutadas.

Soma-se a este cenário a utilização de novas tecnologias como Inteligência Artificial e Machine Learning para deixar os golpes ainda mais sofisticados, e tornando as ações criminosas em uma verdadeira indústria. Com essas tecnologias é possível, por exemplo, pegar informações de vários países do mundo para produzir conteúdos falsos em outro idioma, e tudo isso automaticamente. Essas ferramentas possibilitam ainda a criação de perfis falsos a partir da combinação de imagens de várias pessoas.

Essa sofisticação é reflexo da evolução da estrutura dos criminosos cibernéticos. Há 10 anos, por exemplo, esses ataques eram realizados basicamente por hackers individuais e hoje se tornaram grandes organizações muito bem estruturadas visando fazer dinheiro.

Essa atuação é acompanhada também tanto por grupos terroristas com o objetivo de atrair novos membros para seus movimentos extremistas, como também por nações com iniciativas ofensivas e defensivas em relação a dados e informações.

Nesse cenário de ataques cibernéticos está em ascensão, por exemplo, os chamados “ransomware”, malware que sequestra e bloqueia o sistema de uma empresa ou órgão onde é solicitado um pagamento em criptomoedas para o resgate das informações e dados. A utilização de moedas digitais, inclusive, é uma característica desses crimes por poderem movimentar quantias em qualquer lugar do mundo sem ter a necessidade de passar pelos sistemas bancários.

Em um mundo cada vez mais digital, Watts dá algumas sugestões básicas para nos precaver em relação aos ataques cibernéticos cada vez mais constantes, como: avaliar os prós e contras de usar uma rede social; conhecer a fonte das informações que consumimos; saber quando conhecemos ou não um determinado assunto, e procurar passar mais tempo no mundo real e físico do que no virtual.

Ele ressalta também a importância em realizar iniciativas como instalar antivírus em todos os dispositivos, verificar a origem antes de clicar em links, inserir dupla autenticação nos sistemas e aplicativos, trocar de senhas constantemente, e atualizar sempre os softwares que usamos.

Aproveitei a conversa com Watts para aprofundar esse tema questionando sobre a atuação de pequenas empresas e seus desafios em relação à cibersegurança, o uso de novas tecnologias nessa área como computação em nuvem e blockchain, e como as grandes corporações vão atuar com as diferentes regulamentações que estão previstas para esse segmento.

Veja o que ele respondeu:

Em relação à Lei Geral de Proteção de Dados do Brasil (LGPD), ela exige que todas as empresas, incluindo pequenas empresas, adotem ações de segurança para proteger os dados pessoais dos clientes. Você acredita que isso realmente tornará as pequenas empresas mais seguras na área cibernética? E qual o seu conselho sobre encorajar e apoiar as pequenas empresas a serem mais eficazes em seu objetivo de estar mais protegidas contra incidentes de segurança?

“Eu tenho uma pequena empresa e sei como é difícil fazer isso do zero. Por volta de 2015, trabalhei em uma companhia que estava começando a reconhecer que o elo mais fraco da cibersegurança eram as empresas menores que usavam seus serviços. Isso porque uma empresa pequena não tem a mão de obra ou o dinheiro necessário para criar uma arquitetura ideal para a área. Para isso, foram criado aulas e cursos para ensiná-los a se proteger, isso tanto para grandes quanto pequenas companhias, pois é preciso que ambas estejam protegidas.

Outra coisa que fizeram foi criar manuais que foram distribuídos gratuitamente. Isso é algo que tanto o governo dos EUA e outros países, quanto as grandes empresas têm feito para tentar ajudar as pequenas empresas, porque elas não estão competindo com as grandes corporações, mas sim usando seus serviços.”

Em relação à computação em nuvem, como você compara a segurança de dados e a confidencialidade de dados com nuvem com data centers privados também usados por empresas? E você vê a nuvem como uma forma eficiente de nos proteger contra ransomwares?

“Há cinco anos, eu teria ficado muito nervoso com a segurança na nuvem, mas acho que foi provado que eu estava errado. Na verdade, com o tempo, o que aprendemos é que os data centers podem ser bem protegidos, mas muitas vezes eles têm um custo enorme e a nuvem oferece todos os tipos de eficiência em termos de armazenamento de dados.

Hoje sabemos que a nuvem é atendida em termos de armazenamento, mas também nos serviços que podem ser usados para policiar, proteger e observar o que acontece com esses dados. Todos esses sistemas de cibersegurança implantados em um data center só podem ser dimensionados para o tamanho desse data center individual. Já na nuvem você não só pode dimensionar para um tamanho específico como também detectar agentes mal-intencionados e ameaças à cibersegurança de maneira mais rápida, ágil e frequente.

Estranhamente, o que aprendi nos últimos anos é que as soluções em escala são mais baratas em termos de armazenamento e proteção. Em relação às pequenas empresas, tema da questão anterior, a vantagem é que ela pode usar a nuvem de uma maneira mais econômica para obter a cibersegurança de que precisam, porque estão sendo colocadas em um sistema bem dimensionado.”

Segundo projeção da consultoria Gartner, 65% da população mundial terão seus dados pessoais protegidos por algum tipo de regulamentação de privacidade digital até 2023. Quais são os desafios para que as empresas possam atuar com essas diferentes regulamentações e leis voltadas para a gestão de dados e segurança da informação?

Sabemos que uma parte importante dos sistemas de segurança cibernética são as ferramentas de tecnologia para proteger os dados. Mas sempre há também um componente humano que pode estar sempre sujeito a falhas ou erros. Quanta ênfase devemos dar a cada uma dessas estratégias e o que seria mais difícil? E como resolver esse equilíbrio em termos de onde colocar mais ênfase?

“Por muito tempo focamos na tecnologia, e se continuarmos tornando nossos parâmetros mais fortes e resistentes às ameaças de cibersegurança, poderemos nos proteger de fato. Em cada incidente, o que descobrimos é que realmente depende das pessoas. Então, acho que fazer apenas o básico e focar na segurança humana, poderemos alcançar 80% de sua proteção máxima ao longo do tempo.

Mas é claro que sempre vamos precisar de tecnologia, e é aí que o armazenamento em nuvem pode oferecer muitas dessas tecnologias em escala. Quando cometemos erros, muitas vezes são agentes mal-intencionados que estão lá para atacar, e é nisso que precisamos focar. Com um pouco de prevenção e um pouco de treinamento, podemos tornar o sistema inteiro muito mais protegido.”

Você vê algum risco para a tecnologia blockchain, algo que é considerado muito seguro hoje em dia, decorrente do desenvolvimento das tecnologias de computação quântica?

“O blockchain é fantástico em todos os tipos de aplicações, de como atualizamos moedas ao rastreamento de registros ao longo do tempo. Trabalho com uma equipe e estamos explorando como podemos verificar a realidade de que um vídeo ou uma imagem é real usando blockchain.

A tendência é vermos cada vez mais aplicações e sempre que criamos uma proteção ou sistema melhor o que tende a acontecer é que as pessoas tentam contornar todos esses sistemas. O blockchain, no momento, tem todos os tipos de aplicações que são maravilhosas para levar tudo adiante e tornar mais seguro. Mas, em última análise, também teremos de continuar inovando, pois haverá algo além do blockchain.

Tudo o que pensávamos que não seria decodificado, decifrado e desencriptado acabou ocorrendo depois, e isso ocorre até com a cibersegurança. No começo eram senhas simples, passou para senhas mais longas, até que descobrimos que existe autenticação de dois fatores. Esse é um jeito de desenvolvermos outro sistema para criar redundância em termos de autenticação e teremos que fazer algo assim com o blockchain ao longo do tempo.”

Recentemente, a Garmin Connect sofreu um ataque de ransomware e teria pago para restabelecer seu sistema depois de alguns dias. Entretanto, não foi divulgado depois o que ocorreu com os responsáveis por esse crime. Teria o mundo digital criado o que chamamos de “crime perfeito”?

“Eu também uso relógio digital. E a biometria, os dados biológicos, os dados fisiológicos que estão nesse dispositivo me assustam por não saber para onde podem ir ou como podem ser usados. Ao sequestrar esses servidores, o que aconteceu com os dados? Como sei, após esse ataque, se não guardaram uma cópia das minhas informações após liberarem o acesso a meus dados? Isso é muito preocupante. Eu acho que em termos deste ransomware, o que será um problema para as pessoas e empresas é uma questão internacional com a qual os países precisam lidar.

Não podemos deixar cibercriminosos em diferentes partes do mundo mantendo empresas reféns em outra parte do mundo. Nós vimos isso acontecer nos Estados Unidos e isso está mudando o modo como pensamos sobre esse tipo de ataque. Temos conversado muito sobre o tema ciber-soberania, se o espaço de informação faz parte ou não do país em que está. Mas se um país não respeitar essa soberania, estará causando um impacto e afetando outra nação.

Não podemos ter um sistema como esse internacionalmente. Então, com o tempo, o que veremos é não só um policiamento maior, mas também uma dissuasão. E espero isso nos próximos um ou dois anos. Caso contrário, os países terão de criar operações cibernéticas ofensivas contra cibercriminosos em grande escala, ou até mesmo as empresas criando coletivos para se defender porque estarão cansadas de serem atingidas por ransomware, o que seria muito prejudicial para as instituições e a governança no mundo.”

Como podemos acompanhar, cibersegurança é um assunto que preocupa até mesmo uma das maiores autoridades no assunto, como é o caso de Clint Watts. Como ele mesmo comentou, por mais que haja avanços na proteção de dados e novas tecnologias para combater os crimes cibernéticos, sempre haverá alguém ou alguma organização para burlar e decifrar esse sistema. Nos resta fazer o dever de casa e manter a atenção em relação aos conteúdos que lidamos diariamente no mundo virtual para proteger nossos dados e informações.

*Publicitário e designer gráfico, Ricardo Natale foi diretor de marketing do Grupo Meio & Mensagem e diretor de criação da agência De Simoni. Em 2003, criou a Conectis Experience Marketing, a primeira agência de experience marketing do Brasil e realizou, até 2008, mais de 1200 eventos corporativos de experiências. Em 2006, cofundou e se tornou CEO do Experience Club, plataforma de networking corporativo com eventos de experiências e de conteúdo, com mais de 400 empresas associadas e 2300 executivos membros, em um calendário de 40 eventos por ano, entre eles o Fórum CEO Brasil, o encontro de CEOs mais importante do Brasil. Desde 2019, edita a plataforma digital do Experience Club.

Veja também

Mais Vistos