/i.s3.glbimg.com/v1/AUTH_63b422c2caee4269b8b34177e8876b93/internal_photos/bs/2021/F/w/QYU3sWQEeuoSmhwYXwLA/hacker-5332676-1920.jpg)
No ano passado, o Brasil foi o sexto país com o maior número de ataques de "ransomware" – o sequestro de dados e sistemas corporativos por criminosos cibernéticos. Não à toa, a adoção de táticas de segurança ofensiva pelas empresas vem em um crescendo. Profissionais altamente especializados, que muitos ainda chamam de “hackers do bem”, testam a resiliência dos sistemas corporativos a ataques, possibilitando a identificação de fragilidades e apontando caminhos para mitigá-las.
Se, no começo do ano, um estudo do Business Continuity Institute com empresas de 79 países já havia atestado que 88% dos respondentes via ameaças de ataque cibernético com “preocupação extrema” ou “preocupação”, os riscos só fizeram aumentar, com a possível incorporação de ferramentas de inteligência artificial pelos criminosos.
Semanas atrás, o FBI alertou executivos, pesquisadores e engenheiros de empresas de tecnologia e startups trabalhando com IA para a ameaça crescente de roubo de propriedade intelectual ou dados subjacentes a chatbots. Do outro lado do Atlântico, a Agência de Cooperação Policial da União Europeia, Europol, também tem emitido alertas no mesmo sentido.
Vale lembrar que, no mês passado, foram descobertas na "dark web" -- a “internet sombria”, com sites ocultos que só podem ser acessados via navegador especializado -- ferramentas, WormGPT e FraudGPT. Elas teriam, aparentemente, potencial para dar início a uma era de "malware" baseado em assinatura. E se também já se fala ataques de "spear phishing" usando o ChatGPT, imaginem então o tamanho do estrago que esses novos "malwares" poderiam causar.
Neste momento de preocupação crescente com a gestão de riscos cibernéticos na gestão empresarial latu sensu, o trabalho dos profissionais de segurança ofensiva é crucial. São eles que viabilizam o amadurecimento e a integração de governança, processos, operações e a atuação humana para evitar que as empresas vivam dias de choro pelo proverbial leite derramado. Para tal, é preciso que acessos sejam fortalecidos, fragilidades eliminadas e, sobretudo, que sejam corrigidos processos e comportamentos antes que chegue o ataque inimigo.
E é preciso conhecer as armas e as táticas desses inimigos para aumentar a resiliência das empresas e, mesmo, dos governos. Foi o que se viu na 30ª edição da Def Con, que aconteceu este mês nos Estados Unidos, com o governo americano buscando na comunidade voltada à segurança da informação formas de manter seu ecossistema seguro. Feira tradicional no setor, na qual o foco mais comum sempre foi o de testar a resiliência de dispositivos, hackeando, por exemplo, carros, urnas e equipamentos médicos. Este ano, as atenções se voltaram à IA, para testar chatbots como o ChatGPT.
A intenção foi a de determinar não apenas problemas de segurança, mas também o nível de desinformação e preconceitos incorporados aos dados. As descobertas de falhas em sistemas generativos de inteligência artificial permitirão que tais ferramentas e soluções, cada vez mais populares nas empresas, tornem-se mais robusta e seguras, e com menos vieses. Afinal, expondo-se vulnerabilidades, fica mais fácil encontrar os caminhos para aumentar a segurança cibernética.
O fato é que, cada vez mais, vivemos uma guerra de "nós contra eles", na qual as empresas precisam adotar práticas eficazes de proteção para garantir a segurança não só de seus dados, mas de suas operações, seus clientes e funcionários -- a gestão de riscos cibernéticos é, mais e mais, fator crítico na pauta da gestão corporativa. A má notícia é que essa não é uma guerra de uma batalha só. É necessário um trabalho contínuo e dinâmico, sempre com foco naquilo que seja risco crítico para a perenidade do negócio.
