Durante a minha carreira, vivi por algum tempo no Japão. Com a ocorrência frequente de sismos, furacões, tsunamis e erupções vulcânicas, a incerteza fez do Japão um dos países do mundo com mais regras de conduta: por toda a parte, é possível encontrar indicações sobre como agir ou se comportar em situações de risco, o que denota uma cultura de preparação, prevenção e melhoria contínua. Também nós ganharíamos em ser mais japoneses e, no que toca à cibersegurança, apostar sobretudo na prevenção.
O mundo sempre foi muito agitado e recheado de acontecimentos impactantes, mas os últimos 25 anos estiveram entre os mais densos da nossa História. Essa sucessão de impactos tornou a incerteza um estado permanente. E também hoje, como no passado, podemos voltar a falar de uma ameaça global, que agora se materializa no risco cibernético. Deveríamos estar preparados para os riscos que um shutdown geral pode impor à ordem pública. Comecemos pela nossa casa: será que as empresas estão preparadas para as ciberameaças que já estão entre nós?
Se por um lado a cibersegurança se vai tornando uma prioridade, a sofisticação dos ataques cibernéticos é crescente e não dá tréguas. São cada vez mais e mais efetivos: no último ano, assistimos ao ataque de ransomware à Agência para a Modernização Administrativa (AMA) e ao ataque de malware à Autoridade Tributária e Aduaneira (AT), que divulgou mais de 15 mil credenciais de acesso dos contribuintes. As grandes empresas também lidam com a ameaça crescente dos ataques. Só no primeiro trimestre de 2024, a Microsoft foi alvo de 38 % do total de ataques de brand phishing, e a Google de 11 %. Há cerca de um ano, também a internacional Pepco perdeu 15,5 milhões de euros num ataque devastador de engenharia social.
Como não há bela sem senão, parece que a IA está por detrás deste crescimento fulgurante —quer nos números, quer no aperfeiçoamento das ameaças. O ataque à Pepco, por exemplo, resultou de uma convincente técnica de BEC (business e-mail compromise), na qual os cibercriminosos se fazem passar ou obtêm acesso a uma conta de e-mail de um executivo de topo da empresa, usando-se dessa autoridade para dar ordens internas a funcionários. O aumento dos e-mails maliciosos não parece ter fim. Esta tipologia continua a ser o ataque de phishing mais comum de todos, e cresceu 341 %.
Podemos esperar que o contributo da IA se reflita no surgimento de novas ameaças a enfrentar pelas empresas num futuro próximo. Além de ataques BEC melhorados, também é possível prever ataques às cadeias de fornecimento críticas e um crescimento dos ataques a dispositivos IoT. A falta de investimento em segurança e a ausência de planos de resposta a incidentes têm mostrado níveis de preparação muito baixo por parte das empresas para as ameaças cibernéticas. Apesar da ameaça latente, a falta de sistemas robustos, a pouca preparação dos colaboradores e a subestimação do risco é um convite aos criminosos.
Ao invés de esperarmos a chegada de ataques, existe algo que podemos fazer hoje mesmo: analisar cenários de risco e preparar as organizações para as ameaças que ainda não se materializaram, mas que podem chegar a qualquer momento. Tal como os japoneses, podemos apostar na análise e na antecipação do risco e evitar que o risco se transforme numa crise. É aqui que a cultura de prevenção japonesa ganha especial preponderância. A atenção ao detalhe, a antecipação de problemas e as simulações frequentes que servem aos japoneses para minimizar riscos com catástrofes naturais também podem ser adaptadas à cibersegurança empresarial.
A implementação de algumas práticas é fundamental para criar a mudança de mentalidade, que é essencial: prevenir, de forma ativa, em vez de reagir, de forma passiva. A formação contínua dos colaboradores em práticas seguras de cibersegurança e o treino, com a realização de testes de stress e simulações de ataques, são essenciais para desenhar planos de contingência (que devem estar atualizados) e para aprender a monitorizar as ameaças, adotando, de preferência, sistemas de deteção e monitorização em tempo real.
Aprender com a filosofia japonesa de prevenção é absolutamente essencial para enfrentar os novos desafios da cibersegurança e do mercado. A preparação e prevenção fazem toda a diferença na sobrevivência das empresas a realidades avassaladoras, e estão entre as maiores vantagens competitivas no futuro digital. Assim, inspirar-se na cultura japonesa é investir na prevenção, hoje, para evitar crises amanhã e garantir a longevidade e robustez de qualquer empresa.
Vasco Falcão,
Diretor-Geral da Konica Minolta Portugal e Espanha e Responsável Europeu de Intelligent Information Management
