Na última semana de junho tive o privilégio de palestrar no Summit Cidades 2023, um mega evento sobre cidades ocorrido em Florianópolis do dia 26 ao 28, cujo objetivo foi capacitar seus participantes e potencializar o desenvolvimento dos municípios catarinenses.
As edições deste evento sempre se destacam pela riqueza de conteúdos, trazendo, num ambiente único, entidades importantes do setor público, profissionais de referência em suas áreas e mentes brilhantes da academia, contando com feira de negócios, salas de reunião e coworking, apresentações de cases, workshops, treinamentos e palcos interativos sobre diversos assuntos, como inovação social, mobilidade urbana, segurança pública, educação, planejamento, sustentabilidade, comunicação política, novas legislações,etc.
Foi com muita honra que recebi o convite, devido a experiência adquirida na investigação de cibercrimes, na Polícia Civil de Santa Catarina, para falar sobre a relação deste fenômeno com a economia das cidades, no palco Fepese Experience, da Fundação de Estudos e Pesquisas Socioeconômicos, referência nacional em pesquisas e inovações tecnológicas.
Não sou especialista em economia, mas a atividade especializada de investigação criminal de incidentes de cibersegurança proporciona uma perspectiva muito particular dos efeitos destes episódios nas vidas de indivíduos e empresas, que traz, sem dúvidas, consequências para a economia das cidades. As entrevistas constantes com empresários e administradores de empresas vítimas de ataques cibernéticos também nos proporcionam uma carga preciosa de conhecimentos sobre as lições tiradas destes acontecimentos, como melhorias nas políticas de segurança da informação e aumento no nível de maturidade da cultura de segurança organizacional.
O tempo da apresentação no SUMMIT CIDADES foi muito curto, diante de tema tão complexo e tive que conter minha paixão pelos assuntos que gostaria de expor em muitos detalhes, diante da importância que têm para o público alvo. Mesmo imerso em vários casos reais e já tendo refletido inúmeras vezes sobre os prejuízos na sociedade trazidos pelos cibercriminosos, tomei certo tempo para ponderar como tratar o tema.
Boa parte das observações que vieram à mente e que poderiam ser feitas na palestra tomariam muito tempo e por isso resolvi, como prometi a quem assistiu à apresentação, condensá-las aqui, neste texto.
Primeiro, é necessário estabelecer no contexto o que é cibersegurança, que tornou-se um tema central nos dias de hoje, em um mundo cada vez mais conectado e dependente da tecnologia: a cibersegurança é o conjunto de medidas adotadas para garantir a segurança de sistemas, dispositivos, redes e dados, com o objetivo de prevenir e proteger contra ameaças cibernéticas. Essas ameaças podem variar desde ataques de hackers e roubo de dados até a disseminação de malware e cibercrimes impróprios, como o furto mediante fraude.
A economia de uma cidade engloba todo o sistema de produção, distribuição e consumo de bens e serviços, e está cada vez mais interligada com a tecnologia da informação. Empresas, órgãos governamentais e até mesmo indivíduos dependem cada vez mais de sistemas e dados digitais para realizar suas atividades diárias.
Dá pra perceber o papel fundamental que a cibersegurança desempenha, de relevância no contexto da economia das cidades, só com este dois parágrafos.
Imagine uma cidade onde as empresas estão constantemente expostas a ataques cibernéticos, sofrendo perdas financeiras e danos à sua reputação. Isso não apenas afeta diretamente essas organizações, mas também tem um impacto negativo na economia como um todo. A confiança dos consumidores é abalada, investimentos são retraídos e o crescimento econômico é comprometido.
Por outro lado, quando uma cidade investe em cibersegurança de forma estratégica, cria um ambiente propício para o desenvolvimento econômico. Empresas se sentem mais confiantes em operar nesta cidade, sabendo que seus ativos digitais estão protegidos. Além disso, a cibersegurança pode impulsionar a inovação e o desenvolvimento de novas soluções tecnológicas, aumentando a competitividade e atraindo investimentos externos.
Ao entendermos essa relação entre cibersegurança e economia das cidades, percebemos que a proteção dos ativos de tecnologia da informação é fundamental para garantir um ambiente seguro e propício ao desenvolvimento econômico.
Reflitamos sobre o aumento de cibercrimes:
Houve um crescimento vertiginoso na incidência de cibercrimes nos últimos anos, tanto os cibercrimes próprios quanto os impróprios. Durante a pandemia de COVID-19, houve um impulso ainda maior devido à inclusão digital forçada. Pessoas com pouca ou nenhuma intimidade com a tecnologia foram compelidas a aumentar o uso de dispositivos conectados, o que acabou criando um terreno fértil para criminosos tradicionais migrarem para o mundo digital.
Crimes que antes eram cometidos por outros meios, agora são cometidos preferencialmente por meio eletrônico, que traz um risco muito menor para os perpetradores, que ainda aproveitam a escalabilidade possível de um mesmo golpe, que agora pode atingir diversas vítimas, sem restrição geográfica. Estes são os cibercrimes impróprios, cujo aumento pode ser atribuído à falta de educação digital adequada, tornando as pessoas mais suscetíveis a ataques e fraudes online.
Por outro lado, os cibercrimes próprios, como invasões de dispositivos, comprometimento de e-mails, sequestro de dados (ransomware) e vazamentos de informações, também tiveram um crescimento significativo.
Durante e após a pandemia, muitas empresas se tornaram altamente dependentes de soluções de TI para sobreviver no mercado, o que as expôs a um maior risco de exploração de vulnerabilidades. Além disso, a mudança para o trabalho remoto aumentou a superfície de ataque, ampliando as oportunidades para os criminosos cibernéticos.
E é importante destacar que as estatísticas oficiais de incidentes cibernéticos muitas vezes não refletem a realidade. Acredita-se que exista uma cifra negra, ou seja, uma subnotificação desses casos. Muitas empresas não levam a sério as tentativas de ataques ou não notificam os incidentes bem-sucedidos. Essa falta de notificação dificulta a compreensão total da extensão dos danos causados pelos cibercrimes.
Meditemos sobre os riscos e consequências enfrentados por empresas e organizações no contexto da cibersegurança:
- Riscos financeiros: Ataques cibernéticos bem-sucedidos têm deixado várias empresas e órgãos públicos em uma posição vulnerável, resultando em perdas diretas e indiretas. As perdas diretas podem ocorrer quando há furto de valores, como o uso de engenharia social para enganar funcionários e realizar transações fraudulentas, ou por meio de extorsões, como o sequestro de dados (ransomware), que exige um resgate para a sua liberação.
- Paralisação das operações: Os ataques podem paralisar as operações de uma empresa, resultando em queda na produtividade e, consequentemente, em prejuízos financeiros. Quando sistemas e serviços que impactam sua atividade fim são comprometidos, as organizações podem enfrentar dificuldades em manter suas atividades normais, o que afeta a entrega de produtos ou serviços aos clientes.
- Danos à imagem e reputação: Além das perdas financeiras, falhas de cibersegurança podem causar danos significativos à imagem e reputação de uma empresa. A revelação de um vazamento de dados ou de uma violação de segurança pode abalar a confiança dos clientes e parceiros comerciais, resultando na perda de contratos, oportunidades de negócios e no comprometimento da posição de mercado da empresa.
- Multas e penalidades: Dependendo da natureza do ataque e das leis e regulamentações aplicáveis, as empresas podem enfrentar multas e penalidades significativas. Em setores altamente regulamentados, como o financeiro ou o de saúde, os padrões de segurança cibernética são particularmente rigorosos, e as organizações que não atendem a esses requisitos podem enfrentar sanções financeiras substanciais. Além disso, multas contratuais podem ser aplicadas quando do descumprimento de contratos devido à falhas de cibersegurança.
- Responsabilidade Civil: Em casos de violações de segurança cibernética, as empresas também podem ser responsabilizadas legalmente por danos causados a terceiros, como clientes ou fornecedores. Isso pode levar a processos por responsabilidade civil e a custos legais significativos, além de, outra vez, danos à reputação.
Mas nem tudo é má notícia quando pensamos sobre a relação entre o setor de cibersegurança e a economia das cidades. Há aspectos positivos também, como aumento da competitividade e atração de investimentos, que é uma consequência positiva para empresas e organizações que investem em cibersegurança. É ou não uma vantagem competitiva significativa, garantir a segurança de seus sistemas, redes e dados, demonstrando compromisso com a proteção das informações confidenciais de seus clientes e parceiros comerciais? Isso com certeza traz maior confiança e credibilidade, diferenciando-as no mercado e atraindo clientes em potencial.
Sobre isso leiam depois esta matéria: https://www.mastercard.com/news/latin-america/pt-br/mais-que-cartao/2023/solucoes-de-ciberseguranca-reforcam-confianca-do-consumidor-nas-empresas/
Se reforça a confiança dos consumidores, empresas que possuem medidas robustas de cibersegurança também podem ser vistas como menos arriscadas e mais atraentes para investimentos. Governos e agências de desenvolvimento também consideram a cibersegurança como um critério importante ao atrair investimentos para determinadas regiões. Ao promover um ambiente seguro para negócios digitais, as cidades podem se tornar destinos preferenciais para empresas e startups inovadoras.
Tomando como exemplo ações desenvolvidas em outros setores, o investimento em cibersegurança também pode impulsionar o desenvolvimento de centros de pesquisa e inovação nesse campo. O estabelecimento de parques tecnológicos e incubadoras voltados para a cibersegurança pode atrair talentos e empresas especializadas, gerando empregos qualificados e impulsionando a economia local. Esses centros também contribuem para a geração de conhecimento e inovação, alimentando um ciclo virtuoso do desenvolvimento econômico.
Veja o exemplo de Beersheva, no sul de Israel, cuja história conheci em um evento recente. Roni Zehavi, CEO da CyberSpark, uma das líderes do ecossistema de cibersegurança criado em Beersheva, falou numa entrevista para uma matéria sobre a cidade: “Começamos a nos preocupar com a cibersegurança quando ninguém fazia isso. Há 30 anos já a definíamos como a quarta fronteira a defender. Do mesmo modo que você precisa de pessoas para defender terra, mar e ar, também quer gente que defenda das ciberameaças. A única parte boa dos ciberataques vividos agora no mundo é que demonstram que tudo isto não é ficção científica”. Outro trecho da matéria: “O mercado da cibersegurança já movimenta mais de 225 bilhões de reais por ano em todo o mundo”.
Realmente, investir em centros de pesquisa e inovação gera um ciclo virtuoso, porque após estes últimos parágrafos, vem naturalmente à idéia que, como a demanda por serviços de cibersegurança está em constante crescimento, empresas especializadas nesse campo, que podem surgir a partir do investimento em centros de pesquisa e inovação, têm a oportunidade de oferecer serviços de consultoria, auditoria, resposta a incidentes, treinamento e muitos outros. E essa oferta de serviços especializados não apenas atenderia às necessidades das empresas locais, mas também poderia expandir seu alcance geograficamente, permitindo a captação de clientes em diferentes regiões ou países, como o caso de Beersheva, trazendo ainda mais riqueza para a sua região.
Em relação à melhorias no ambiente para aumentar a cibersegurança, sobre o que devemos nos atentar?
Uma abordagem proativa da cibersegurança é essencial para mitigar riscos, sempre lembrando que cibersegurança é o conjunto de medidas adequadas para proteger seus sistemas, redes e dados, incluindo a implementação de firewalls, sistemas de detecção de intrusão, criptografia e autenticação multifator, mas também, tão importante quanto, é fundamental investir na conscientização e treinamento dos funcionários, promovendo uma cultura de segurança cibernética em toda a organização. E no âmbito social, devemos buscar a consolidação do princípio de que educação de segurança digital seja uma constante, fazendo parte de todos os currículos.
A cibersegurança deve fazer parte do planejamento estratégico de qualquer negócio ou administração pública desde o início. Isso envolve a definição de metas, objetivos e políticas de segurança cibernética, bem como a previsão de recursos adequados. Ao integrar a cibersegurança em todas as fases do planejamento, é possível identificar e mitigar os riscos de maneira proativa, garantindo a proteção dos ativos de tecnologia da informação.
Outro tópico super interessante é o das parcerias público-privadas, diante dos desafios impostos pelo setor de cibersegurança. São essenciais para compartilhar informações, recursos e melhores práticas. Inclusive publiquei aqui um texto sobre isso. Governos e empresas podem trabalhar juntos para fortalecer a segurança cibernética em uma determinada cidade ou região, trocando conhecimentos, realizando exercícios de simulação de ataques e desenvolvendo protocolos de resposta conjuntos. Essas parcerias podem resultar em uma abordagem mais abrangente e eficaz para enfrentar os desafios da cibersegurança.
Para finalizar, não faz mal repisar: é fundamental notificar e compartilhar informações sobre incidentes cibernéticos. Isso possibilita a coleta de dados relevantes, análise de tendências e o desenvolvimento de estratégias de prevenção e resposta mais eficazes.