Numa tarde de sexta-feira no final de setembro, o Facebook anunciou que tinha sido alvo de uma grande violação de segurançaHackers se infiltraram na rede social, obtendo acesso a cerca de 50 milhões de contas pessoais, o pior ataque da história da empresa. Relatos posteriores especularam que o autor do ataque poderia ter sido uma potência estrangeira, gerando ainda mais preocupações sobre o estado da segurança cibernética nos Estados Unidos.
Nos últimos anos, a questão da segurança cibernética tem atraído atenção significativa no debate nacional. Ataques como os do Facebook, entre outros, têm levado os americanos a se preocuparem com a segurança de suas informações pessoais e se estão ou não suficientemente protegidos contra tais ameaças potenciais. Relatórios recentes têm mostrado um aumento significativo no número de ataques cibernéticos, muitos perpetrados contra grandes bancos e outras instituições com informações altamente sensíveis. O contraste com uma década atrás, quando os ataques cibernéticos eram muito menos prevalentes, é gritante.
A intenção do hacker
A questão do que motiva os hackers é complexa. Embora seja comum presumir que o crime cibernético seja alimentado pelo desejo de ganho financeiro, há muitos casos em que os motivos também têm bases sociais, ideológicas ou políticas. Um tipo de ativismo na internet, hacktivismo, opera com base em todos esses princípios. É quando hackers cometem crimes cibernéticos para promover alguma forma de mudança social, seja liberdade de expressão, liberdade de informação ou direitos humanos. Veja o caso do Anonymous, um grupo que publica informações confidenciais obtidas por meio de hacks sob o objetivo ideológico de transparência. Diante disso, pode-se argumentar que nem todo crime cibernético é necessariamente prejudicial. Como demonstram os precedentes, o hacking tem a capacidade de efetuar mudanças sociais. No início da Primavera Árabe, o Anonymous trabalhado para chamar a atenção da mídia para os protestos na Tunísia, restaurar o acesso a sites censurados pelo governo e escrever um código que permita que ativistas evitem a vigilância do governo.
Especialistas afirmam que os hackers se tornaram mais ousados devido às novas tecnologias que lhes permitem infiltrar sistemas com relativa facilidade. Esses desenvolvimentos, embora impressionantes e empolgantes do ponto de vista tecnológico, também representam uma ameaça significativa a muitos setores da economia dos EUA — energia, saúde e transporte, para citar alguns. Além disso, o ganho financeiro é quase garantido com o uso de ferramentas como negação de serviço distribuída ataques, que inundam as redes com tráfego descontrolado, impedindo o funcionamento do sistema. Um resgate é então exigido em troca do fim do ataque. Em uma era em que as redes digitais são essenciais para as operações normais, as empresas estão frequentemente mais do que dispostas a entregar o resgate se isso significar ter seus sistemas de volta.
O Estado da Cibersegurança
Infelizmente, os Estados Unidos são um epicentro desse tipo de atividade. Como afirma Ross Rustici, Diretor de Serviços de Inteligência da empresa de segurança cibernética Cybereason, disse em uma entrevista recente ao HPR: "Os Estados Unidos provavelmente estão entre os 25% melhores em termos de defesa, mas, na maior parte, isso é lamentavelmente inadequado." O ex-analista cibernético do Departamento de Defesa também acrescentou que, embora o governo dos EUA tenha feito um "bom esforço" para abordar a questão, falta-lhe "autoridade para impor mudanças", pois não há obrigações legais para que as empresas tenham altos padrões de segurança cibernética.
O consenso geral dos especialistas do setor é que nunca haverá 100% de proteção e que os hackers sempre conseguirão encontrar uma maneira de invadir os sistemas. À medida que novas defesas são construídas, surgem novas aberturas e pontos de vulnerabilidade esperando para serem explorados. Brian Park, cofundador da Sparklabs Cyber+Blockchain, uma aceleradora de startups cibernéticas sediada em Washington, D.C., comparou esse fenômeno a um jogo de "gato e rato" em uma entrevista ao HPR. Mesmo com os desenvolvedores inventando novas tecnologias de defesa cibernética, os invasores estão um passo à frente, já projetando maneiras de contornar esses novos obstáculos. No entanto, como apontado por Park, nem todas as defesas são completamente baseadas em cibersegurança. Os hackers também optam por tirar vantagem do ponto mais fraco de qualquer sistema de segurança: os humanos. Muitas empresas usam pessoas como sua primeira linha de defesa, seja um representante de atendimento ao cliente por telefone de um banco ou um segurança em um local de armazenamento de dados. Em muitos casos, os indivíduos podem ser facilmente enganados para conceder acesso, como visto no caso do popular Golpes do IRS, onde as pessoas são persuadidas a fornecer seu número de previdência social para evitar multas.
O ataque é a nova defesa
Diante dessas ameaças, muitos argumentam que as empresas e o governo precisam começar a perseguir esses hackers, atacando-os antes que eles nos ataquem. Em um comunicado de setembro de 2018 artigo de opinião para o Fórum RiponO senador Mike Rounds (RS.D.), presidente da Subcomissão de Segurança Cibernética das Forças Armadas, defendeu uma abordagem mais voltada para o ataque: “Já jogamos na defensiva por tempo suficiente quando se trata de segurança cibernética. É hora de partir para o ataque.” Embora o governo possa adotar essa estratégia, ela é ilegal para empresas, de acordo com a Lei de Fraude e Abuso de Computador de 1986. A lei, que foi aprovada durante a Administração Reagan, estava em resposta ao filme Jogos de Guerra, em que um estudante do ensino médio invade um supercomputador militar e quase inicia uma guerra nuclear com a União Soviética. O filme, embora fictício, foi suficiente para convencer o presidente Reagan e o governo americano de que empresas não eram confiáveis quando se tratava de hacking, especialmente na remota possibilidade de que isso pudesse levar a um conflito com um Estado estrangeiro.
O presidente Trump parece concordar com Rounds. Em agosto passado, ele emitiu uma diretiva — Memorando Presidencial de Segurança Nacional 13 — que concede ao Departamento de Defesa mais liberdade para lançar operações cibernéticas contra adversários dos Estados Unidos. A política, uma mudança drástica em relação à do governo Obama, tem sido criticada por sua imprudência, pois pode levar a uma escalada de conflitos cibernéticos e tensões diplomáticas no exterior.
A reação pública e privada
Em resposta à crescente ameaça de ataques cibernéticos, tanto o setor privado quanto o público têm dedicado mais atenção e recursos à questão. O setor de segurança cibernética, em particular, tem visto expansão rápida com taxas de crescimento projetadas de 10 a 12 por cento ao ano até 2021. Um relatório do Business Insider estimativas que mais de $655 mil milhões serão gastos em serviços de segurança até 2020. Além disso, pesquisa conduzida pelo Morgan Stanley mostra que o custo médio global do cibercrime aumentou 62 por cento entre 2013 e 2017. Apesar do aumento do investimento em tecnologia e serviços de segurança, o ascensão contínua do crime cibernético demonstra a necessidade de soluções mais eficientes e eficazes. Em sintonia com o setor privado, o governo começou a alocar mais recursos para mitigar ameaças cibernéticas. A administração Trump Proposta de orçamento de 2019 solicita $14,983 bilhões para financiamento total de segurança cibernética, acima dos $13,1 e $14,4 bilhões em 2017 e 2018, respectivamente. No entanto, muitos consideraram esse aumento orçamentário desconcertante, dada a posição do presidente. decisão de eliminar o papel do coordenador cibernético no Conselho de Segurança Nacional, a principal autoridade cibernética do governo dos EUA.
O Congresso também tomou medidas para melhorar as capacidades cibernéticas do país, com alguns legisladores a apelarem a uma legislação semelhante à Regulamento Geral de Proteção de Dados da União Europeia, promulgada em maio de 2018. O GDPR foi criado para proteger os dados pessoais de consumidores processados ou mantidos por empresas na União Europeia. Ele garante aos consumidores o direito de acessar seus dados, o direito de ter seus dados excluídos e o direito de retirar seus dados a qualquer momento. Além disso, também exige que as empresas tenham um diretor de proteção de dados, notifiquem os usuários sobre uma violação de segurança em até 72 horas e cumpram uma série de outras condições. Se uma empresa não cumprir qualquer um desses padrões, estará sujeita a uma multa de até 4% de seu faturamento anual global. Os defensores da lei argumentam que, dados os recentes ataques cibernéticos, a implementação de uma legislação como o GDPR nos Estados Unidos é necessária, pois dá aos consumidores mais acesso e capacidade de proteger seus dados, um aspecto importante da segurança cibernética. Em uma declaração enviada por e-mail ao HPR, Dimitri Sirota, CEO da BigID, uma empresa de segurança cibernética sediada na cidade de Nova York, descreveu o GDPR como uma "questão vencedora para todos os partidos políticos" e que "todos os aspectos da regulamentação beneficiariam os EUA". Dito isso, nem todos concordam. Alguns oponentes argumentaram que o custo desses requisitos representa um ônus desnecessário para as empresas.
Embora o futuro de legislações como o GDPR nos Estados Unidos seja incerto, o Congresso já implementou mudanças tangíveis para enfrentar ameaças cibernéticas. Em 3 de outubro, o Congresso aprovou a Lei da Agência de Segurança Cibernética e de Infraestrutura, que estabelecerá uma agência autônoma de segurança cibernética sob o Departamento de Segurança Interna. A política é significativa na medida em que essencialmente nomeia o DHS como a principal autoridade no enfrentamento de ameaças cibernéticas. Além disso, também centraliza grande parte dos recursos cibernéticos do governo em uma única entidade, uma melhoria muito necessária. Antes da lei, os Estados Unidos tinham grandes programas cibernéticos alocados em vários departamentos, uma situação que permitia falhas de comunicação, confusão sobre autoridade e ineficiências gerais. Embora este seja um passo na direção certa, também há preocupações quanto ao sucesso da agência. Muitos especialistas na indústria cibernética acreditam que uma quantidade significativa de financiamento e pessoal adicional ainda é necessária para lidar adequadamente com a ameaça de ataques cibernéticos, especialmente se esta agência for considerada a principal linha de defesa cibernética do país.
Planos e Propostas Adicionais
No futuro, fica claro que o governo dos EUA precisa fazer muito mais para proteger o país contra a evolução das formas de ataques cibernéticos. Nos últimos anos, o Congresso implementou muitas melhorias e finalmente começou a alocar mais recursos para lidar com essa ameaça. No entanto, mais financiamento e pesquisa são necessários. Uma opção para o futuro é aumentar a cooperação entre os setores público e privado, já que especialistas e analistas cibernéticos do setor possuem o conhecimento mais atualizado sobre as ameaças atuais e podem ser de grande benefício para os legisladores. Outra opção é a criação de um órgão semelhante ao do Presidente Obama. Comissão para o Reforço da Cibersegurança NacionalTal projeto permitiria ao governo e suas agências reavaliar o estado atual da segurança cibernética nos Estados Unidos, identificando as principais vulnerabilidades em nossa infraestrutura cibernética. Por fim, programas de educação pública sobre segurança cibernética também poderiam ser úteis.
Os Estados Unidos e suas empresas não estão totalmente cientes da ameaça que os ataques cibernéticos representam. As pessoas precisam estar mais bem informadas sobre as ameaças que enfrentam, como limitar a exposição e a quais recursos têm acesso em caso de um ataque cibernético. "Precisamos levar essa ameaça a sério e nos preparar para ela", disse o senador Bill Nelson (democrata da Flórida) em uma entrevista recente ao HPR. "O próximo ataque cibernético está chegando — não é uma questão de se, mas de quando."