CEOs serão responsabilizados pelos incidentes de segurança. Gartner prevê que os incidentes aumentarão muito devido à falta de foco na segurança e de gastos na proteção de ativos.
Por volta de 2024, as consequências dos incidentes de segurança, sejam eles físicos ou cibernéticos, vão cair nas costas de 75% dos CEOS, calcula Katell Thielemann, vice-presidente de pesquisa do Gartner. Segundo comunicado publicado pela consultoria, relacionado ao relatório “Previsões para 2020: Programas de gerenciamento de segurança e risco”, a natureza dos sistemas ciberfísicos (CPSs) implica que os incidentes podem levar rapidamente danos físicos a pessoas, destruição de propriedade ou desastres ambientais. Pior ainda, os analistas do Gartner preveem que os incidentes aumentarão rapidamente nos próximos anos, devido à falta de foco na segurança e de gastos alinhados a esse tema.
O Gartner define CPSs como sistemas projetados para orquestrar sensoriamento, computação, controle, rede e análise para interagir com o mundo físico (incluindo humanos). Eles sustentam todos os esforços de TI conectada, tecnologia operacional (OT) e Internet das Coisas (IoT), onde as considerações de segurança abrangem os mundos cibernético e físico, como ativos intensivos, infraestrutura crítica e ambientes de saúde clínica informa a consultoria.
Segundo o CISO Advisor, com a evolução da OT, edifícios inteligentes, cidades inteligentes, carros conectados e veículos autônomos, os incidentes no mundo digital terão um efeito muito maior no mundo físico, pois agora existem riscos, ameaças e vulnerabilidades em um espectro ciberfísico bidirecional. No entanto, muitas empresas não estão cientes dos CPSs já implantados em suas organizações, seja devido a sistemas legados conectados a redes corporativas por equipes fora de TI ou por causa de novos esforços de automação e modernização voltados para os negócios.
O Gartner prevê que o impacto financeiro dos ataques CPS, resultando em vítimas fatais, chegará a mais de US $ 50 bilhões até 2023. Mesmo sem agregar o valor real de uma vida humana na equação, os custos para as organizações em termos de compensação, litígio, seguro, multas regulatórias e a perda de reputação será significativa. “Os líderes de tecnologia precisam ajudar os CEOs a compreender os riscos que os CPSs representam e a necessidade de dedicar foco e orçamento para protegê-los”, disse Thielemann. “Quanto mais CPSs conectados, maior a probabilidade de ocorrência de um incidente.”
Infraestrutura básica e industrial sob risco
Organizações em toda a linha também viram um número crescente de adversários visando e atacando sistemas de controle industrial (ICS) e redes de tecnologia operacional (OT). É uma tendência que está claramente continuando no novo ano.
Segundo o site Mission Secure E como a superfície de ataque continua a se expandir para infraestrutura crítica com proprietários e operadores adotando novas tecnologias para melhorar a eficiência operacional, espera-se que aumentem as vulnerabilidades e o direcionamento de sistemas ICS e redes OT.
Muitos grupos adversários também têm criado malware com foco em ICS e SCADA. O malware TRITON, designado o “malware mais assassino do mundo” pelo MIT Technology Review , ataca especificamente os sistemas instrumentados de segurança (safety instrumented systems – SIS). Um sistema instrumentado de segurança executa “ação automatizada para manter uma planta em um estado seguro, ou para colocá-la em um estado seguro, quando condições anormais estão presentes;” O SIS é a última linha de defesa em um processo industrial, muitas vezes evitando desastres catastróficos.
Os ataques do TRITON contra os sistemas de segurança foram um toque de clarim – indo além dos ataques iniciais às operações de produção para a terra dos danos físicos e potenciais calamidades de vida e segurança.
Em 5 de fevereiro deste ano, um criminoso tentou contaminar a estação de tratamento de água de uma cidade inteira nos Estados Unidos a partir da invasão de computadores do local. O incidente foi registrado na delegacia do condado de Pinella, que cuida da cidade de Oldsmar, na região da Flórida.
O invasor conseguiu acesso remoto aos computadores da Oldsmar’s Water Treatment Plant e tentou aumentar a quantidade de hidróxido de sódio na água — a substância é mais conhecida como soda cáustica, utilizada no equilíbrio do pH, mas também uma substância corrosiva em altas quantidades e contato direto com a pele.
De acordo com o relatório, um funcionário da estação percebeu que o cursor estava se movimentando sozinho ao longo do dia. Ele demorou para suspeitar de uma invasão, mas percebeu a tentativa de alteração na quantidade de substâncias químicas despejadas na água, cancelou a operação e alertou as autoridades antes que qualquer incidente fosse registrado.
Privacidade
Agrega-se ao risco CPs os riscos de vazamento de dados pessoais que podem trazer diversos prejuízos não só às empresas, que podem paga multa de até R$50 Milhões por vazamento, como também à pessoas que podem sofrer estelionato, sequestro ou outras perdas morais e de constrangimentos.
As perdas podem ser uma verdadeira cascata, pois os CPs e vazamentos dos mais diversos podem gerar acionamentos de seguro, onde, em um sinistro, a empresa pode recuperar os valores segurados mas tem uma perda de imagem que pode ser significativa e afetar as atividades por vários anos, as fraudes vão levar perdas financeiras aos bancos, as perdas e prejuízos por uma infraestrutura fora do ar ou comprometida pode levar a perdas empresarias e também a perdas pessoais devido as efeitos da falha observada.
Um vazamento de dados de proporções gigantescas listando mais de 223 milhões de CPFs com informações detalhadas de cidadãos brasileiros: nome, endereço, renda, imposto de renda, fotos, participantes do Bolsa Família, scores de crédito e muito mais – os dados foram compilados em agosto de 2019. O volume de números de CPF é maior do que o da população brasileira, pois foram incluídas na base informações de pessoas que já morreram. Além disso, mais de 40 milhões de números de CNPJ, com informações atrelados a eles, também foram disponibilizados. Tudo está à venda em fóruns na internet e sabe-se lá o uso que será dados pelos fraudadores.
Por outro lado sendo comprovado a origem do vazamento, que inicialmente credita-se à Serasa, a empresa pode chegar a pagar uma multa de até R$ 50 Milhões de Reais segundo o texto da LGPD.
Na ocorrência da invasão da Equifax, uma das maiores empresas de relatórios de crédito nos EUA, que sofreu uma grande violação de dados entre meados de maio e julho de 2017, que foi descoberto em 29 de julho de 2019, teve dados do roubados que incluíram nomes de consumidores, Social Security Number e datas de nascimento para 143 milhões de americanos e, em alguns casos, números da carteira de motorista e números de cartões de crédito de cerca de 209 mil cidadãos.
Em acordo judicial exigiu que a companhia pague pelo menos US$ 1,38 bilhão para atender as reclamações dos consumidores prejudicados. A companhia teve que gastar US$ 380,5 milhões em benefícios aos afetados pela violação, incluindo compensação monetária, monitoramento de crédito e ajuda na restauração das identidades e também obrigou a empresa disponibilizar mais de US$ 125 milhões em indenização em dinheiro.
Além disso, a companhia precisará pagar US$ 175 milhões em multas para acertar os honorários de advogados e US$ 100 milhões para resolver as pendências do Departamento de Proteção Financeira do Consumidor e da Federal Trade Commission (FTC). Ainda conforme a decisão acordada, a Equifax deverá investir US$ 1 bilhão nos próximos cinco anos para melhorar seu sistema de segurança de dados.
Conclusão
A responsabilidade fiduciárias dos administradores, quando comprovada a omissão ou negligência nos processos de proteção dos ambientes tecnológicos, embora admitamos que tem certa dificuldade de ocorrer, pode levar a prejuízos pessoais grandes aos executivos, principalmente aos de cunho estatutário. No entanto o prejuízo de carreira pode ser ainda maior quando seus nomes estão relacionados a grandes ocorrências.
No caso da Equifax a empresa anunciou a saída do CIO e do CSO como sendo “aposentadoria” ao invés de simplesmente dizer que foram demitidos após o vazamento de informações, em seguida a empresa desligou o presidente e executivo-chefe da Equifax, Richard F. Smith. Três executivos da Equifax, incluindo seu diretor financeiro, John W. Gamble Jr., venderam US $ 1,8 milhão em ações da companhia nos dias após a descoberta da violação, mas antes de divulgada publicamente.
Em junho de 2019, Jun Ying, ex-diretor de informações da Equifax US Information Solutions, foi condenado a quatro meses de prisão federal e um ano de liberdade supervisionada por comércio de informações privilegiadas. Ying, que era o próximo na fila para ser o CIO global da Equifax, também foi condenado a pagar uma restituição de $ 117.117,61, bem como uma multa de $ 55.000. Ele foi condenado por essas acusações em 7 de março de 2019.
Após Ying, foi o segundo funcionário da Equifax a ser considerado culpado de negociação com informações privilegiadas relacionadas à violação de dados de 2017, após Sudhakar Reddy Bonthu, ex-gerente da Equifax, ter se confessado culpado em julho de 2018.
Segundo Thielemann “Reguladores e governos reagirão prontamente a um aumento de incidentes graves resultantes da falha em proteger os CPSs, aumentando drasticamente as regras e regulamentos que os regem”. “Nos EUA, o FBI, a NSA e a Agência de Segurança Cibernética e de Infraestrutura (CISA) já aumentaram a frequência e os detalhes fornecidos sobre ameaças a sistemas relacionados à infraestrutura crítica, a maioria dos quais de propriedade do setor privado. Em breve, os CEOs não serão capazes de alegar ignorância ou recuar nas apólices de seguro”, complementou.
Ref: CISOAdvisor