Stefan Wermuth/Reuters
Stefan Wermuth/Reuters

Os custos da imaturidade

Oferecer proteção contra hackers é negócio que vai de vento em popa; mercado já é estimado em US$ 75 bilhões

The Economist

18 de novembro de 2015 | 05h00

Entre a invasão de uma rede e o momento em que o ataque é identificado, transcorrem, em média, 205 dias. A estimativa, como acontece com a maioria das estatísticas propagandeadas pelo setor de cibersegurança – entre as quais, pode-se destacar a de que ocorrem mundialmente 90 milhões de ciberataques por ano, consumindo US$ 575 bilhões – é pouco mais que puro chute. Mas não há dúvida de que os ataques a computadores e redes estão em alta, que as empresas penam para lidar com o problema e que quem tem soluções para dar oferece seus préstimos a peso de ouro.

O castigo para as empresas que dão um passo em falso na área de cibersegurança é pesado. A falência da gigante de telecomunicações canadense Nortel foi parcialmente motivada pelo assalto de hackers a grande parte de sua propriedade intelectual. A varejista americana Target perdeu os dados dos cartões de crédito de 40 milhões de consumidores. Alguns deles entraram na Justiça. As ações da empresa despencaram e o CEO pediu demissão. A TalkTalk, uma das maiores operadoras de telefonia e internet da Grã-Bretanha, está em maus lençóis: um ataque no mês passado resultou no vazamento de informações sobre seus clientes, aparentemente armazenadas, sem qualquer proteção criptográfica, num computador que podia ser acessado por meio de um site aberto ao público.

Não surpreende, portanto, que o mercado de cibersegurança esteja com a corda toda. Segundo cálculos incluídos em relatório do Bank of America Merrill Lynch, atualmente o segmento movimenta US$ 75 bilhões ao ano – valor que deve chegar a US$ 170 bilhões em 2020. Além de a demanda estar aquecida, as barreiras de entrada são baixas. Qualquer um que saiba um pouco de “informatiquês” pode montar seu próprio negócio (também ajuda se a pessoa tiver feito carreira no Exército ou em agências de inteligência). Ao contrário do que acontece com atividades ligadas à engenharia ou à ciência, não há padrões de qualidade nem conselhos profissionais estabelecidos.

Serviços. A gama de produtos oferecidos é enorme. Entre os serviços disponíveis contam-se: “ameaça de inteligência” (descobrir quem está planejando um ataque à empresa e por qual motivo); “proteção na linha de frente” (evitar a presença de softwares maliciosos nos computadores e dispositivos móveis); “testes de penetração” (hackear os sistemas da empresa para revelar vulnerabilidades); “fortaleza de identidade” (garantir que só as pessoas certas tenham acesso à rede); “reação a acidentes” (lidar com ataques); e “detecção de anormalidade” (observar movimentos de dados aparentemente anômalos para identificar atividades hostis).

A qualidade varia muito. Os piores produtos às vezes parecem funcionar perfeitamente, mas não fazem nada contra ameaças reais. Os antivírus, por exemplo, são muito bons para identificar softwares mal-intencionados já conhecidos, mas não conseguem apanhar versões novas (sobretudo porque quem cria um malware faz ajustes em sua programação para ludibriar as defesas existentes). E protegem só contra um tipo de ataque. Outros produtos são tão bons na identificação de possíveis ameaças que acabam gerando uma profusão de alarmes falsos. Manter os sistemas de proteção atualizados é difícil quando identificam alguma vulnerabilidade. Os hackers não perdem tempo em vender ou compartilhar a informação.

766E3C01-53A8-483E-9B06-CCE0C7108013
A varejista americana Target perdeu os dados dos cartões de crédito de 40 milhões de consumidores
E0EAB005-9061-4B3D-86B9-AEB61693E313
Os prestadores de serviços de má qualidade são auxiliados pelo fato de que seus clientes, especialmente os que têm assento nos conselhos de administração, não costumam saber muito bem o que estão comprando. É difícil entender como os hackers agem e quais são os alvos de seus ataques. Poucos executivos de alto escalão têm conhecimento tecnológico para compreender projetos de criptografia e rede. Compartilhar dados sobre os ataques ajudaria a aumentar o nível de informação dos clientes corporativos, mas pode implicar em violação da privacidade dos consumidores, além de lançar luz sobre práticas que talvez cheirem a incompetência. (Nos Estados Unidos e na Europa, estão em tramitação projetos de lei que devem determinar com mais clareza o grau de transparência exigido quando uma empresa é vítima de um ciberataque.)

Serviços de cibersegurança são oferecidos por todo tipo de empresa, de companhias pequenas e especializadas a gigantes do setor de defesa, como a BAE Systems (que a TalkTalk contratou para solucionar a encrenca em que se meteu). As maiores têm tido dificuldade para manter funcionários. Como acontece nos segmentos de relações públicas e inteligência corporativa, quem entende do riscado consegue ganhar dinheiro por conta própria. Por outro lado, os fundos de capital de risco já não despejam investimentos no setor como faziam há um ano; mas a acelerada taxa de crescimento significa que ainda é fácil levantar capital. As grandes empresas continuam se beneficiando de sua reputação na hora de atrair clientes (ninguém é demitido por contratar a IBM), mas os mamíferos estão vencendo os dinossauros.

Treinamento. Soluções puramente técnicas também estão saindo de moda. Nem a melhor tecnologia funciona se as pessoas que a operam são descuidadas ou mal treinadas. Para obter acesso a seus alvos, os hackers em geral combinam artimanhas computacionais com um pouco de “engenharia social” (eufemismo para a aplicação de contos do vigário). Indivíduos que clicam em links ou abrem anexos de e-mails falsos são, de longe, a maior vulnerabilidade dos sistemas de segurança: não adianta reforçar a fechadura se quem está dentro de casa abre a porta para o primeiro que toca a campainha.

Da mesma forma, até os melhores produtos de cibersegurança são ineficazes contra funcionários que se dispõem a ajudar os invasores, movidos por propinas, chantagens ou outros tipos de pressão, ou mesmo porque nutrem ressentimentos contra seus patrões. Identificar esses funcionários requer estratégias que lembram as práticas das agências de inteligência. Treinar funcionários a agir com prudência, sem irritá-los com regras restritivas ou deixá-los com medo, é difícil. Naturalmente, não faltam consultorias que se prontificam a oferecer esse serviço.

Na área de cibersegurança as coisas ainda vão piorar, antes de começarem a melhorar. A “internet das coisas”, que envolve conectar todo tipo de eletrodoméstico à internet, apresenta novas oportunidades para os hackers. Muitas empresas carecem de uma compreensão adequada da ameaça que enfrentam. Com o tempo, vão se tornar mais criteriosas e frugais ao contratar serviços de cibersegurança. Por enquanto, porém, o setor faz a festa com a desgraça alheia.

© 2015 THE ECONOMIST NEWSPAPER LIMITED. DIREITOS RESERVADOS. TRADUZIDO POR ALEXANDRE HUBNER, PUBLICADO SOB LICENÇA. O TEXTO ORIGINAL EM INGLÊS ESTÁ EM WWW.ECONOMIST.COM

Notícias relacionadas
    Tudo o que sabemos sobre:
    theeconomist

    Encontrou algum erro? Entre em contato

    Tendências:

    O Estadão deixou de dar suporte ao Internet Explorer 9 ou anterior. Clique aqui e saiba mais.