Todos os anos, os pesquisadores, cientistas e engenheiros da Forcepoint criam um conjunto de previsões para o ano seguinte, como nas mudanças no cenário de ameaças, as tendências na adoção de tecnologia, os próximos fatores regulatórios e de conformidade, e outras influências que podem afetar o ambiente de negócios atual.
Em novembro de 2018, a Forcepoint anunciou suas Previsões de Cibersegurança para 2019 e, agora nesta metade do ano, é um bom momento para revisar as questões-chave.
O tema predominante do relatório Previsões de Cibersegurança para 2019 foi a confiança. A confiança sustenta os relacionamentos; as relações entre empregadores e funcionários, entre empresas e clientes, negócios e investidores, e toda a cadeia de suprimentos.
Os ciberataques (sejam maliciosos ou acidentais) podem corroer a confiança e resultar em perda de receita, de valor de mercado, de reputação e de clientes, além de gerar pesadas multas regulamentares (estimativas mostram em torno de 100 multas relacionadas à GDPR e 60.000 relatórios de violações em toda a Europa).
Não é nenhuma surpresa que a Pesquisa Global sobre a Percepção de Riscos de 2019 do Fórum Econômico Mundial tenha listado os ciberataques no quadrante de alto impacto e alta probabilidade.
As previsões para 2019 refletiram a confiança que todos depositam em pessoas, processos e na tecnologia. O que se segue é um resumo dos principais problemas que marcaram 2019 até agora.
Previsão Forcepoint: “As classificações de confiança da segurança em toda a indústria surgirão à medida que as organizações buscam garantias de que parceiros e cadeias de suprimentos são confiáveis”
Como consumidores, estamos acostumados a verificar nossa pontuação de crédito, que as instituições financeiras utilizam para determinar se estamos aptos para utilizar cartões de crédito, realizar empréstimos e hipotecas. Isso permite que essas instituições gerenciem riscos e prevejam o resultado – neste caso, se vamos ou não pagar pelo empréstimo.
No domínio da cibersegurança, existem agora formas de adquirir classificações/pontuações de segurança derivadas de inúmeros fatores para indicar o quão segura uma organização está no momento e a probabilidade de que proteja seus dados com sucesso. Qualquer empresa veria sua pontuação impactada (negativamente) após uma violação.
Em 2019 observamos a adoção dessas classificações na esfera governamental. Em janeiro deste ano, o governo britânico classificou as medidas de cibersegurança dos conselhos do Reino Unido em uma escala RAG. Em outubro de 2018, a Câmara de Comércio dos EUA lançou a primeira avaliação nacional de cibersegurança, denominada “Assessment of Business Cibersecurity” (ABC). Ambos os sistemas visam identificar áreas de risco e melhorias potenciais.
Em maio de 2019, a Equifax viu sua perspectiva de crescimento rebaixada – foi a primeira vez que a perspectiva de uma empresa foi formalmente rebaixada devido a questões de cibersegurança. A confiança na postura de cibersegurança de uma organização continuará a influenciar de forma significativa o mercado de ações.
Para ajudar a aumentar a fé na confiança depositada nos provedores de nuvem, o Registry STAR da Cloud Security Alliance tornou-se uma fonte fundamental para a avaliação de seus provedores de nuvem.
A entrada da Forcepoint aparece aqui!
Previsão Forcepoint: “Os atacantes irão derrubar dispositivos de Internet das Coisas Industrial (IIoT) usando vulnerabilidades presentes na infraestrutura de nuvem e hardware.”
A previsão surgiu a partir de uma evolução de previsões anteriores: nas previsões para 2015, a Forcepoint citou ataques contra dispositivos conectados; nas previsões para 2018 foram citados os ataques na comunicação entre dispositivos; e para 2019, os ataques na infraestrutura de nuvem que sustenta os sistemas de IIoT.
Em março deste ano, senadores americanos apresentaram o “IoT Cybersecurity Improvement Act of 2019” ao Senado e à Câmara dos Deputados dos EUA.
O objetivo declarado do Ato é “utilizar o poder de compra do governo federal para incentivar o aumento da cibersegurança em dispositivos de Internet das Coisas e para outros fins”. Iniciativas como essa podem ajudar a promover a cibersegurança e incentivar os fabricantes a construir o foco em “security-by-design” para melhorar seus sistemas, independentemente de serem implementados em um ambiente de consumidor, industrial ou CI.
O projeto Top 10 for 2018 OWASP Internet of Things (IoT) foi lançado em dezembro de 2018, como uma atualização de sua lista de 2014. A OWASP fornece uma lista consolidada de riscos, ameaças e vulnerabilidades aplicáveis a desenvolvedores, empresas e consumidores.
Ela posicionou a questão “senhas fracas, adivinháveis ou padrões” como o principal problema que afeta os sistemas de IoT. Muitos dos problemas listados são aplicáveis ao espaço de ICS/IIoT, especialmente quando dispositivos existentes mal protegidos são introduzidos em ambientes de IIOT. O terceiro lugar na lista Top 10 relaciona-se mais estreitamente com nossa previsão, com os outros 9 itens destacando a facilidade de um atacante invadir estes sistemas.
O primeiro semestre de 2019 mostrou a variedade de vulnerabilidades nos sistemas em nuvem e o desejo do governo de melhorar a situação da IOT especificamente.
Previsão Forcepoint: “Os hackers vão quebrar os softwares de reconhecimento facial do usuário final e as organizações responderão com sistemas baseados em comportamento.”
O uso da biometria para autenticação não é novidade, mas agora está se popularizando em fabricantes de telefonia e bancos, entre outros. A previsão surgiu no início do uso da varredura dos recursos faciais, com o objetivo de evitar que atacantes acessem e passem direto pelos sistemas de autenticação, resultando no acesso a dados críticos.
Em 2019 as tecnologias de reconhecimento facial enfrentam grandes desafios relacionados à privacidade, com o maior exemplo em San Francisco, CA, EUA, proibindo o uso do reconhecimento facial em departamentos governamentais, além do caso britânico que desafia o uso da tecnologia por agentes da lei. No entanto, com a atenção (indesejada) recente em torno dos sistemas de reconhecimento de voz e bases de dados de inteligência biométrica nacional, continuaremos a observar a evolução nesta área. A previsão essencialmente coloca a questão: se os métodos de identificação e autenticação podem ser abusivos, o que podemos fazer?
Previsão Forcepoint: “Não existe IA real em cibersegurança, nem qualquer probabilidade de que se desenvolva em 2019.”
A previsão pode ter sido um pouco polêmica, mas decorre da compreensão em torno da adoção dos subcampos da IA no domínio da cibersegurança. A IA “Geral”, em seu sentido mais verdadeiro, ainda tem de ser desenvolvida dentro de qualquer indústria, mas a tecnologia de Machine Learning (ML) e os algoritmos suportados por especialistas humanos definitivamente já estão disponíveis. Consulte o Índice de IA de Stanford para entender melhor a adoção global dessas tecnologias.
As aquisições e IPOs de fornecedores de cibersegurança em 2019 que utilizam IA/ML demonstram o suporte aos métodos empregados, enquanto outras indústrias estão olhando com atenção para o impacto que a IA terá em seus setores; a FDA americana propôs um framework regulamentar para softwares baseados em IA utilizados em dispositivos médicos. Em outras indústrias, vemos falhas causadas pela IA usada na correção de bugs de software e o progresso na geração automatizada de imagens de corpo inteiro através da IA.
O Chefe do Forcepoint X-Labs, Raffael Marty, fez uma apresentação sobre o tema desta previsão na recente conferência Ai4Cybersecurity.
Previsões para 2020
Conforme o decorrer do ano, outras questões devem surgir.
A Forcepoint apresentará no final deste ano uma análise completa da precisão de suas previsões de cibersegurança para 2019. Na ocasião, também anunciará suas previsões de cibersegurança para 2020 para que todos saibam o que esperar nos próximos anos.