Todos os anos nossos pesquisadores, cientistas e engenheiros criam um conjunto de previsões para o ano seguinte.  Prevemos mudanças no cenário de ameaças, tendências na adoção de tecnologia, próximos fatores regulatórios e de conformidade, e outras influências que podem afetar o ambiente de negócios atual.

Em novembro de 2018, anunciamos nossas Previsões de Cibersegurança para 2019 e, agora que estamos na metade do ano, é um bom momento para revisar as questões-chave.

O tema predominante do relatório Previsões de Cibersegurança para 2019 foi a confiança.  A confiança sustenta os relacionamentos; as relações entre empregadores e funcionários, entre empresas e clientes, negócios e investidores, e toda a cadeia de suprimentos.  Os ciberataques (sejam maliciosos ou acidentais) podem corroer a confiança e resultar em perda de receita, de valor de mercado, de reputação e de clientes, além de gerar pesadas multas regulamentares (estimativas mostram em torno de 100 multas relacionadas à GDPR e 60.000 relatórios de violações em toda a Europa).  Não é nenhuma surpresa que a Pesquisa Global sobre a Percepção de Riscos de 2019 do Fórum Econômico Mundial tenha listado os ciberataques no quadrante de alto impacto e alta probabilidade.

Nossas previsões para 2019 refletiram a confiança que depositamos em pessoas, processos e na tecnologia. O que se segue é um resumo dos principais problemas que marcaram 2019 até agora.

Nossa previsão: “As classificações de confiança da segurança em toda a indústria surgirão à medida que as organizações buscam garantias de que parceiros e cadeias de suprimentos são confiáveis”

Como consumidores, estamos acostumados a verificar nossa pontuação de crédito, que as instituições financeiras utilizam para determinar se estamos aptos para utilizar cartões de crédito, realizar empréstimos e hipotecas.  Isso permite que essas instituições gerenciem riscos e prevejam o resultado – neste caso, se vamos ou não pagar pelo empréstimo.  No domínio da cibersegurança, existem agora formas de adquirir classificações/pontuações de segurança derivadas de inúmeros fatores para indicar o quão segura uma organização está no momento e a probabilidade de que proteja seus dados com sucesso. Qualquer empresa veria sua pontuação impactada (negativamente) após uma violação.

Em 2019 vemos a adoção dessas classificações na esfera governamental.  Em janeiro deste ano, o governo britânico classificou as medidas de cibersegurança dos conselhos do Reino Unido em uma escala RAG.  Em outubro de 2018, a Câmara de Comércio dos EUA lançou a primeira avaliação nacional de cibersegurança, denominada “Assessment of Business Cibersecurity” (ABC).  Ambos os sistemas visam identificar áreas de risco e melhorias potenciais.

Em maio de 2019, a Equifax viu sua perspectiva de crescimento rebaixada – foi a primeira vez que a perspectiva de uma empresa foi formalmente rebaixada devido a questões de cibersegurança.  A confiança na postura de cibersegurança de uma organização continuará a influenciar de forma significativa o mercado de ações.

Para ajudar a aumentar a fé na confiança depositada nos provedores de nuvem, o Registry STAR da Cloud Security Alliance tornou-se uma fonte fundamental para a avaliação de seus provedores de nuvem.  A entrada da Forcepoint aparece aqui: https://cloudsecurityalliance.org/star/registry/forcepoint-llc/

Nossa previsão: “Os atacantes irão derrubar dispositivos de Internet das Coisas Industrial (IIoT) usando vulnerabilidades presentes na infraestrutura de nuvem e hardware.”

Nossa previsão surgiu a partir de uma evolução de nossas previsões anteriores.  Em nossas previsões para 2015, citamos ataques contra dispositivos conectados; nas previsões para 2018 citamos ataques na comunicação entre dispositivos; e para 2019 abordamos os ataques na infraestrutura de nuvem que sustenta os sistemas de IIoT.

Em março deste ano, senadores americanos apresentaram o “IoT Cybersecurity Improvement Act of 2019” ao Senado e à Câmara dos Deputados dos EUA.  O objetivo declarado do Ato é “utilizar o poder de compra do governo federal para incentivar o aumento da cibersegurança em dispositivos de Internet das Coisas e para outros fins”. Iniciativas como essa podem ajudar a promover a cibersegurança e incentivar os fabricantes a construir o foco em “security-by-design” para melhorar seus sistemas, independentemente de serem implementados em um ambiente de consumidor, industrial ou CI.

O projeto Top 10 for 2018 OWASP Internet of Things (IoT) foi lançado em dezembro de 2018, como uma atualização de sua lista de 2014.  A OWASP fornece uma lista consolidada de riscos, ameaças e vulnerabilidades aplicáveis a desenvolvedores, empresas e consumidores.  Ela posicionou a questão “senhas fracas, adivinháveis ou padrões” como o principal problema que afeta os sistemas de IoT.  Muitos dos problemas listados são aplicáveis ao espaço de ICS/IIoT, especialmente quando dispositivos existentes mal protegidos são introduzidos em ambientes de IIOT.  O terceiro lugar na lista Top 10 relaciona-se mais estreitamente com nossa previsão, com os outros 9 itens destacando a facilidade de um atacante invadir estes sistemas.

O primeiro semestre de 2019 mostrou a variedade de vulnerabilidades nos sistemas em nuvem e o desejo do governo de melhorar a situação da IOT especificamente.

Nossa previsão: “Os hackers vão quebrar os softwares de reconhecimento facial do usuário final e as organizações responderão com sistemas baseados em comportamento.”

 

O uso da biometria para autenticação não é novidade, mas agora está se popularizando em fabricantes de telefonia e bancos, entre outros.  Nossa previsão surgiu no início do uso da varredura dos recursos faciais, com o objetivo de evitar que atacantes acessem e passem direto pelos sistemas de autenticação, resultando no acesso a dados críticos.

Em 2019 as tecnologias de reconhecimento facial enfrentam grandes desafios relacionados à privacidade, com o maior exemplo em San Francisco, CA, EUA, proibindo o uso do reconhecimento facial em departamentos governamentais, além do caso britânico que desafia o  uso da tecnologia por agentes da lei.  No entanto, com a atenção (indesejada) recente em torno dos sistemas de reconhecimento de voz e bases de dados de inteligência biométrica nacional, continuaremos a observar a evolução nesta área.  Nossa previsão essencialmente coloca a questão: se os métodos de identificação e autenticação podem ser abusivos, o que nós podemos fazer?

Nossa previsão: “Não existe IA real em cibersegurança, nem qualquer probabilidade de que se desenvolva em 2019.”

Nossa previsão pode ter sido um pouco polêmica, mas decorre da nossa compreensão em torno da adoção dos subcampos da IA no domínio da cibersegurança.  A IA “Geral”, em seu sentido mais verdadeiro, ainda tem de ser desenvolvida dentro de qualquer indústria, mas a tecnologia de Machine Learning (ML) e os algoritmos suportados por especialistas humanos definitivamente já estão disponíveis. Consulte o Índice de IA de Stanford para entender melhor a adoção global dessas tecnologias.

As aquisições e IPOs de fornecedores de cibersegurança em 2019 que utilizam IA/ML demonstram o suporte aos métodos empregados, enquanto outras indústrias estão olhando com atenção para o impacto que a IA terá em seus setores; a FDA americana propôs um framework regulamentar para softwares baseados em IA utilizados em dispositivos médicos.  Em outras indústrias, vemos falhas causadas pela IA usada na correção de bugs de software e o progresso na geração automatizada de imagens de corpo inteiro através da IA.

O Chefe do Forcepoint X-Labs, Raffael Marty, fez uma apresentação sobre o tema desta previsão na recente conferência Ai4Cybersecurity.  Você concorda com seu ponto de vista?

Previsões para 2020

Conforme o decorrer do ano, outras questões devem surgir.  Apresentaremos no final deste ano uma análise completa da precisão de nossas previsões de cibersegurança para 2019.  Na ocasião, também anunciaremos nossas previsões de cibersegurança para 2020 para que você saiba o que esperar nos próximos anos. Já estamos pensando nelas.

Sobre a Forcepoint

A Forcepoint é uma empresa global de cibersegurança centrada no ser humano, que transforma as companhias digitais ao adaptar continuamente a resposta de segurança ao risco dinâmico representado por usuários individuais e máquinas. As soluções Forcepoint oferecem proteção adaptável aos riscos para garantir de forma contínua o uso confiável de dados e sistemas. Sediada em Austin, Texas, a Forcepoint protege usuários e dados de milhares de clientes corporativos e governamentais em mais de 150 países. www.forcepoint.com

Junte-se à Forcepoint nas redes sociais

LinkedIn: https://www.linkedin.com/company/forcepoint

Twitter: https://www.twitter.com/forcepointsec

Facebook: https://www.facebook.com/ForcepointLLC/ 

Instagram: https://www.instagram.com/forcepoint 

 

 

LEAVE A REPLY

Please enter your comment!
Please enter your name here