Há 20 anos, isso talvez parecesse o roteiro de um thriller de qualidade duvidosa. Atualmente, é rotina. Em 7 de maio, criminosos cibernéticos paralisaram durante cinco dias o abastecimento do oleoduto que fornecia quase metade do petróleo da Costa Leste dos Estados Unidos. Para que o funcionamento voltasse ao normal, eles exigiram um resgate de US$ 4,3 milhões da Colonial Pipeline, a empresa proprietária. Dias depois, a maioria dos hospitais da Irlanda foi vítima de um ataque semelhante por um ransomware (uma espécie de vírus que bloqueia o sistema operacional do computador de alguém e é usado por hackers para cobrar resgates, geralmente em criptomoedas).
Esses ataques são provas de uma época de intensificação da insegurança cibernética que impacta a todos, de empresas de tecnologia a escolas e exércitos. Uma ameaça pode ser catastrófica: imagine o sistema de controle de tráfego aéreo ou uma usina nuclear falhando. Mas outras são mais difíceis de detectar, já que os crimes cibernéticos impedem o uso de dados digitais de muitas indústrias, dificultando uma revolução que promete elevar os padrões de vida em todo o mundo.
A primeira tentativa de ataque por ransomware foi feita em 1989, com um vírus que se espalhou por meio de disquetes. Os crimes cibernéticos estão se agravando à medida que mais dispositivos são conectados às redes e a geopolítica torna-se menos estável. O Ocidente está em desacordo com a Rússia e a China e várias autocracias dão abrigo a criminosos cibernéticos.
Trilhões de dólares estão em jogo. A maioria das pessoas tem uma vaga lembrança de desastres evitados por pouco: desde o ataque à Sony Pictures que assolou Hollywood, em 2014, até o sofrido pela Equifax, em 2017, quando os dados de 147 milhões de pessoas foram roubados. Os grandes ataques cibernéticos são ao mesmo tempo familiares e lembranças nada nítidas: lembra do vírus SoBig, da invasão à SolarWinds ou do ransomware WannaCry?
Um estudo da London Business School, prestes a ser publicado, captura as tendências analisando as observações feitas para investidores por 12 mil empresas listadas em 85 países ao longo de duas décadas. O risco cibernético mais do que quadruplicou desde 2002 e triplicou desde 2013. O padrão de atividade tem se tornado mais global e afetado uma gama maior de setores. Aqueles que passaram a se conectar de casa para trabalhar durante a pandemia, provavelmente, fizeram com que os riscos aumentassem. E o número de empresas afetadas atingiu um recorde.
Diante desse quadro, é natural se preocupar mais com as assombrosas crises causadas por ataques cibernéticos. Todos os países têm nós físicos (pontos conectados) vulneráveis, como oleodutos, usinas de energia e portos, cuja falha pode paralisar grande parte da atividade econômica. O setor financeiro é um foco crescente de crimes cibernéticos: atualmente, os ladrões de banco preferem laptops a balaclavas. As autoridades reguladoras começaram a se preocupar com a possibilidade de um ataque causar o colapso de um banco.
Mas, ao mesmo tempo que o custo da ameaça às novas tecnologias aumenta, a confiança nelas diminui. Os computadores estão sendo interconectados a objetos do nosso dia a dia, como carros, casas e fábricas, criando uma “internet das coisas” industrial. As percepções colhidas em oceanos de dados prometem revolucionar a assistência médica. Em teoria, tudo isso aumentará a produtividade e salvará vidas nos próximos anos. Entretanto, quanto mais o mundo digital é atormentado pela insegurança, mais as pessoas se esquivam dele e mais conquistas potenciais serão perdidas. Imagine ficar sabendo de um ransomware que bloqueou o carro conectado de alguém e exibiu a mensagem: “Pague US$ 5 mil ou as portas ficarão trancadas”.
Lidar com a insegurança cibernética é difícil porque isso confunde as fronteiras entre o Estado e os atores privados e entre a geopolítica e o crime. As vítimas de ataques cibernéticos incluem empresas e órgãos públicos. Os perpetradores incluem Estados realizando espionagem e testando sua capacidade de infligir danos em uma guerra, mas também gangues criminosas na Rússia, no Irã e na China, cuja presença é tolerada porque elas causam problemas ao Ocidente.
Uma nuvem de sigilo e vergonha em torno dos ataques cibernéticos aumenta as dificuldades. As empresas não costumam divulgá-los. Os incentivos habituais para que elas e suas contrapartes mitiguem os riscos não funcionam bem. Muitas empresas negligenciam o básico, como a autenticação em dois fatores. A Colonial Pipeline não tinha tomado nem mesmo precauções simples. E a indústria da segurança cibernética tem muitas pessoas desonestas que enganam os clientes. Muito do que é vendido é pouco melhor do que “amuletos mágicos medievais”, nas palavras de uma autoridade de segurança cibernética.
Tudo isso significa que os mercados financeiros têm dificuldade em definir o preço do risco cibernético e a penalidade paga por empresas mal protegidas é muito pequena. O estudo da London Business School, por exemplo, conclui que o risco cibernético é contagioso e está começando a ser contabilizado nos preços das ações. Mas os dados são tão difíceis de entender que é improvável que o efeito reflita o risco real.
Ajustar os incentivos do setor privado é o primeiro passo. Autoridades nos EUA, no Reino Unido e na França querem proibir a cobertura de seguro para pagamentos de resgate, alegando que isso incentiva novos ataques. Melhor exigir que as empresas divulguem publicamente os ataques e os potenciais custos deles. Nos EUA, por exemplo, os requisitos são vagos e envolvem grandes intervalos de tempo.
Com uma divulgação dos ataques mais precisa e uniforme, os investidores, as seguradoras e os fornecedores poderiam identificar melhor as empresas que estão investindo de modo insuficiente em segurança. Diante dos prêmios de seguro mais altos, do preço das ações caindo e do risco de litígio, os gestores talvez se esforçassem mais. Os fabricantes teriam mais motivos para estabelecer e obedecer a padrões de produtos para engenhocas que ajudam a deter a onda de dispositivos interconectados digitalmente inseguros.
Os governos devem policiar a fronteira entre o sistema financeiro convencional e o misterioso mundo das finanças digitais. Os resgates costumam ser pagos em criptomoedas. Deveria ser mais difícil transferir esse tipo de dinheiro para contas bancárias comuns sem a comprovação de que ele é de uma fonte legal. Assim como negociar criptomoedas por outros ativos deveria enfrentar as mesmas obrigações das instituições financeiras respeitadas.
A insegurança cibernética também é uma questão de geopolítica. Na guerra convencional e nos crimes transnacionais, existem normas de comportamento que ajudam a controlar os riscos. No domínio cibernético, reinam a novidade e a confusão. Um ataque cibernético de criminosos tolerado por um adversário estrangeiro justifica uma retaliação? Quando uma invasão virtual requer uma resposta do mundo real?
Um ponto de partida é as sociedades liberais trabalharem juntas para deter os ataques. Nas recentes cúpulas do G-7 e da Organização do Tratado do Atlântico Norte (Otan), os países ocidentais prometeram fazer isso. Mas confrontar Estados como China e Rússia também é crucial. Obviamente, eles não vão parar de espionar os países do Ocidente, que também fazem a própria espionagem. Mas uma terceira reunião, entre os presidentes Joe Biden e Vladimir Putin, deu início a um difícil diálogo sobre o crime cibernético.
