Em uma entrevista concedida em abril deste ano ao conceituado programa 60 Minutes, da rede de TV americana CBS, o diretor do Federal Reserve, Jerome Powell, disse que o risco cibernético é o maior perigo atual à infraestrutura dos Estados Unidos. E para o ex-diretor do Conselho Nacional de Segurança (NSC, na sigla em inglês), essa é uma ameaça ainda pouco percebida pelas instituições do país.
Nos siga no Instagram, Telegram ou no Whatsapp e fique atualizado com as últimas notícias de nossas forças armadas e indústria da defesa.
Greg Rattray, ex-diretor do órgão vinculado à Casa Branca e também um antigo diretor de tecnologia do banco americano JP Morgan, evita fazer previsões apocalípticas. Entretanto, em uma entrevista ao jornal The New York Times, aponta que a preparação para um ataque generalizado a sistemas bancários ou Wall Street, por exemplo, deveria ser encarado com o mesmo nível de gravidade dos golpes recentes a empresas de setores ligados à infraestrutura nacional.
O especialista concorda com a visão geral de que há um alto grau de preparo, medidas de contenção e redundâncias nestas instituições, mas aponta o que considera ser um lapso comum de percepção — todas elas estão focadas no caráter individual, acreditando que precisam se preparar para um golpe direto. Esse aspecto de proteção é necessário, aponta Rattray, mas falta uma visão sistêmica dos riscos.
Segundo ele, o sistema financeiro americano seria plenamente capaz de aguentar se um grande banco, por exemplo, acabasse com seus sistemas fora do ar; se fossem dois, entretanto, poderia transformar um problema individual em uma interrupção de semanas, com impactos sobre o mercado de ações, o comércio, investimentos e demais setores, com potencial de paralisar a economia inteira. Caso tais golpes acontecessem em um fechamento de trimestre ou durante um grande IPO, por exemplo, o resultado seria ainda mais desesperador.
Cenários de catástrofe
Rattray compara os testes constantes de segurança ao treinamento de bombeiros ou paramédicos, mas no sentido oposto. Enquanto esses profissionais estão preparados para agirem em grande escala, bem como lidar com incidentes duradouros, os treinamentos digitais são focados naquilo que acontece no momento de um ataque, sem levar em conta a duração de um golpe desse tipo ou a profundidade de ação dos criminosos envolvidos.
Ações nessa escala gigantesca podem soar como algo saído de um filme e o ex-diretor do NSC até concorda com isso, apontando que os atacantes precisariam de um altíssimo nível de coordenação, recursos e sofisticação. São elementos que ainda não foram demonstrados como tal, devido à própria volatilidade dos criminosos, sempre focados no lucro mais rápido possível. Ele, entretanto, aponta o risco de uma ação de guerra cibernética, apoiada por um país rival e focada não nos ganhos, mas na disrupção.
Foi o que aconteceu, por exemplo, em 2011, quando agentes digitais ligados ao governo do Irã iniciaram um ataque de negação de serviço contra dezenas de bancos americanos, incluindo instituições como American Express, JPMorgan e Wells Fargo. O golpe durou semanas e deixou fora do ar sites, serviços e sistemas de acesso às contas bancárias, levando a um prejuízo de centenas de milhões de dólares.
Um estudo da Universidade de Columbia, nos Estados Unidos, usa as bases atuais para descrever como seria um golpe catastrófico dessa magnitude, focado em sistemas de hospedagem na nuvem que, também, sustentam as operações financeiras. Ao derrubar um sistema desse tipo ou contaminar seus servidores, os criminosos seriam capazes de se mover lateralmente na medida em que os bancos se comunicam entre si, entregando a diferentes instituições um malware capaz de sequestrar dados ou apagar registros de transações.
É o que Rattray aponta como o perigo maior: enquanto os bancos estão preocupados em proteger as próprias infraestruturas contra ataques vindos de fora, eles podem deixar de observar um comprometimento que venha por meio de uma rede que consideram confiável. Ele aponta salvaguardas governamentais como uma iniciativa chamada Sheltered Harbor, criada pela indústria financeira em 2015 e voltada à redundância de dados, com backups e criptografia constantes, bem como armazenamento offline.
Os prejuízos e a indisponibilidade, assim, seriam menores, mas os transtornos, gigantescos. E leve em conta, novamente, que um golpe desse tipo aconteça em uma data financeira importante para imaginar que, de um cenário de filme, essa ameaça pode se tornar bem real.
Escudos a postos
Os apontamentos são apoiados por outros especialistas do setor em termos de magnitude, mas existe, também, uma noção de que a indústria está, sim, preparada. A visão do diretor executivo do setor de cibersegurança do Departamento de Segurança Nacional, Eric Goldstein, acredita que bancos e outras instituições são resilientes o bastante para seguirem operando, mesmo que com capacidades reduzidas, durante um ataque em grande escala.
Já o professor Darrel Duffie, da Universidade de Stanford, aponta leis federais que obrigam todos os bancos e empresas do setor a terem liquidez garantida, com acesso a fundos que cubram todas as operações, pagamentos e demais movimentações em caso de interrupção repentina. Na visão dele, tais montantes também significam uma sustentação na ocorrência de um ataque, isso sem contar aportes de emergência que também estão previstos em leis, pelas mãos do Federal Reserve.
O maior risco, concordam os outros especialistas ouvidos pelo New York Times, é quanto à estabilidade do mercado em si, com investidores temerosos quanto à integridade dos sistemas. Por isso, além de uma estratégia de proteção digital, o Departamento de Segurança Nacional também trabalha ao lado das instituições em estratégias de comunicação que, em caso de incidentes, possam evitar más interpretações e escalar um problema que já seria ruim sozinho.
Fonte: The New York Times e CanalTech
