Nota: Este artigo faz parte (tardiamente) de uma série sobre o futuro do mercado de segurança. Para ler o primeiro artigo, clique aqui.
Sob o ponto de vista do empresariado, especializado ou não em segurança da informação, os incidentes de seguranca ja viraram ~rotina, "carne de vaca", e todo dia surgem notícias de empresas ou órgãos de governos que foram atacados, tiveram seus sites retirados do ar por ataques de negação de serviço ou tiveram dados de clientes roubados. E a imprensa é hábil em acusar os super-sofisticados "hackers", como se a capacidade de ataque deles fosse ilimitada e nada há o que possamos fazer contra isso.
Veja o caso do jornal The New York Times: no início deste ano o jornal divulgou que foi invadido por hackers chineses (leia-se: "super hakers, capazes de invadir qualquer empresa em qualquer lugar do mundo"), que tiveram total acesso ao jornal por pelo menos 4 meses. Os atacantes conseguiram instalar 45 malwares, que não foram detectados pelo antivírus utilizado pela empresa, da gigante Symantec.
Se nem a Symantec consegue proteger o The New York Times, quem irá nos proteger? Nem mesmo o Chapolim Colorado...
Como consequencia da complexidade dos ataques atuais e da incapacidade da indústria em defender as empresas e os usuários, os casos de invasão ficaram comuns e, consequentemente, ninguém mais considera isso um grande problema. O impacto para a imagem das empresas é minimo: basta alegar que sua empresa foi atacada por um malware super sofisticado ou por hackers chineses, que estará tudo bem. Salvo raras excessões, os clientes não se assustam mais e não trocariam de fornecedor por causa da empresa ter sofrido um ataque.
Se, nos primórdios da Internet, algumas empresas poderiam perder clientes ou até fechar por serem invadidas, hoje isto certamente não acontece mais. Na verdade, eu não conheço nenhum caso importante de empresa que fechou por causa de um cyber ataque, exceto pelo site brasileiro de piadas Humortadela. Há muitos anos atrás eu ouvi que a empresa americana CDNow teria falido por causa de um ataque, mas é mentira - o problema foi a administração e a concorrência mesmo.
Recentemente, tivemos alguns casos de empresas vergonhosamente atacadas e invadidas, mas que não sofreram grande impacto nos negócios depois dos ataques (isto é, tiveram prejuízo pontual por causa dos ataques, mas não perderam mercado): a Telefonica no Brasil e a Sony, em todo o mundo. Embora a ANATEL tenha proibido a Telefônica de vender o seu serviço de banda larga Speedy por causa da instabilidade de seus serviços (como consequência de ataques), a empresa continua vendendo Speedy como água. Embora a Sony tenha sofrido vários ataques em 2010, ninguém deixou de comprar o PlayStation.
Estes casos provam que, hoje em dia, o usuário dificilmente trocaria de empresa por causa de um ciber ataque (afinal, qualquer empresa spode ser atacada e derrubada hoje em dia), mas talvez por algum problema grave no serviço final ou falta de atendimento. Como eu disse, as notícias de ataques, roubos de dados e de sites fora do ar por causa de ataques DDoS são muito comuns, corriqueiros, e por isto os consumidores já se acostumaram.
Os ciber ataques fazem parte do dia a dia, já viraram rotina.
A indústria já está percebendo isto, por isso fica cada vez mais difícil justificar o investimento em segurança.