[Segurança] Tendências para 2018

Fim de ano é tempo de pensarmos em o que aconteceu nesse ano e o que nos espera no futuro próximo.

Algumas tendências são óbvias e vão refletir naturalmente os acontecimentos dos últimos anos: crescimento do ciber crime e dos investimentos em segurança, constante risco de vazamento de dados e novos ataques em IoT, a plataforma da modinha. Nem mesmo as novas iniciativas de criar padrões de proteção para novas tecnologias em IoT serão capazes de frear a constante descoberta de vulnerabilidades nessa área.

Pensando em tendências que realmente vão fazer diferença em nosso mercado de segurança, eu acredito que algumas coisas vão balizar as principais tendências para o ano que vem:

• A indústria de segurança vai continuar investindo pesado em Machile Learning e em segurança para dispositivos IoT. É interessante notar que o assunto "machine learning" esteve presente em 3 dos 10 cursos mais populares do Coursera em 2017;
• Vai começar a ter um fortalecimento gradativo da segurança do e-commerce, com a adoção lenta e gradual do padrão 3DS 2.0, o que vai dificultar um pouco as compras fraudulentas com cartões de crédito roubados;
• Ainda do ponto de vista regulatório, as empresas europeias estão se preparando para a entrada em vigor do "General Data Protection Regulation" (GDPR) a partir de 25 de Maio de 2018. Esta é uma regulamentação importante sobre proteção de dados e privacidade, que vai influenciar as empresas européias e pode servir de inspiração para aumentar o debate sobre privacidade online e motivar que outros países criem leis semelhantes;
• Assim como ocorreu com a pobre coitada da Kaspersky em 2017, provavelmente veremos em 2018 vários governos oficialmente banindo o uso de tecnologias de segurança de outros países para instituições governamentais. Isso se deve principalmente a crescente sofisticação das capacidades de ciber espionagem de vários países;
• No Brasil, está começando a surgir a discussão sobre seguro contra ciber ataques, algo que já existe nos EUA há muitos anos;
• A notícia do grande vazamento de dados da Netshoes vai impactar o mercado nacional: as nossas empresas vão ficar cada vez mais preocupadas em esconder seus problemas de segurança do público e da mídia, já que não existe nenhuma obrigação legal delas notificarem esses incidentes. O caso da Mastercard é outro exemplo de que as empresas nacionais também podem sofrer vazamentos de dados. Enquanto isso, a população vai começar a perceber mais fortemente que seus dados online podem ser vazados, e a sociedade vai começar a cobrar mais controle e segurança sobre os cadastros online, a guarda e a responsabilidade sobre esses dados. Com isso, os projetos de lei referente a proteção de dados pessoais sofrerão maior pressão para serem aprovados;
• Ainda no Brasil, veremos muitos problemas e discussões sobre as notícias falsas disseminadas em redes sociais. Esse é um problema que já acontece muito hoje em dia, mas vai ficar muito pior para nós durante a campanha para as eleições presidenciais;
• A Rússia é um celeiro do ciber crime, ao mesmo tempo em que as autoridades russas tem fama de serem boazinhas com ciber crimonosos e ciber espiões que atacam os países capitalistas. Vai ser interessante ver o quanto o ciber crime russo vai se aproveitar do campeonato mundial e futebol da FIFA para praticar golpes online - ou não. Será que os russos vão manter os ciber criminosos sob controle, para evitar prejudicar a imagem da competição? #justasking

Infelizmente há várias previsões divulgada por fabricantes e pela imprensa que eu considero "furadas", por simplesmente repetir discurso de marketing e FUD do mercado, sem considerar alguma inovação ou mudança efetiva. Esses casos me lembram quando, nos anos 80 e 90, era comum irem futurólogos no programa do Fantástico fazer previsões triviais, como de que a inflação ia aumentar (sempre crescia!) e que algum famoso iria morrer no ano seguinte.

Por isso mesmo, eu quis destacar aqui no meu post as previsões que fogem da obviedade e que não representem fatos que já acontecem hoje em dia.

Algumas leituras interessantes:

• Cinco ameaças devem dominar o cenário de cibersegurança em 2018 - reportagem que cita 5 "tendências" que são coisas óbvias e sem nenhuma novidade com relação aos anos anteriores. Vale ler como exemplo de previsão furada, que não agrega nada;
• O pessoal da Cipher que me perdoe, mas das "Cinco previsões de cibersegurança para 2018" que eles apresentaram, 4 são óbvias e já acontecem hoje (ciber crime como serviço já existe há vários anos, vulnerabilidades em IoT já fazem parte do dia-a-dia, uso de SIEM já é arroz-com-feijão, preocupação com privacidade já acontece, mas pelo menos acertaram em mencionar a GDPR) e uma é, evidentemente, puxando sardinha para o lado deles (a necessidade de recorrer a terceirização de operações de segurança, em função da falta de mão de obra qualificada no mercado);
• O Gartner prevê que os investimentos globais em segurança vão aumentar 8% em 2018, atingindo a cifra de US$ 96 bilhões de dólares;
• Dez tendências tecnológicas estratégicas para 2018, segundo o Gartner - para refletir. 3 dessas tendências estão relacionadas a IoT e duas a IA;
• What’s in store for security in 2018?
• Top 5 cybersecurity facts, figures and statistics for 2017 - apesar do título, o artigo fala principalmente sobre estatísticas e tendências para os próximos anos;
• 8 IoT security trends to look out for in 2018.

Atualização (04/01/18): O artigo 10 Cybersecurity Trends: What to Expect in 2018 contém uma lista com 10 tendênias/previsões bem óbvias, mas que retratam muito bem o cenário atual. Vale uma lida bem rápida no artigo.

OBS: Post atualizado em 13/03/18 para incluir a charge sobre o que devemos focar neste ano.