É impossível pensar em 2021 sem lembrar dos diversos ataques de ransomware, dos constantes vazamentos de dados e do COVID-19 (mas isso é outra história). E, claro, fechamos o ano com "chave de ouro", com o stress ao máximo graças a terrível vulnerabilidade do Log4J que assustou toda a comunidade de segurança em Dezembro.
Não foi um ano fácil para ninguém, convenhamos, com uma carga grande de stress nos profissionais de segurança, causado principalmente pelo ritmo intenso de trabalho, o grande risco de ciber ataques (ransomware em particular) e ao esgotamento após mais de um ano e meio trabalhando em casa, quarentenado.
Assim como nos últimos anos, não foi diferente: Mais um ano das tretas causadas pelos ransomwares, com ataques direcionados a grandes empresas, o que traz grandes impactos e resgates milionários. Com certeza, nada supera o ataque de ranwomware à Colonial Pipeline, em Março deste ano, que simplesmente interrompeu o abastecimento de gasolina em metade dos EUA. E, junto com o ataque a JBS que impactou o fornecimento de carnes no mercado americano, colocou o governo dos EUA no encalço dos grupos criminosos. O ataque a Kaseya em Julho também foi marcante, pois fez co que mais de mil empresas fossem afetadas e trouxe a discussão sobre ataques a cadeia de fornecedores.
Diversas empresas brasileiras também foram atacadas, como a JBS, a Cyrela, a CVC, o laboratório Fleury, a Renner (destaque pela rapidez em que recuperaram os sistemas) e a Atento (destaque pelo impacto e demora em reestabelecer seus sistemas e o atendimento). O REvil foi a família de ransomware mais atuante em 2021, responsável por 37% dos ataques - segundo a IBM. Não deixe de ver esse post: Ransomware no Brasil: Um panorama de 2021.
Aqui no Brasil, o PIX dominou o cenário das fraudes online. Não estou falando de vulnerabilidades no PIX. O problema aconteceu porque, principalmente, o PIX deu grande agilidade para a movimentação de fundos pelos criminosos, trazendo maior dificuldade em rastrear e bloquear o dinheiro roubado através de fraudes eletrônicas. Além disso, a agilidade no roubo através do PIX fomentou o aumento significativo de roubo de celulares (com objetivo de acessar o app bancário) e a volta do sequestro relâmpago.
Na "pandemia das fraudes" brasileira, os golpes do Whatsapp reinaram absolutos! Além disso, as fraudes foram impulsionadas pela retomada econômica nesse momento de possível fim da pandemia. A volta ao emprego e a necessidade de renegociar as dívidas acumuladas na pandemia causou uma maior demanda por renegociação de dívidas e busca pos empréstimos, que tem sido explorada em golpes.
Em 2021 tivemos também o início das sanções da LGPD (Lei Geral de Proteção de Dados Pessoais). Mas, como a Autoridade Nacional de Proteção de Dados (ANPD) ainda está em formação, as penalidades ainda não se concretizaram.
Este foi mais um ano em que uma parcela do mercado de trabalho esteve quarantenada em home office graças a pandemia do novo Coronavírus. Mas, graças a expectativa de redução da pandemia e que a vida estaria voltando a sua normalidade, nos últimos meses temos visto algumas empresas retornarem ao escritório - aderindo ao modelo hibrido ou retornando definitivamente ao modelo de trabalho antigo, 100% presencial.
A lição que esses dois anos de pandemia nos deixa é que sim, o regime de trabalho remoto é viável, e isso foi testado e comprovado na prática. As empresas continuaram operando mesmo quando precisaram mover toda a sua força de trabalho para o home office. É claro que a transição não foi fácil, e nunca é. Mas, graças ao stress adicional causado pelo isolamento social, a saúde mental dos funcionários nunca foi tão discutida e valorizada.
Tenho vários colegas que, graças ao trabalho remoto, saíram de São Paulo em busca de melhor qualidade de vida: mudaram para o interior ou voltaram para suas cidades de origem. Na minha opinião, a adoção do home office tem um potencial transformador no mercado de trabalho brasileiro, permitindo a contratação de profissionais qualificados fora dos grandes centros. No modelo tradicional de trabalho, a única opção dada as pessoas é que se mudem para as grandes cidades para terem acesso ao mercado de trabalho e melhor possibilidade de crescimento profissional.
Vamos torcer para que a maioria das empresas abrace o trabalho remoto!
Não podemos falar de mercado de trabalho sem citar o "apagão de talentos" na área de segurança. As empresas tem grande dificuldade em contratar e reter profisisonais devido ao mercado estar super aquecido, graças a grande falta de profissionais na área. Para piorar, há um receio de que começaremos a encarar uma debandada de profissionais de segurança devido ao grande stress que enfrentamso.
Na minha opinião, só existem 3 formas de combater a falta de talentos:
- Investir em automação, para que as pessoas sejam aproveitadas em atividades mais nobres;
- Formar novos profissionais, em vez de buscar profissionais prontos no mercado;
- Investir pesadamente na diversidade e equidade racial, atraindo, formando e contratando mais mulheres, pessoas negras e da comunidade LGBT+.
Para terminar, não podemos esquecer delas, das senhas. Estamos em 2021 e as pessoas ainda usam senhas triviais. E as empresas ainda não protegem suas bases de usuários e senhas. E, o pior de tudo é que a grande maioria dos problemas poderiam ser resolvidos se as empresas utilizassem duplo fator de autenticação!
(Adicionado em 04/01/22): Também é relevante lembrar e destacar a nova versão do OWASP Top 10 lançada em 2021, a 7a atualização desde que a lista foi criada, em 2003. Veja essa cobertura na The Hack.
Para saber mais
- CISA Alert (AA21-209A) Top Routinely Exploited Vulnerabilities
- 5 fatos sobre leis em 2020: LGPD, PL das fake news, open banking e mais
- Ransomware no Brasil: Um panorama de 2021
- Ransomware é confirmado como top ameaça de 2021
- The Worst Hacks of 2021 (WIRED)
- Cyber Security: 2021 Worst in Show
- Essas são as 10 piores falhas de segurança em hardware de 2021
- 2021 another record-breaker for vulnerability disclosure
- Top 10 cyber crime stories of 2021
- Nem todos somos “mestres” a gerir passwords, mas estes são os 10 piores exemplos de 2021
- Brasil sofre mais de 16,2 bilhões de tentativas de ataques cibernéticos na primeira metade de 2021 (Fortinet)
- Top 5 Takeaways from the 2021 Hacker-Powered Security Report: Industry Insights (HackerOne)
- Top 10 cyber security stories of 2021
- Top 10 crime, national security and law stories of 2021
- 10 of the biggest ransomware attacks in the second half of 2021
- The biggest data breaches, hacks of 2021
- As 10 principais histórias de crimes cibernéticos no mundo em 2021 (Computer Weekly)
- Software Vulnerabilities Increase by 20% in 2021 (HackerOne)
- Rasomware: 649 empresas de infraestrutura crítica foram atacadas nos EUA em 2021
- 2021 bate recorde com quase 10 milhões de ataques DDoS
- Valor médio de pedidos de resgate de ransomware aumentou 78%
- Relatório bem legal da Apura: 2021 O ano em resumo
- Relatório bem legal da Axur: relatório da Atividade Criminosa Online on Brasil
- E esse artigo da GAT: Dois Anos de Jornada em Cibersegurança
- Aqui no blog:
PS: Pequenas atualizações (novas referências) em 04, 06, 10, 11 e 18/01/22 e em 09 e 23/02. Atualizado em 28 e 30/03 para incluir uma nova referência.
PS/2 (atualizado em 09/02): Veja essa notícia e o infográfico compartilhados no portal Minuto da Segurança - Brasil sofreu mais de 88,5 bilhões de tentativas de ataques cibernéticos em 2021.
PS3 (adicionado em 17, 23 e 24/02/22): Vejam algumas estatísticas sobre fraudes e ciber ataques em 2021:
- Tentativas de fraude: mais 4 milhões em 2021, diz Serasa
- Três quintos dos ciberataques em 2021 não envolveram malware
- Números destacam elevado risco cibernético do Brasil
- Dia da Internet Segura: e-mails vazados são usados em mais de 500 mil transações em 2021
- IBM: REvil dominated ransomware activity in 2021
- Excelente relatório da AXUR: Atividade Criminosa Online no Brasil
- Identity Fraud Report 2022
- FBI: $6.9 billion lost through internet crimes in 2021
Nenhum comentário:
Postar um comentário