Julio Cesar Fort, Sócio e Diretor de Serviços Profissionais da Blaze Information Security |
Os dois últimos anos foram tumultuados para a indústria da cibersegurança. Segundo um relatório da Check Point Research, os ataques cibernéticos aumentaram 38% em 2022. Diante disso, indústrias que têm se automatizado cada vez mais por meio de soluções tecnológicas precisam também ficar atentas aos possíveis perigos que surgem com essas atualizações. Esse é o caso do setor automotivo e do setor marítimo.
De acordo com a consultoria Research and Markets, o mercado global de carros conectados deve alcançar US$ 166 bilhões até 2025, em comparação a US$ 53,9 bilhões em 2020. E o mercado de segurança cibernética automotiva acompanha esse crescimento, com um valor estimado de US$ 2,3 bilhões em 2025.
Sensores sem fio de pressão de pneus, pontos de acesso Wi-Fi e sistemas de telemática ou clusters de instrumentos que conectam informações de outros sistemas embarcados são apenas algumas das soluções tecnológicas que têm ganhado destaque no setor automobilístico, entretanto, a cada nova interface digital nesse ecossistema, o risco de um potencial ataque cibernético aumenta.
Como apontam os dados, as apostas são altas, pois existem inúmeros riscos, desde roubo de dados pessoais ou até mesmo acidentes via manipulação remota dos sistemas do carro. Ainda em 2015, os pesquisadores Charlie Miller e Chris Valasek demonstraram, por meio de um teste de invasão, que era possível tomar controle de um carro remotamente e acionar o acelerador, cortar o freio ou travar a direção.
No caso do setor marítimo, a situação vem ganhando complexidade desde o início da pandemia. Com a escassez de fornecimento global e interrupções no transporte, a rede de abastecimento passou de um sistema rápido, econômico e assertivo para um sistema cheio de atrasos, sobrecarregado, com rotas de transporte congestionadas e preços muito acima dos convencionais. Nesse momento, as preocupações com ciberataques, que estavam, desde aquela época, aumentando em todo o mundo, já preocupam os profissionais da indústria.
Segundo dados do Security Scorecard, relatório sobre a segurança do setor de transporte marítimo dos EUA, com o título “Medidas de Segurança Proativas para Transporte Marítimo Global”, publicado em 2021, os maiores riscos para o setor incluem vulnerabilidades na segurança de aplicativos, cadência de patch irregular e segurança de rede. As porcentagens de violação de dados para empresas de transporte de contêineres aumentaram de 2018 a 2021, indicando que a indústria pode ser um alvo cada vez mais atraente para cibercriminosos maliciosos.
Dentre as possíveis ameaças para o setor, uma que se destaca são os ataques de ransomware, como ficou ilustrado no famoso caso do NotPetya e os prejuízos causados à operação da Maersk, uma das maiores empresas de carga marítima do planeta. Recentemente, houveram ataques à norueguesa DNV, onde mais de 1000 embarcações foram afetadas, e ao Porto de Lisboa.
Os exemplos são inúmeros e, junto deles, os prejuízos também. Desde perdas financeiras significativas – o ataque à Maersk foi estimado em US$ 300 milhões -, até paralisação de operações e risco de graves acidentes, já que ambos os setores envolvem transporte e pessoas.
Nesse cenário, o primeiro passo é tomar consciência dos riscos relacionados aos ataques cibernéticos e sobre a necessidade de destinar investimentos à área de cibersegurança. Iniciativas como as da ENISA e de outros governos, além de compliance e regulamentações, serão chave para o avanço da cibersegurança para os setores automotivos e marítimos, e, por consequência, para a prevenção de ataques.
Portanto, proatividade e investimento em segurança digital no coração dos produtos, além de uma maior conscientização no setor como um todo, são fundamentais para não apenas garantir a proteção das empresas, como também do público. Outro fator essencial é ter um programa de segurança da informação holístico e robusto, que vá além da conformidade com normas, mas que veja a segurança como um fator primordial.
*Julio Cesar Fort é sócio e Diretor de Serviços Profissionais da Blaze Information Security, uma das principais empresas globais especializadas em segurança ofensiva com foco em pentest (teste de intrusão) e desenvolvimento seguro contra ataques cibernéticos. Especialista em cibersegurança com quase 20 anos de experiência, o executivo foi o responsável por agregar a equipe de segurança cibernética das Olimpíadas de Londres de 2012 e do banco de investimentos UBS.