O crime cibernético custa anualmente US$ 10,5 trilhões à economia global. Se fosse um país, já seria a terceira maior economia do mundo, atrás apenas dos EUA e da China. Nesse momento, diz Georgia Barbosa, gerente-executiva do CISSA, o Centro de Competência Embrapii em Segurança Cibernética, operado pelo CESAR, é preciso entender que cibersegurança deixou de ser um problema técnico para se tornar um risco estrutural de negócios, impactando áreas reputacionais, regulatórias e a continuidade das operações de empresas e de infraestruturas críticas no mundo todo.
O cenário compõe o que especialistas chamam de “A Tempestade Perfeita”: uma convergência sem precedentes de avanço tecnológico acelerado, escassez de 5 milhões de profissionais qualificados e uma nova ordem geopolítica onde a infraestrutura crítica de nações inteiras está na linha de frente. O enfrentamento desse cenário, em um modelo de security by design, exige tornar a cibersegurança prioridade de negócios e de soberania nacional, e promover a integração entre pesquisa acadêmica e mercado.
Esse é um resumo da live com Georgia Barbosa e Fábio Maia, Líder de Engenharia de Sistemas no CESAR e Coordenador Técnico do CISSA, mediada pela publisher da The Shift, Silvia Bassi, que você pode assistir completa aqui.
A “Tempestade Perfeita” e a evolução tecnológica
Segundo Fábio Maia, a facilidade e a conectividade do mundo digital trouxeram um lado negativo: a mesma velocidade que permite transações legítimas dificulta a reação a ataques ilegítimos.
Mas como viemos parar no meio da tempestade? Por uma combinação de elementos, diz o pesquisador, e uma aceleração simultânea em diversas frentes tecnológicas:
- Segurança como Pensamento Tardio: a cibersegurança não foi uma prioridade no início da internet, sendo colocada apenas como uma camada posterior (“puxadinho”), em vez de ser integrada desde o design. A proteção foi “colocada por cima” de sistemas já rodando, o que cria vulnerabilidades estruturais.
- Inteligência Artificial: Amplifica a capacidade e a escala dos ataques.
- Internet das Coisas (IoT): Introduz computação e controle no ambiente físico, expandindo a superfície de ataque para energia, água e gás.
- Computação Quântica: Embora pareça distante, está em um ponto de inflexão que ameaça quebrar os algoritmos de criptografia atuais.
Além do Básico: Pilares de Pesquisa e Inovação
Para enfrentar esses riscos, o CISSA estrutura sua atuação em pilares que unem a fronteira do conhecimento acadêmico às dores reais do mercado. Georgia Barbosa enfatiza que a missão do CISSA é preparar as empresas não apenas para o agora, mas para os desafios de amanhã.
Áreas Críticas de Investigação:
- Cyber Threat Intelligence (CTI): Uso de IA e Machine Learning para prever e identificar ataques antes ou enquanto ocorrem, monitorando desde a Dark Web até anomalias de comportamento interno.
- Criptografia Pós-Quântica: Desenvolvimento de algoritmos resistentes a computadores quânticos, com foco em otimizar o “footprint” tecnológico para que essas proteções rodem em dispositivos industriais de baixo poder de processamento.
- Gestão de Identidade e Acesso (IAM) para Agentes de IA: Um novo campo de estudo sobre como delegar permissões seguras para agentes autônomos de IA, que possuem a imprevisibilidade de humanos e a velocidade de máquinas.
- Fatores Humanos (AEC): Investigação de aspectos legais, éticos e comportamentais para criar interfaces que conduzam o usuário a comportamentos seguros, combatendo a engenharia social.
Cibersegurança como estratégia de negócio
Um dos principais pontos da conversa foi a constatação de que as lideranças corporativas ainda falham em perceber a cibersegurança como um risco de continuidade de negócio e reputação. “A pergunta que as organizações precisam fazer não é ‘quanto eu preciso gastar’, mas ‘qual é a minha aversão ao risco’ e se elas conhecem o risco que pode afetar sua organização”, diz Georgia.
A preparação leva tempo; por isso, é preciso agir agora. Empresas que esperarem a computação quântica se tornar onipresente para agir estarão atrasadas. Existe o conceito de “roube agora, quebre depois”, onde dados criptografados hoje são coletados por criminosos para serem decifrados no futuro.
O dever de casa: lições de resiliência
Gastar fortunas em ferramentas de prateleira não garante proteção se não houver estratégia. A governança é o que diferencia um incidente de uma crise fatal. “Segurança não é um produto… você não entra na Amazon e compra 2 kg de segurança. Segurança é um processo contínuo”, lembra Fábio Maia. Para empresas que desejam sobreviver à “Tempestade Perfeita”, Fábio e Georgia sugerem três ações imediatas:
- Higiene de Segurança: A maioria dos ataques não usa vulnerabilidades sofisticadas (zero-days), mas sim explora falhas para as quais já existem correções (pós-patch) que não foram aplicadas.
- Modelo de Ameaça: Entender quem é o adversário potencial e quais são os ativos mais valiosos. Uma pequena loja e uma estatal de energia possuem perfis de risco e adversários completamente distintos.
- Cultura de Pesquisa e Colaboração: O Brasil precisa superar a visão de que pesquisa é algo restrito à universidade. Empresas devem “respirar pesquisa”, aproximando-se de ecossistemas como o Cissa para coproduzir soluções.
Geopolítica e infraestrutura crítica: não estamos mais isolados
O Brasil deixou de ser uma “periferia geopolítica” segura, lembra Fábio Maia. Com a fragmentação da ordem internacional e a disputa por recursos como terras raras (onde o Brasil é a segunda maior reserva mundial), o país torna-se um alvo estratégico. A infraestrutura crítica — energia, transportes e saneamento — é particularmente vulnerável. Ele observa que, enquanto o setor financeiro é um “veterano de guerra” acostumado a ataques, outros setores industriais ainda estão despertando para a gravidade do problema. A colaboração público-privada e a troca de informações entre setores são vitais para a soberania nacional.
O novo modelo mental inclui pesquisa
A cibersegurança, lembra Georgia, deve ser incorporada no início de qualquer processo corporativo (security by design). Mais do que contratar profissionais, as empresas precisam de uma mudança de postura: aceitar que serão atacadas e construir resiliência para responder rápido e garantir a continuidade da operação.
A construção de resiliência passa por uma aproximação das empresas a centros como o CISSA, para “respirar pesquisa”, uma forma de criar uma cultura de inovação em segurança. O CISSA atua como o catalisador desse novo ecossistema, unindo startups, academia e grandes corporações para transformar o risco em oportunidade de inovação tecnológica.