Em meados de outubro passado, a Companhia de Saneamento Básico do Estado de São Paulo (Sabesp) informou ter sido alvo de um ataque cibernético. O incidente resultou em vazamento de dados pessoais – em pequena quantidade, segundo a empresa – e provocou instabilidade na rede.

Além disso, os criminosos teriam tentado criptografar o backup da companhia (sem sucesso) e também não conseguiram afetar o abastecimento de água nem o tratamento de esgoto, de acordo com a Sabesp.

No dia 1º de novembro, o grupo cibercriminoso RansomHouse assumiu o ataque e afirmou que infectou a companhia. Dados e planilhas que seriam de funcionários foram expostos e o grupo diz que mais de dois mil servidores foram desativados.

A Sabesp não confirmou essas informações, mas relatou ter contratado especialistas para investigar o ataque, as causas, extensão e potenciais responsáveis e relatou o ocorrido à Autoridade Nacional de Proteção de Dados (ANPD).

Episódios como este são cada vez mais comuns e devem estar no radar das empresas. O relatório MarshMcLennan e Zurich estima que o custo global do cibercrime alcançará US$ 24 trilhões em 2027 (era US$ 8,5 trilhões, em 2022). Mais importante: 87% dos tomadores de decisão acreditam que suas organizações não estão adequadamente protegidas para enfrentar ataques cibernéticos.

Fiesp, Ciesp e Senai-SP têm tido um papel relevante para, ao longo dos últimos dez anos, informar e educar o setor industrial neste universo tecnológico. Tem promovido discussões regulatórias, realizado seminários, publicado guias, cartilhas, informes, além de oferecer cursos voltados para segurança cibernética, Inteligência Artificial e outros temas afins.

Mas ainda há muito trabalho a ser feito. Uma pesquisa realizada por Fiesp/Ciesp com indústrias paulistas apurou que mais da metade delas (52,4%) não trata a cibersegurança como prioridade; três a cada dez já sofreram ataques cibernéticos, com tentativas de extorsão; e 33% das companhias não têm iniciativas para promover a conscientização de seus funcionários sobre segurança da informação e proteção de dados.

O levantamento foi divulgado no VI Congresso sobre Segurança Cibernética realizado no final de outubro na sede da Fiesp/Ciesp, na capital paulista. Na ocasião, também foram anunciados mais dois cursos gratuitos de aperfeiçoamento profissional oferecidos pelo Senai-SP, ambos de forma remota e com carga horária de quatro horas: o curso Prevenção e Reação aos Incidentes Cibernéticos e o curso Regulamentação da Lei Geral de Proteção de Dados (LGPD) e Atuação da Autoridade Nacional de Proteção de Dados (ANPD).

O impacto que o crescimento e o desenvolvimento da Inteligência Artificial pode ter para a cibersegurança é outro ponto a ser avaliado. A Agência Nacional de Telecomunicações (Anatel) já chamou para um diálogo institucional a OpenAI, o Google e a Microsoft para tratar das implicações do uso da IA generativa nas telecomunicações.

A preocupação da Anatel é que os riscos associados ao uso malicioso da Inteligência Artificial generativa são significativos, uma vez que a tecnologia pode criar códigos de malware (programas para executar ações danosas), campanhas de phishing e spear phishing (ataques personalizados para capturar informações sensíveis) que parecem reais. Convém criar mecanismos de prevenção.

Não há dúvidas de que a indústria precisa avançar neste campo para se proteger. Vale ressaltar: nos dias de hoje, a segurança cibernética não é apenas uma questão técnica, mas uma necessidade estratégica para garantir a continuidade e a resiliência das empresas.
 
Vandermir Francesconi Júnior é 2º vice-presidente do CIESP e 1º diretor secretário da FIESP (vfjunior@terra.com.br)