O negócio do cibercrime: o que um ex-diretor assistente do FBI quer que todo CISO saiba

O cibercrime não é apenas uma ameaça técnica — é um negócio global próspero. E poucas pessoas entendem melhor a evolução desse negócio do que Brian Boetig.
Com mais de 35 anos em segurança nacional e segurança pública, ele atuou como diretor assistente do FBI, diplomata dos EUA, representante da CIA e sócio em uma empresa de consultoria internacional. Ele agora é consultor principal da Global Trace, ajudando organizações a criar resiliência cibernética.
Neste episódio de O segmento, Brian se juntou a mim para compartilhar como sua experiência na aplicação da lei e na inteligência molda sua abordagem atual à segurança cibernética e por que os agentes de ameaças estão vencendo quando as empresas ficam para trás.
Do assalto a uma loja ao ransomware como serviço
Brian investigou tudo, desde sequestros no exterior até extorsão digital em casa.
O que os conecta? A busca pela vantagem.
“Tratamos os sequestros como resgate da mesma forma que abordamos. ransomware hoje”, disse Brian. “Você sabe quem fez isso, sabe como eles operam e sabe como negociar. É um modelo de negócios e eles o administram melhor do que algumas empresas legítimas.”
Ele diz que a economia do cibercrime está inclinada a favor dos atacantes.
“Se você assaltar uma loja pessoalmente por 50 dólares, toda uma equipe de resposta policial aparece”, disse ele. “Mas roubar $500.000 online? Na maioria das jurisdições, as autoridades não saberão o que fazer com isso.”
O cibercrime é escalável, sem fronteiras e, muitas vezes, invisível. Na opinião de Brian, até que os defensores adotem uma abordagem comercial semelhante, eles permanecerão ultrapassados.
Se você assaltar uma loja pessoalmente por $50, toda uma equipe de resposta policial aparece. Mas roubar $500.000 online? Na maioria das jurisdições, a polícia não saberá o que fazer com ela.
Por que proibir pagamentos de resgate não é a resposta
Poucos tópicos geram mais debate do que se as organizações deveriam ser autorizadas a pagar resgates. Brian conheceu os dois lados, desde seu tempo no FBI até a consultoria com CEOs que lidaram com uma brecha.
“Não há uma resposta geral”, disse ele. “Algumas empresas deixarão de existir se não pagarem.”
Ele se lembrou de um escritório de advocacia cujo histórico completo de clientes foi bloqueado. Sem pagamento, seus negócios e reputação teriam sido destruídos.
Banindo pagamentos de resgate pode parecer um impedimento absoluto, mas Brian acredita que isso corre o risco de vitimar as organizações duas vezes: “Você está removendo uma das poucas ferramentas que restam para sobreviver”.
Em vez disso, ele sugere uma estratégia mais matizada:
- Desincentive os pagamentos por meio da preparação
- Crie uma higiene geral de segurança cibernética, incluindo backups
- Implemente modelos de seguro inteligentes
- Reduzir a legislação que simplifica excessivamente as complexas realidades comerciais
Em vez de proibições gerais, o que as organizações precisam é de uma abordagem mais inteligente, que equilibre resiliência, risco e as realidades que os líderes enfrentam após um ataque.
O seguro cibernético não é uma rede de segurança
À medida que mais empresas recorrem à seguro cibernético para sua tranquilidade, Brian oferece uma verificação da realidade.
“Não é uma solução. Muitas vezes, é mais como uma negociação”, disse ele. “E às vezes, a primeira coisa que a seguradora faz é procurar um motivo. não para pagar.”
Ele o comparou com o seguro de carro. Sim, você está coberto... a menos que tenha perdido um detalhe nas letras miúdas. O resultado é confusão durante uma crise, termos de cobertura pouco claros e atraso na recuperação.
“A maioria das políticas só ajuda você a voltar à Internet”, alertou Brian. “Eles não cobrirão a reconstrução da confiança, danos à reputação ou resiliência futura.”
Seu conselho para os CISOs é saber exatamente o que sua apólice cobre e quais são suas lacunas de cobertura. Nunca trate o seguro como um substituto de defesas fortes e não confie que as seguradoras trabalharão em seu melhor interesse após um ataque.
O risco cibernético é um risco comercial
Muitas vezes, o risco cibernético ainda é tratado como um problema de TI. Brian vê isso como um erro perigoso.
“Se a diretoria não acreditar na segurança cibernética, ela não será financiada, priorizada ou praticada”, disse ele.
Ele relembrou uma época em que os CEOs não sabiam quem eram seus líderes de TI. “Agora, finalmente estamos vendo as salas de reuniões começarem a entender que a cibersegurança não tem a ver com firewalls, mas com manter a empresa viva.”
Essa mudança, diz ele, se deve em parte às pressões regulatórias, mas também reflete a crescente percepção de que a resiliência é uma vantagem competitiva.
Brian também foi rápido em apontar que ser violado não significa que você falhou. Na verdade, os melhores líderes de segurança presumem que isso acontecerá.
“Eu costumava dizer aos CEOs: 'Não há problema em ser vítima de um ataque cibernético. Não é bom estar despreparado para uma'”, disse ele.
Essa mentalidade está no centro da Confiança zero que pressupõe concessões e se concentra em reduzir as consequências de uma violação.
“Preparação não significa apenas backups e políticas”, enfatizou Brian. “É cultural. Todos na organização precisam conhecer seu papel quando as coisas dão errado.”
Eu costumava dizer aos CEOs: “Não há problema em ser vítima de um ataque cibernético. Não é bom estar despreparado para uma.”
Fechando a lacuna entre risco e realidade
As histórias de Brian destacam uma verdade central. A cibersegurança não se trata de evitar riscos; trata-se de gerenciá-los.
As organizações mais resilientes tratam a segurança como uma função comercial, adotam o planejamento proativo e investem na contenção, não apenas na prevenção.
Ou, como disse Brian, “Você não espera até o incêndio para comprar um extintor de incêndio. Você planeja, treina e garante que todos saibam onde está.”
Quer ouvir mais? Ouça o episódio completo desta semana de O segmento: um podcast de liderança Zero Trust em Podcasts da Apple, Spotify, ou onde quer que você obtenha seus podcasts. Você também pode ler o transcrição completa.