/
Resiliência cibernética

O negócio do cibercrime: o que um ex-diretor assistente do FBI quer que todo CISO saiba

Headshot of Brian Boetig
Brian Boetig, consultor principal da Global Trace e ex-diretor assistente do FBI

O cibercrime não é apenas uma ameaça técnica — é um negócio global próspero. E poucas pessoas entendem melhor a evolução desse negócio do que Brian Boetig.

Com mais de 35 anos em segurança nacional e segurança pública, ele atuou como diretor assistente do FBI, diplomata dos EUA, representante da CIA e sócio em uma empresa de consultoria internacional. Ele agora é consultor principal da Global Trace, ajudando organizações a criar resiliência cibernética.

Neste episódio de O segmento, Brian se juntou a mim para compartilhar como sua experiência na aplicação da lei e na inteligência molda sua abordagem atual à segurança cibernética e por que os agentes de ameaças estão vencendo quando as empresas ficam para trás.

Do assalto a uma loja ao ransomware como serviço

Brian investigou tudo, desde sequestros no exterior até extorsão digital em casa.

O que os conecta? A busca pela vantagem.

“Tratamos os sequestros como resgate da mesma forma que abordamos. ransomware hoje”, disse Brian. “Você sabe quem fez isso, sabe como eles operam e sabe como negociar. É um modelo de negócios e eles o administram melhor do que algumas empresas legítimas.”

Ele diz que a economia do cibercrime está inclinada a favor dos atacantes.

“Se você assaltar uma loja pessoalmente por 50 dólares, toda uma equipe de resposta policial aparece”, disse ele. “Mas roubar $500.000 online? Na maioria das jurisdições, as autoridades não saberão o que fazer com isso.”

O cibercrime é escalável, sem fronteiras e, muitas vezes, invisível. Na opinião de Brian, até que os defensores adotem uma abordagem comercial semelhante, eles permanecerão ultrapassados.

Se você assaltar uma loja pessoalmente por $50, toda uma equipe de resposta policial aparece. Mas roubar $500.000 online? Na maioria das jurisdições, a polícia não saberá o que fazer com ela.

Por que proibir pagamentos de resgate não é a resposta

Poucos tópicos geram mais debate do que se as organizações deveriam ser autorizadas a pagar resgates. Brian conheceu os dois lados, desde seu tempo no FBI até a consultoria com CEOs que lidaram com uma brecha.

“Não há uma resposta geral”, disse ele. “Algumas empresas deixarão de existir se não pagarem.”

Ele se lembrou de um escritório de advocacia cujo histórico completo de clientes foi bloqueado. Sem pagamento, seus negócios e reputação teriam sido destruídos.

Banindo pagamentos de resgate pode parecer um impedimento absoluto, mas Brian acredita que isso corre o risco de vitimar as organizações duas vezes: “Você está removendo uma das poucas ferramentas que restam para sobreviver”.

Em vez disso, ele sugere uma estratégia mais matizada:

  • Desincentive os pagamentos por meio da preparação
  • Crie uma higiene geral de segurança cibernética, incluindo backups
  • Implemente modelos de seguro inteligentes
  • Reduzir a legislação que simplifica excessivamente as complexas realidades comerciais

Em vez de proibições gerais, o que as organizações precisam é de uma abordagem mais inteligente, que equilibre resiliência, risco e as realidades que os líderes enfrentam após um ataque.

O seguro cibernético não é uma rede de segurança

À medida que mais empresas recorrem à seguro cibernético para sua tranquilidade, Brian oferece uma verificação da realidade.

“Não é uma solução. Muitas vezes, é mais como uma negociação”, disse ele. “E às vezes, a primeira coisa que a seguradora faz é procurar um motivo. não para pagar.”

Ele o comparou com o seguro de carro. Sim, você está coberto... a menos que tenha perdido um detalhe nas letras miúdas. O resultado é confusão durante uma crise, termos de cobertura pouco claros e atraso na recuperação.

“A maioria das políticas só ajuda você a voltar à Internet”, alertou Brian. “Eles não cobrirão a reconstrução da confiança, danos à reputação ou resiliência futura.”

Seu conselho para os CISOs é saber exatamente o que sua apólice cobre e quais são suas lacunas de cobertura. Nunca trate o seguro como um substituto de defesas fortes e não confie que as seguradoras trabalharão em seu melhor interesse após um ataque.

O risco cibernético é um risco comercial

Muitas vezes, o risco cibernético ainda é tratado como um problema de TI. Brian vê isso como um erro perigoso.

“Se a diretoria não acreditar na segurança cibernética, ela não será financiada, priorizada ou praticada”, disse ele.

Ele relembrou uma época em que os CEOs não sabiam quem eram seus líderes de TI. “Agora, finalmente estamos vendo as salas de reuniões começarem a entender que a cibersegurança não tem a ver com firewalls, mas com manter a empresa viva.”

Essa mudança, diz ele, se deve em parte às pressões regulatórias, mas também reflete a crescente percepção de que a resiliência é uma vantagem competitiva.

Brian também foi rápido em apontar que ser violado não significa que você falhou. Na verdade, os melhores líderes de segurança presumem que isso acontecerá.

“Eu costumava dizer aos CEOs: 'Não há problema em ser vítima de um ataque cibernético. Não é bom estar despreparado para uma'”, disse ele.

Essa mentalidade está no centro da Confiança zero que pressupõe concessões e se concentra em reduzir as consequências de uma violação.

“Preparação não significa apenas backups e políticas”, enfatizou Brian. “É cultural. Todos na organização precisam conhecer seu papel quando as coisas dão errado.”

Eu costumava dizer aos CEOs: “Não há problema em ser vítima de um ataque cibernético. Não é bom estar despreparado para uma.”

Fechando a lacuna entre risco e realidade

As histórias de Brian destacam uma verdade central. A cibersegurança não se trata de evitar riscos; trata-se de gerenciá-los.

As organizações mais resilientes tratam a segurança como uma função comercial, adotam o planejamento proativo e investem na contenção, não apenas na prevenção.

Ou, como disse Brian, “Você não espera até o incêndio para comprar um extintor de incêndio. Você planeja, treina e garante que todos saibam onde está.”

Quer ouvir mais? Ouça o episódio completo desta semana de O segmento: um podcast de liderança Zero Trust em Podcasts da Apple, Spotify, ou onde quer que você obtenha seus podcasts. Você também pode ler o transcrição completa.

Tópicos relacionados

Artigos relacionados

Três maneiras de manter sua operação de fabricação resiliente contra ataques cibernéticos
Resiliência cibernética

Três maneiras de manter sua operação de fabricação resiliente contra ataques cibernéticos

Conheça o recente ataque cibernético contra uma organização global de manufatura e como ele ressalta a necessidade de resiliência cibernética na manufatura.

Illumio é autorizada como autoridade de numeração CVE (CNA)
Resiliência cibernética

Illumio é autorizada como autoridade de numeração CVE (CNA)

Saiba como a designação CNA da Illumio nos ajuda a proteger melhor nossos clientes.

Garanta a conformidade com o DORA: o que você precisa saber
Resiliência cibernética

Garanta a conformidade com o DORA: o que você precisa saber

Obtenha as informações necessárias para começar a se preparar para cumprir os próximos mandatos do DORA da UE para serviços bancários e financeiros.

5 coisas que aprendi com um ex-hacker mais procurado do FBI
Resiliência cibernética

5 coisas que aprendi com um ex-hacker mais procurado do FBI

Aprenda cinco lições reveladoras de Brett Johnson, ex-cibercriminoso mais procurado, sobre fraude, confiança e por que o Zero Trust é mais importante do que nunca.

O que as organizações sem fins lucrativos estão ensinando ao setor de segurança cibernética
Segmentação Zero Trust

O que as organizações sem fins lucrativos estão ensinando ao setor de segurança cibernética

Aprenda com a especialista em segurança cibernética sem fins lucrativos, Dra. Kelley Misata, sobre como organizações orientadas por missões estão abordando a segurança com empatia, propósito e uma mentalidade de ouvir em primeiro lugar.

A opinião de um ciberpsicólogo sobre a cultura da culpa da cibersegurança
Segmentação Zero Trust

A opinião de um ciberpsicólogo sobre a cultura da culpa da cibersegurança

Saiba como o estresse, as ameaças da IA e o comportamento humano tornam o Zero Trust essencial para a resiliência cibernética.

Assume Breach.
Minimize Impact.
Increase Resilience.

Ready to learn more about Zero Trust Segmentation?