Bancos dos EUA processaram recorde de pagamentos de ransomware em 2021

Em sequência aos artigos publicados números desta magnitude chegam aos conselhos de administração e despertam toda uma série de questionamentos, os quais adicionados aos atos regulatórios a serem aprovados pela SEC (Securities and Exchange Commission, equivalente a nossa CVM e Banco Central), mudarão certamente a dinâmica do tratamento e prioridades sobre os riscos cibernéticos nas organizações.

Este montante de pagamentos seria o que os clientes dos bancos americanos fizeram a possíveis grupos cibercriminosos. Os bancos dos EUA relatam as transações suspeitas às autoridades federais sob a Lei de Sigilo Bancário.

Mais da metade dos ataques de ransomware são atribuídos a supostos hackers russos, de acordo com um novo relatório divulgado na terça-feira (01/Nov) pela Rede de Repressão a Crimes Financeiros do Departamento do Tesouro, ou FinCEN, que analisou os dados.

O FinCEN descreve que houve 1.489 incidentes de ransomware que custaram quase US$ 1,2 bilhão no ano passado, um aumento substancial em relação aos US$ 416 milhões em danos registrados em 2020, segundo o relatório.

Os conselhos começam agora a prestar mais atenção à necessidade de atuar mais próximo da supervisão da segurança cibernética. Não são apenas as consequências diretas e indiretas que despertam preocupação, mas as novas regulamentações estão aumentando e mudando os paradigmas estabelecidos.

Os conselhos têm um papel particularmente importante para garantir o gerenciamento e recursos adequados do risco cibernético como parte de seu papel fiduciário e de supervisão. À medida que as ameaças cibernéticas aumentam e as empresas em todo o mundo incrementam seus orçamentos de segurança cibernética, a comunidade regulatória, incluindo a SEC, está também avançando em novos requisitos que as empresas precisam se adequar à medida que precisam reforçar sua estratégia cibernética e presença digital.

Em paralelo, a Casa Branca dos EUA convocou na semana seguinte sua Segunda Cúpula Internacional da Iniciativa Contra Ransomware (CRI), reunindo líderes de 36 países e da União Europeia pessoalmente para aproveitar o trabalho de sua primeira cúpula de ransomware em 2021. Em uma coletiva de imprensa antes da Cúpula, um porta-voz da Casa Branca disse: “Embora os Estados Unidos estejam facilitando esta reunião, não vemos isso apenas como uma iniciativa dos EUA. É uma parceria internacional que abrange a maior parte do mundo e realmente reflete a ameaça que os criminosos e os ataques cibernéticos trazem.”

Além dos 36 países, 13 empresas e organizações participaram do CRI deste ano, incluindo Crowdstrike, Mandiant, Cyber Threat Alliance, Microsoft, Cybersecurity Coalition, Palo Alto Networks, Flexxon, SAP, Institute for Security + Technology, Siemens, Internet 2.0, Tata – TCS e Telefônica. Os participantes da Cúpula foram divididos em cinco grupos de trabalho focados em resiliência, interrupção de maus atores, combate a movimentos ilícitos de criptomoedas, pressão diplomática sobre maus atores e estabelecimento de parcerias público-privadas.

Movimentos sinérgicos que começam a adquirir a velocidade e abrangência na corrida para poder estar à frente ou ao menos em igualdade de condições contra os criminosos cibernéticos. Espero que logo no Brasil e dentro das melhores práticas de governança corporativa este mesmo senso de urgência seja incorporado nos conselhos de administração e nos comitês de assessoramento bem como nas diversas esferas governamentais.

* Leonardo Scudere é Cyber Security Sales & Strategy; Risk Management; Digital Transformation Executive – THUNDERBIRD, the American Graduate School of International Management