A um clique do ciberataque

(Imagem ilustrativa/Jefferson Santos/Unsplash)

Você certamente ficou sabendo do que aconteceu no mês passado com a C&M Software, empresa que presta serviços tecnológicos e conecta instituições financeiras ao Banco Central do Brasil (BC). Um ciberataque que, estima-se, custou R\$ 1 bilhão. O dinheiro sumiu, evaporou das contas de um provedor que conecta bancos ao BC. Um ataque que entrou para a história do sistema financeiro nacional.

E a porta de entrada para esse rombo monumental? Um firewall de última geração que falhou? Uma criptografia quântica quebrada? Não. Foi um funcionário que, por alguns trocados, entregou seu login e senha, abrindo o cofre para os criminosos. Agora, respire fundo e troque “sistema financeiro” por “seu terminal portuário”. Sentiu o calafrio?

A diferença é que um ataque hacker a um porto não desvia apenas dinheiro. Ele paralisa a economia real. Um ransomware (software malicioso) no seu Terminal Operating System (TOS) não congela uma conta bancária; ele congela navios no horizonte, transforma milhares de contêineres em peso de papel caríssimo e cria um caos logístico que afeta desde o agronegócio até a prateleira do supermercado. O prejuízo não é só financeiro, é sistêmico.

E o receio coloca em cena a regulamentação, claro. Temos avanços, a Resolução da Comissão Nacional de Segurança Pública nos Portos, Terminais e Vias Navegáveis (Conportos) e a diretiva NIS 2 na Europa são passos importantes. Elas forçam os portos a, no mínimo, pensar sobre o assunto. O problema é quando a burocracia cria uma falsa sensação de segurança. O diretor olha para o checklist preenchido e dorme tranquilo, enquanto o operador usa “senha123” para acessar o sistema de agendamento de caminhões. A regulamentação vira um fim em si mesma, e não um meio para a segurança de verdade. Isso nos leva de volta ao funcionário da C&M. O elo mais fraco.

Não é a primeira vez que bato nessa tecla. Como já escrevi antes aqui na coluna, tanto na análise sobre as lições dos portos mundiais quanto no artigo sobre o ataque na Austrália, a verdadeira linha de frente na guerra cibernética é o fator humano. Você pode ter a tecnologia mais avançada, mas ela é inútil se um colaborador com permissões exclusivas clicar no link “Você ganhou um iPhone!” de um e-mail suspeito. A segurança do seu porto não é tão forte quanto seu melhor firewall, mas tão fraca quanto seu funcionário menos treinado (ou mais mal-intencionado).

Então, você que é diretor, CEO ou gestor de um terminal, o que fazer além de torcer para não ser o próximo da fila? Parem de tratar cibersegurança como um problema de TI. É um problema de negócio, de risco operacional. Envolva o RH, o jurídico, a operação. A segurança precisa virar cultura, não um item no orçamento do departamento de tecnologia. Invistam em treinamento que não seja chato. Ninguém aguenta mais palestra de PowerPoint. Simulem ataques de phishing. Criem competições. Recompensem quem identifica ameaças. Tornem a segurança um comportamento, não uma obrigação. “Confiança” não é um controle de segurança. O caso da C&M prova isso. Implementem o princípio do “menor privilégio”: cada um só acessa o que é estritamente necessário para sua função. Monitorem acessos e atividades suspeitas. O acesso foi pela “porta da frente”, lembra? Tenham um plano para lidar com uma eventual crise. Porque uma hora, ela vai acontecer. Não se trata de se você será atacado, mas de quando. Qual o plano de resposta a incidentes? Quem liga para quem? Como a operação continua manualmente, se necessário? Testem esse plano. De verdade.

No fim do dia, a segurança do seu porto não está no seu servidor de última geração. Está na cabeça de cada pessoa que trabalha nele. Então, valorize-os. Porque, convenhamos, às vezes a cabeça das pessoas é o lugar mais inseguro que existe.