O que vem em 2023 para a segurança cibernética?
À medida que nos aproximamos do final de 2022, fica a pergunta - o que está por vir em 2023? De regulamentos, identidades digitais e a batalha da realidade - perguntamos aos nossos especialistas seus pensamentos sobre o que esperar para a segurança cibernética.
Lila Kee,
Gerente Geral, Américas e Diretora de Produtos
Andreas Brix,
Gerente de Programas
Arnaud Vanderroost,
Vice-Presidente de Vendas, EMEA
Debbie Hayes,
Diretora de Marketing de Produto
Patrick Nohe,
Gerente Sênior de Marketing de Produto
Ashish Dhiman,
Gerente de Produto
Richard Hancock,
Diretor de Proteção de Dados
Yateesh Bhardwaj,
Gerente de Produto
Silvia Bertolotti,
Consultora de Vendas de Soluções, EMEA
Grace Armano,
Líder da Equipe de Vendas da América do Norte
Amy Krigman,
Diretora de Relações Públicas
Identidades auto-soberanas em ascensão
Em 2023, a primeira carteira de identidade digital que apoiará transações transfronteiriças confiáveis em toda a UE, onde os consumidores terão o controle final de onde e como sua identidade eletrônica será usada. A introdução de um uso em larga escala de identidades auto-soberanas será o maior fator para impulsionar a democratização da identidade consumidor/cidadão globalmente.
- • Impulsionada por uma expansão dos regulamentos eiDAS de 2014 e ainda mais com o lançamento em setembro de 2022 do eIDAS 2.0 - Toolbox European Digital Identity Framework, a inovação avançará rapidamente com a promessa de interoperabilidade de identidade digital transfronteiriça entre a UE.
• Esperar um impacto transformacional na sociedade através da introdução de aplicativos mais amplos e da adoção pelo consumidor, já que a ênfase em torno da usabilidade, bem como o aumento da privacidade, foi incorporada pelo design.
• O consentimento será fundamental para aumentar a proteção da privacidade do consumidor, especialmente em torno de como e onde seus dados serão usados ou compartilhados
• As carteiras digitais serão o método de fato para os usuários trazerem sua própria identidade (BT. YOI) apoiando uma ampla gama de casos de uso comerciais e governamentais, incluindo a criação de contas bancárias, prova de idade adequada (sem compartilhar a data de nascimento exata), acesso a registros médicos e interação com serviços governamentais, para citar alguns.
Considerando que os dispositivos móveis e os aplicativos em nuvem serão métodos predominantes para o acesso a carteiras digitais, a importância em torno da segurança cibernética móvel e na nuvem só aumentará em importância
As ferramentas de mensagens estão ganhando, mas o e-mail ainda permanecerá popular em 2023 - e além
Em minha carreira de quase 20 anos no mundo da TI, fui exposto a muitas previsões. Mesmo que alguns deles estivessem errados (inevitáveis), eles ainda desencadearam discussões interessantes e processos de pensamento. Um deles foi feito na Alemanha na feira it-sa por um dos provedores de plataforma de colaboração em 2018. "O e-mail desaparecerá nos próximos cinco anos", afirmaram e pareciam convencidos de que sua declaração se concretizaria.
Agora, olhando para esses últimos cinco anos, houve mudanças na maneira como nos comunicamos. Serviços e aplicativos de mensagens são usados cada vez mais no mundo dos negócios, como o Microsoft Teams, tornando o email mais reservado para a comunicação interna.
Mas por que existem 4 bilhões de usuários diários de e-mail (e escalando)? Uma das respostas está escondida no último parágrafo. Seu mensageiro, então o plural. Toda empresa usa a ferramenta de mensagens de sua escolha. Mesmo que o mesmo mensageiro esteja em uso, os administradores têm medo de abrir essa plataforma de comunicação para partes externas, pois têm medo de criar uma nova superfície de ataque.
Portanto, mesmo depois de 50 anos, entrando em 2023 o e-mail continuará sendo um dos poucos padrões de comunicação em que podemos trocar informações de forma confiável em todo o mundo. Contanto que seja seguro e confiável, eu não esperaria grandes mudanças nos próximos anos.
Realidade Virtual, Realidade Aumentada e Realidade Mista: Quem será o Vencedor no final?
Tecnologias futuras, como Realidade Virtual (VR), Realidade Aumentada (AR) e Realidade Mista, são consideradas áreas de tremendo crescimento. Várias gigantes da tecnologia como Meta, Microsoft, Nvidia, Alphabet, Qualcomm e até mesmo a Apple já escolheram seu lado e estão investindo força de trabalho, tempo e dinheiro neles.
Meta, a empresa-mãe do Facebook que temos visto aparecer com bastante frequência nas notícias ultimamente, acredita firmemente que o metaverso é a "nova grande coisa" e investe bilhões de dólares para tornar o sonho de Mark Zuckerberg realidade. Este mundo imersivo em 3D VR é o novo hype e está lenta, mas seguramente, se moldando. Embora, alguns possam se perguntar se essas plataformas serão preenchidas com mais do que equipes de marketing e desenvolvedores GAFAM. Atualmente, as opiniões são mistas, por isso é esperar para ver por enquanto.
A Apple, por outro lado, depositou todas as suas esperanças na RA, onde um usuário pode colocar alguma forma de óculos e viver em um mundo onde seu mundo real é visualmente aumentado e onde dados, informações e outros detalhes são sobrepostos a ele.
Com os enormes investimentos que estão sendo feitos por essas empresas de tecnologia nos diferentes mundos / tecnologias, podemos descobrir que, em 2023, veremos essas formas de tecnologias sendo ainda mais integradas em nossas vidas. Treinamento, educação, marketing, entretenimento e medicina (ou seja, cirurgia); todos eles têm um enorme potencial – que ainda precisa ser descoberto e desenvolvido. Ainda podemos estar a vários anos de distância de quando todas essas "realidades" estão bem estabelecidas, mas 2023 deve nos dar uma boa visão de para onde estamos indo.
O que implica a PSD3 e quando podemos esperar que entre em vigor?
O Open Banking desenvolveu-se continuamente na Europa desde o lançamento da Diretiva de Serviços de Pagamento 2 (PSD2) em junho de 2016.
Em maio de 2022, a Comissão Europeia (CE) publicou uma consulta direcionada para reunir provas para a sua revisão da PSD2 e desenvolver novas legislações como a PSD3.
Há muitas áreas de discussão sobre como a PSD3 pode parecer. Independentemente disso, alterará a legislação em vigor para tornar os pagamentos mais rápidos e seguros, alinhando-se melhor com o quadro jurídico da UE. Algumas indicações do que poderia ser abordado:
• Atividades não regulamentadas, como transações usando criptoativos, serviços de compra e pagamento posterior, sistemas operacionais de pagamento, serviço de carteira digital e serviços de processamento de pagamentos
• Alterações na autenticação forte do cliente (SCA)
• Combater a fragmentação na Europa de forma mais eficaz, incluindo uma especificação mais precisa e concreta das normas API, dos serviços de diretório e das infraestruturas
Ainda é cedo para a PSD3, mas uma das principais prioridades é garantir uma ampla adoção do mais alto nível de padrões de segurança e soluções de pagamento europeias transfronteiriças. Os órgãos competentes da CE analisarão quaisquer questões da consulta, bem como quaisquer conclusões adicionais, e trabalharão no sentido de um projeto de DSP3, que deverá ocorrer no início e meados de 2023. A adopção desta directiva pode demorar três a cinco anos até que as empresas sejam obrigadas a cumpri-la na íntegra, mas os líderes empresariais têm de acompanhar estes novos desenvolvimentos. Prevemos que as empresas investirão em tecnologia relacionada à PSD3 e otimizarão suas práticas digitais para criar eficiências para seus negócios.
Autenticar a identidade será mais importante do que nunca
Sem mergulhar de cabeça na política, a salva de abertura de Elon Musk no Twitter o viu oferecer marcas de verificação por US $ 8 e, em poucas horas, a plataforma estava banindo e suspendendo contas de impostores - muitas por se passarem pelo próprio Musk. Tornou-se o exemplo anedótico mais recente de por que a capacidade de verificar a autenticidade de algo nunca foi tão crítica, especialmente quando se trata de identidade.
A cada dia que passa, mais e mais de nossas vidas se tornam digitais. Na vida real, temos carteiras de identidade, passaportes, documentos governamentais que podem autenticar nossas identidades. Na internet as coisas ainda continuam a evoluir. Este é um problema que é especialmente agudo no mundo do cibercrime, onde se passar por outro indivíduo é muitas vezes o ponto de partida de uma violação ou ataque muito maior.
É por isso que as organizações trabalham para proteger suas redes e dispositivos implementando uma PKI robusta, é por isso que as proteções de segurança de e-mail, como S / MIME, estão sendo reconsideradas e mais amplamente implementadas e por que a Europa está dobrando as assinaturas digitais. E à medida que avançamos para uma nova era de deep fakes e desinformação, onde as ameaças cibernéticas só se tornarão mais perigosas e perniciosas, a necessidade premente de autenticação forte da identidade continuará a se cristalizar.
A percepção das pessoas sobre segurança e o mercado de CA mudará
No ano passado, as organizações implementariam um software de segurança muito básico que exigia pouca supervisão. Hoje, a situação é muito diferente. As empresas agora entendem que seu futuro não é tão seguro e elementos desonestos estão se tornando mais inteligentes a cada dia. Novos ataques cibernéticos ocorrem constantemente, e as empresas de TI e os departamentos de TI estão lutando para contê-los.
Em 2023, podemos esperar um aumento de duas vezes na conscientização sobre segurança, bem como produtos que utilizam a Infraestrutura de Chave Pública (PKI), mas também a segurança na nuvem de forma mais ampla, especialmente em mercados em desenvolvimento como a APAC e países africanos em comparação com o Ocidente. Por exemplo, algum trabalho louvável que veremos é na Índia, onde o governo já vem educando seus cidadãos sobre os perigos que podem espreitar em seus computadores e telefones. Por causa disso, as pessoas estão se tornando cada vez mais bem educadas sobre segurança digital, então isso continuará a crescer em 2023 e além.
Além disso, haverá adoção de produtos que são fáceis de usar, integram bem e podem ser suficientes para muitos casos de uso – adotando a abordagem de "matar dois coelhos com uma cajadada só", à medida que as empresas se cansam de ter que confiar em uma infinidade de ferramentas de segurança (há muitos produtos diferentes no mercado, por isso será bom ver um shakeout).
Autoridades de certificação como a GlobalSign verão uma demanda disparada, pois são compatíveis e são apoiadas por meio de certificados confiáveis.
Além disso, veremos alguns novos entrantes neste mercado, especialmente sistemas operacionais (Microsoft, Apple, Linux), pois eles entendem a necessidade de integrações centralizadas através da nuvem. Alguns segmentos, como comércio eletrônico e defesa, terão uma enorme demanda. De acordo com a empresa de pesquisa MarketsandMarkets, estamos estabelecendo cerca de US $ 130 milhões na CA, e veremos isso crescer para US $ 230-250 milhões.
Leis de dados de 2023: para onde estamos indo?
Antes de podermos considerar o que os próximos 12 meses podem ter reservado para nós, é importante recapitular o último ano. Então, o que aconteceu em 2022? É claro que vimos muitos casos, sentenças e algumas execuções. No entanto, o que realmente se destacou foram as mudanças e adaptações ao cenário legislativo global. Com base nas violações muito graves do Medibank e do Optus, a Austrália está propondo uma revisão abrangente das leis de dados, em resposta a uma implementação de requisitos de cookies amplamente incompreendida por desenvolvedores da web, o Reino Unido está considerando rasgar partes do Regulamento Geral de Proteção de Dados (GDPR), a Lei de Privacidade do Consumidor da Califórnia (CCPA) desencadeou uma bola de neve de outros estados revisando suas próprias regras e muitas outras nações estão examinando suas estruturas legais em relação aos dados.
É quase certo que 2023 verá tanto a continuação quanto o crescimento dessas atividades. Já estamos testemunhando violações de dados apresentadas nas principais notícias e esse será um recurso comum no próximo ano. À medida que a conscientização pública aumenta, o mesmo acontece com a demanda e a expectativa de privacidade e proteção das informações.
Por mais que se espere que, mesmo com as alterações à legislação local (se forem em frente), o Reino Unido (UK) mantenha a sua decisão de adequação da União Europeia (UE). Se perder esse status, muito rapidamente ficará claro o quão difícil é negociar, comunicar e interagir com outras nações e é por essa razão que veremos países cujas leis de dados estão desatualizadas começarem a revisá-las e atualizá-las para atender, pelo menos no nível conceitual, ao alto padrão estabelecido pelo GDPR.
As áreas em que as expectativas da maior mudança, relativamente falando, sísmica nas leis de dados que ocorrem são os Estados Unidos. Aqui, as mudanças são multifacetadas e incluem o caso de leis de proteção de dados em nível federal. Historicamente, e até hoje, não houve unidade ou centralização de um conjunto comum de princípios nesta área, fora de verticais específicas da indústria (pense em FTC, HIPAA etc aqui). As ações que ocorrem nos espaços do open banking quase certamente exigirão a mudança para essa coesão legislativa central, gerenciada e alinhada, resultando no bônus biproduto de um modelo de privacidade que pode abranger todos os estados, todas as indústrias e ser o veículo para transferências de dados eficientes e sem atrito em todo o país.
Uma das maiores manchetes para o próximo ano será, sem dúvida, o novo acordo-quadro entre os EUA e a UE. Há muito aguardado desde a invalidação do Escudo de Proteção da Privacidade em 2020, uma substituição é muito esperada para o início de 2023. Levará, naturalmente, tempo para que esta questão se estabeleça e possa contar com ela como base jurídica para a transferência, mas a esperança de que substitua as actuais avaliações de impacto nas transferências (AIT) é elevada.
Há questões que são impossíveis de prever. O Reino Unido vai descartar o GDPR e começar de novo? Max Schrems desafiará instantaneamente a substituição do Escudo de Proteção da Privacidade? Será que as instabilidades políticas em certas regiões irão inviabilizar a política neste domínio? Mais países adotarão requisitos de localização de dados? No entanto, existem algumas certezas absolutas – a importância da proteção de dados aumentará, a conscientização sobre os usos de dados aumentará e os dados se tornarão ainda mais inestimáveis para os fraudadores, levando as organizações em todo o mundo a monitorar e melhorar continuamente sua própria proteção de infraestrutura.
2023 será um ano para assistir de perto e acompanhar as cenas dos próximos capítulos
O Gerenciamento Automatizado de Certificados será um driver emergente no DevSecOps
Em 2023 e além, a segurança não será mais um segundo pensamento nos pipelines de DevOps. É apenas nos últimos anos que o DevSecOps emergiu como um segmento importante da indústria geral de DevOps. Mas, dado o aumento maciço de violações de dados, ataques de phishing e muito mais, está muito claro que os desenvolvedores precisam confiar cada vez mais em ferramentas como o gerenciamento automatizado de certificados para garantir a segurança em seus sistemas.
Digo isso porque, para ter uma abordagem centrada em DevSecOps, os desenvolvedores precisam garantir que a segurança seja injetada em todas as camadas do ciclo de vida do desenvolvimento, o que não é possível sem o gerenciamento automatizado de certificados. A automação do gerenciamento de certificados ajuda a garantir uma segurança rígida em seu pipeline de desenvolvimento.
1. Visibilidade dos certificados - Uma infraestrutura centralizada de PKI ajudará as organizações a rastrear e gerenciar seus certificados, desde o comprometimento do código em sistemas de controle de versão até a implantação
2. Automação e integração em CI/CD - Com a ajuda do protocolo ACME, é fácil configurar e instalar certificados nas proximidades do pipeline CI/CD
3. Conscientização e aplicação da segurança - A infraestrutura automatizada de gerenciamento de certificados ajuda os desenvolvedores a entender os protocolos de segurança e eles poderão impor o certificado em seus fluxos de trabalho automatizados para proteger sua infraestrutura de ponta a ponta
Assim, as organizações que desejam garantir a segurança em seus sistemas, devem se concentrar e investir mais no Gerenciamento Automatizado de Certificados.
Indústria de automação da América Latina terá que implementar mais soluções de segurança cibernética no próximo ano
Em 2023, as economias da América Latina começarão a se recuperar de uma combinação de impactos: a pandemia, a disrupção econômica e os ataques cibernéticos. Ao todo, o resultado é que a região, que compreende 33 países, exigirá maior produtividade. A automação é a chave, pois otimizará a produção em vários setores, como automotivo, agroalimentar e de mineração, que são os principais setores da região. Portanto, ter acesso a sistemas de segurança informática que permitam que essas tecnologias sejam implementadas de forma eficiente é fundamental, mas também um desafio para a nossa região.
Felizmente, as grandes corporações planejam investir em automação no próximo ano. De acordo com a terceira edição do Relatório Now and Next da Futurum Research, 77% das empresas pretendem aumentar seus investimentos em automação. Da mesma forma, o Gartner prevê que 85% dos líderes de infraestrutura e operações (I&O) preveem automatizar suas empresas dentro de três anos.
Os processos de automação utilizam softwares e sistemas de conectividade suscetíveis a ataques e, por isso, demandam implementações que resolvam essas vulnerabilidades, para que os sistemas de produção possam ser melhorados. Nesse sentido, os investimentos devem ser destinados não apenas ao processo de automação, mas as empresas também devem levar em consideração os processos de segurança necessários para evitar qualquer ataque, a fim de não comprometer a produtividade de uma empresa.
eIDAS 2: Novos horizontes para a identidade digital europeia
Em junho de 2021, a Comissão Europeia apresentou uma proposta destinada a rever a atual diretiva n.º 910/2014 (Regulamento eIDAS) com a introdução de novas alterações ao sistema de identificação eletrónica, autenticação e serviços de confiança (eIDAS 2).
Estas alterações estabelecem um novo quadro jurídico para a identidade digital europeia e para a regulamentação eIDAS, visando a aceleração do processo de digitalização dos serviços públicos e privados num contexto transfronteiriço.
A actual directiva não continha uma indicação específica para as ferramentas de "identificação electrónica", pelo que cada Estado implementou uma ou mais soluções sem qualquer interoperabilidade ou regras precisas para o reconhecimento mútuo.
Até setembro de 2023, a nova ID digital da UE deve ser disponibilizada a todos os cidadãos (ou residentes) e empresas da UE; será utilizado para serviços em linha e fora de linha em toda a Europa e também para armazenar dados pessoais sensíveis (ou seja, dados relacionados com a saúde) num documento.
A notícia mais relevante e o elemento-chave da nova proposta é a introdução da carteira europeia de identidade digital, uma ferramenta de identificação e autenticação biometricamente segura.
A carteira conterá um PID (Dados de Identificação de Pessoa) que armazena os dados de identificação e credenciais vinculadas à sua identidade. Através desta carteira, os utilizadores poderão provar a sua identidade e partilhar informações em toda a Europa.
Esta ferramenta irá certamente simplificar e unificar o procedimento de identificação na Europa sempre que um cidadão necessitar de recorrer a um serviço da administração pública, ou seja: inscrever-se numa universidade, apresentar declarações fiscais, abrir uma conta bancária, solicitar uma certidão de nascimento, aceder a diferentes sistemas médicos, etc.
A oferta de carteiras de identidade digital de provedores de aplicativos móveis já está aumentando e, em certo momento, a Comissão Europeia precisará regular a oferta do mercado.
A maioria dos cidadãos, bem como muitas empresas privadas, parecem estar prontos para adotar a identificação digital em todos os estados da UE para a maioria dos seus serviços. Mas será que a Administração Pública estará também preparada para implementar e adaptar os seus sistemas? Esta é uma pergunta que podemos não encontrar respostas por um bom tempo.
2023 trará mudanças para o trabalho remoto, infraestrutura de nuvem e segurança de dados e colaboração global
Todos os anos, pensamos que temos um controle sobre o que e como as melhorias e os avanços na tecnologia nos trazem. Nos últimos dois anos, vimos enormes chaves, como a pandemia e agora a guerra na Ucrânia, que catapultaram essas mudanças e nos fizeram reavaliar como trabalhamos, vivemos e nos divertimos.
A pandemia trouxe mudanças que agora nos acompanharam ou ainda estão aprendendo a lidar, nomeadamente o trabalho remoto e a comunicação digital. Este ano, a guerra na Ucrânia trouxe mais mudanças e preocupações, particularmente sobre a guerra cibernética.
Trabalho remoto - Os ataques de phishing são uma ameaça de segurança generalizada para o setor de TI, com muitas pessoas ainda se tornando vítimas de e-mails de phishing. Para não mencionar, os funcionários estão usando seus dispositivos pessoais para autenticação de dois fatores, e eles podem muito bem ter versões de aplicativos móveis de clientes de mensagens instantâneas.
Infraestrutura de nuvem e segurança de dados – As violações de dados estão custando mais do que nunca e o ransomware é mais prolífico a cada dia em todas as áreas de negócios, principalmente nos setores de saúde, finanças e educação. Não é mais suficiente simplesmente proteger seu site. Os hackers estão mais experientes do que nunca!
Colaboração global e assinatura digital - O mercado global de assinatura digital está crescendo a um ritmo impressionante. O mais notável será o lançamento da Carteira de Identidade Digital da UE (e eIDAS 2). Em poucas palavras, uma assinatura digital cria confiança eletrônica entre indivíduos, empresas e entidades governamentais, padronizando a identificação eletrônica e as assinaturas em todo o mundo. Quanto mais rápido você puder conduzir os negócios no mercado interno ou mundial com segurança e dentro das diretrizes de conformidade, determinará sua competitividade no mercado.
Os mandatos estão chegando
Depois de ataques cibernéticos aparentemente intermináveis de todas as variedades, os governos em todo o mundo estão começando a ficar incomodados. Como a vice-conselheira de Segurança Nacional dos EUA para Tecnologia Cibernética e Emergente, Anne Neuburger, disse em outubro: "Se você é um provedor de tecnologia, é responsável por fornecer uma linha de base de segurança nessa tecnologia".
Apenas um mês antes, líderes internacionais de segurança cibernética se reuniram no WSJ CIO Network Summit. A manchete do Wall Street Journal sobre o evento de 21 de setembro resumiu bem as coisas: os investimentos em segurança cibernética não são mais opcionais, alertam as autoridades.
No evento, a executiva-chefe do Centro Nacional de Segurança Cibernética do Reino Unido, Lindy Cameron, disse que "as organizações não estavam preparada".
As mensagens são bastante claras - as mudanças estão chegando.
Com isso em mente, não se surpreenda se o governo dos EUA – e outros – anunciar em algum momento de 2023 a intenção de implementar regulamentos obrigatórios de segurança cibernética até 2025. Os regulamentos serão vistos como um mal necessário para garantir que as empresas, grandes e pequenas, tomem as medidas necessárias para implementar medidas de segurança cibernética. Até que as gangues cibernéticas sejam erradicadas, esses novos regulamentos podem ser impossíveis de evitar. A boa notícia é que esses regulamentos devem ajudar a reduzir os ataques cibernéticos. A má notícia: como os impostos, os novos regulamentos provavelmente estarão em vigor por muitos anos.