Tendência em cibersegurança, Bug Bounty é a solução que o país precisa para o cenário digital atual

*Caio Telles, CEO da BugHunt

A cibersegurança não é uma simples “modinha” entre empresas, instituições e até esferas governamentais. É uma questão muito séria e vem de um cenário assustador do crescimento de cibercrimes, principalmente por conta da pandemia de Covid-19, que aumentou a nossa necessidade e dependência pelas  plataformas digitais. 

O Brasil, por exemplo, de acordo com o relatório de ameaças cibernéticas SonicWall, foi o 5º país mais afetado com ataques cibernéticos em 2021, com os sistemas brasileiros registrando a marca de as maiores vítimas de ransomwares do mundo no primeiro semestre do período. Ou seja, as empresas viram a necessidade de agir para encontrar maneiras de entender a escalada desse problema e buscar soluções para se protegerem. 

Nesse contexto, os programas de Bug Bounty começaram a ficar mais populares no país. Seu principal objetivo é identificar brechas na cibersegurança dos sistemas das companhias antes dos atacantes entrarem em cena. A consequência disso é simples: reduzir riscos e evitar que os negócios sejam impactados pela ação de agentes mal-intencionados.

Os protagonistas dessa solução são carinhosamente chamados de “hackers do bem”, "hackers éticos” ou bughunters, pois têm conhecimentos de aplicações e serviços de web, redes de computadores e linguagens de programação de alto nível que os criminosos também possuem, mas, ao contrário deles, estão do lado correto da lei. Além disso, são extremamente antenados em novidades e tendências tecnológicas, o que os mantêm aptos para identificar os próximos passos dos cibercriminosos.

O histórico do Bug Bounty no mundo

Apesar do programa de segurança da informação ser considerado uma tendência nos dias atuais, não se engane, o Bug Bounty já possui uma longa caminhada. Em 1983, a empresa norte-americana Hunter & Ready deu início ao primeiro projeto de recompensa de bugs para proteger seu sistema operacional “Versatile Real-Time Executive”. Os especialistas que encontrassem vulnerabilidades e relatassem à marca ganhavam como prêmio o famoso carro Fusca, da Volkswagen.

Em 2016, autoridades federais norte-americanas anunciaram seu primeiro projeto dessa categoria, chamado “Hack the Pentagon". Durante aproximadamente um mês, o Departamento de Defesa registrou o envio de 138 relatórios válidos e US$ 71,2 mil em recompensas para os mais de 1,4 mil especialistas inscritos na iniciativa.

Olhando para esse cenário e pensando no recente aumento de ataques cibernéticos, não há como negar que esse é o momento perfeito para as empresas brasileiras definitivamente voltarem os olhares para estratégias de Bug Bounty como forma de diminuir esses números. Isso sem falarmos do próprio panorama legislativo do país ligado ao tema, que também tem se aquecido com os dois anos de vigência da Lei Geral de Proteção de Dados (LGPD).

Se as companhias se atentarem à solução, a proteção dos dados com certeza dará um salto gigantesco, tanto no que se refere às informações institucionais, como de funcionários e clientes. A razão disso está no fato dos “hackers do bem” identificarem bugs em diversos canais, como sistemas, aplicativos, websites e até dispositivos físicos, como totens e máquinas de cartão. O foco dos pesquisadores é achar falhas que possam representar riscos às marcas, ou seja, vazamentos - que podem impactar na LGPD -, invasões, ataques por ransomware ou outra vulnerabilidade que traga prejuízo financeiro, operacional ou de imagem.

Nesse sentido, plataformas especializadas em Bug Bounty têm um papel primordial no combate ao cibercrime em sistemas do país. Elas são a porta de entrada para ajudar corporações parceiras a saber quais são as suas fragilidades digitais, o que gera a oportunidade de encontrar soluções antes do surgimento de problemas. 

Em meio a um contexto em que os criminosos sempre procuram por novas formas de atacar, tomar a frente com medidas de redução de danos não é mais um bônus, e sim uma obrigação. Afinal, não é à toa que esse programa de recompensa por bugs se tornou uma tendência no segmento de cibersegurança, que deve se desenvolver cada vez mais e permanecer em alta por muitos anos.

*Caio Telles é cofundador e CEO da BugHunt, a primeira plataforma brasileira de Bug Bounty. Formado em Engenharia  de Computação, atua na área de segurança há 11 anos com foco em segmentos diversos como segurança ofensiva, defensiva, conscientização, GRC, entre outros.