No último dia 13 de janeiro foi lançado o aguardado relatório “Global Cybersecurity Outlook 2025“, publicado pelo Fórum Econômico Mundial. O documento destaca as tendências emergentes em cibersegurança que impactarão economias e sociedades no próximo ano – o relatório foi conservador neste ponto, uma vez que os impactos certamente alcançarão muito além do que apenas um ano.
A análise, que traz uma série de dados relevantes e que serão citados a seguir, revela um cenário cibernético cada vez mais complexo, influenciado por tensões geopolíticas, adoção acelerada de tecnologias emergentes, interdependências nas cadeias de suprimentos e sofisticação crescente do cibercrime.
Assine gratuitamente a newsletter Últimas Notícias do JOTA e receba as principais notícias jurídicas e políticas do dia no seu email
As tensões geopolíticas (em crescimento) estão moldando as estratégias de cibersegurança das organizações (públicas e privadas). Cerca de 60% das empresas relataram que tais tensões influenciaram diretamente suas abordagens de segurança cibernética.
De acordo com o relatório, um em cada três CEOs apontou a ciberespionagem e o roubo de propriedade intelectual como principais preocupações. No caso das pequenas empresas, 35% consideram que sua resiliência cibernética é inadequada, um aumento de 700% desde 2022; por outro lado, a proporção de grandes companhias que relatam insuficiência nessa área caiu quase pela metade no mesmo período: de 13 para 7%.
Essa disparidade é ainda mais evidente (e grave) ao se considerar as variações entre Norte e Sul Global. Na Europa e na América do Norte, segundo pesquisa realizada pelo relatório, 15% expressaram desconfiança na capacidade de seus países de lidar com grandes incidentes cibernéticos que afetem infraestruturas críticas. Esse índice, entretanto, salta significativamente para 36% na África e alcança incríveis 42% na América Latina.
No caso do setor público, os desafios são ainda mais pronunciados. Cerca de 38% dos entrevistados apontaram insuficiência na resiliência cibernética, em comparação com apenas 10% das empresas privadas de médio e grande porte. Essa diferença também se reflete na força de trabalho especializada em segurança cibernética: 49% das organizações do setor público relataram carecer de talentos necessários para alcançar suas metas de proteção, o que representa um aumento de 33% em relação aos números de 2024.
Além disso, a alta complexidade das cadeias de suprimentos, aliada à falta de visibilidade sobre os níveis de segurança dos fornecedores, emergiu como o principal risco cibernético para as organizações. Cerca de 54% das grandes empresas identificaram desafios na cadeia de suprimentos como a maior barreira para alcançar resiliência cibernética. Preocupações centrais incluem vulnerabilidades de software introduzidas por terceiros e a propagação de ataques cibernéticos por todo o ecossistema.
A acelerada implementação de tecnologias emergentes, especialmente a inteligência artificial, está introduzindo novas vulnerabilidades. Embora 66% das organizações esperem que a IA tenha um impacto significativo na cibersegurança em 2025, apenas 37% possuem processos para avaliar a segurança dessas ferramentas antes da implantação.
Essa lacuna destaca o paradoxo entre o reconhecimento dos riscos impulsionados pela IA e sua implementação sem as devidas salvaguardas de segurança (inclusive de dados pessoais sensíveis).
A proliferação explosiva de IA generativa está ampliando as capacidades dos cibercriminosos, resultando em um aumento significativo de ataques de engenharia social, a ponto de aproximadamente 72% das organizações terem relatado um aumento nos riscos cibernéticos, com o ransomware permanecendo uma preocupação central. Cerca de 47% das empresas citaram os avanços adversários impulsionados pela IA generativa como sua principal preocupação, permitindo ataques mais sofisticados e em maior escala.
Sendo este um problema naturalmente global, talvez o grande desafio seja a fragmentação regulatória. Embora as regulamentações sejam vistas como um fator importante para construir confiança (isto é, a regulamentação eficiente é altamente desejável), a desconexão entre as nações está criando desafios para as organizações.
Mais de 76% dos diretores de segurança da informação (CISOs) relataram que a fragmentação das regulamentações entre jurisdições afeta a capacidade das organizações em manter a conformidade. Se a proteção de dados avançou bastante do ponto de vista de regulação global, o mesmo deve ser perseguido, com urgência, no cenário da cibersegurança.
No Brasil, a propósito, tramita no Congresso a PEC 3/2020, que estabelece que a União terá o papel central na formulação de normas sobre defesa cibernética, e os demais entes ficarão encarregados de garantir a proteção cibernética nos serviços públicos, o que pode implicar maiores investimentos em tecnologia e capacitação; gerando serviços digitais mais seguros; já para as empresas de tecnologia, a iniciativa pode induzir novos negócios, impulsionadas pela crescente necessidade de soluções e serviços especializados em segurança cibernética.
Outra iniciativa nacional, mais detalhista, é a Estratégia Nacional de Segurança Cibernética, um plano do governo para proteger o espaço cibernético do país, visando a segurança, resiliência e a soberania digital, e o Decreto 11.856/2023, que institui a Política Nacional de Cibersegurança e o Comitê Nacional de Cibersegurança, a quem cabe, sobretudo, orientar a atividade de cibersegurança no país, bem como avaliar e propor medidas para o incremento da segurança cibernética.
Nesse cenário, as implicações jurídicas são multifacetadas. Primeiro, no que diz respeito à conformidade regulatória, já que fragmentação das regulamentações impõem às empresas que adotem uma abordagem proativa para garantir conformidade em múltiplas jurisdições, o que exige de advogados especializados em direito digital a correta interpretação e implementação de normas diversas, buscando minimizar riscos legais.
Além disso, a gestão de contratos também demanda atenção: dada a complexidade das cadeias de suprimentos, é crucial que os contratos com fornecedores incluam cláusulas robustas de cibersegurança. Isso assegura que terceiros mantenham padrões adequados de proteção de dados, reduzindo a responsabilidade em caso de incidentes.
Tal elemento ganha ainda mais relevância com a crescente utilização dos contratos inteligentes de execução autônoma ou semiautônoma, o que, no Brasil, deve ganhar ainda mais tração com a emergência do Drex.
Com o aumento do ciberespionagem, as empresas devem reforçar medidas legais para proteger sua propriedade intelectual, incluindo a implementação de políticas internas e ações judiciais se (quando) necessário.
A sofisticação dos ataques cibernéticos pode resultar em responsabilidades para as organizações, especialmente se for comprovada negligência na adoção de medidas de segurança. Advogados devem estar preparados para demandas com base nas melhores práticas.
Por fim, temos que a rápida adoção de tecnologias (sendo a emergência da IA como a mais destacada delas) levanta questões cada vez mais complexas sobre privacidade e proteção de dados. Embora esse item do debate esteja um pouco mais maduro no Brasil e no mundo, é certo que as empresas devem garantir que suas práticas estejam em conformidade com legislações de proteção de dados.
O “Global Cybersecurity Outlook 2025” ressalta a necessidade de uma abordagem integrada que combine estratégias de cibersegurança com assessoria jurídica especializada. Advogados devem estar na vanguarda, auxiliando organizações a navegar por um ambiente regulatório ainda incipiente, gerenciar riscos cada vez mais desafiadores e garantir que as práticas de segurança estejam alinhadas com as exigências legais, mais do que isso, auxiliar no robustecimento das melhores práticas para a segurança das organizações e de seus interlocutores.