Navegando pelos riscos de segurança cibernética no comércio internacional

Regras – e ansiedades – variam de país para país.
Navegando pelos riscos de segurança cibernética no comércio internacional
Navegando pelos riscos de segurança cibernética no comércio internacional

Para as empresas que vendem produtos digitais internacionalmente, as preocupações com a segurança cibernética podem ter um impacto devastador nos negócios – as empresas podem ser impedidas de entrar nos mercados nacionais, envolver-se na política e ter suas reputações difamadas em todo o mundo. No entanto, não é fácil navegar por esse problema. Regras e ansiedades diferem de país para país. Em geral, como um país pode reagir é impulsionado por: capacidade nacional na gestão de riscos cibernéticos, o nível de confiança entre o governo e as empresas e geopolítica. As empresas não conseguem controlar esses fatores, mas podem se preparar para eles. Especificamente, uma boa estratégia deve envolver: construir uma forte cultura de governança de segurança cibernética; preparar-se para jogar política e polir sua imagem de segurança cibernética; desenvolver um plano de saída para mercados e um plano de reentrada; ajudar governos anfitriões a melhorar suas capacidades de segurança cibernética; e construir seu poderes de negociação.


O comércio digital é crucial para quase todas as empresas, mas também apresenta novas complicações. Quando produtos ou serviços que contêm um computador ou podem ser conectados à Internet – o que quase todos os produtos ou serviços fazem – cruzam fronteiras, surgem riscos de segurança cibernética. As preocupações crescentes de que estados ou empresas estrangeiras possam abusar de produtos digitais para coletar dados de privacidade, vulnerabilidades de plantas ou de outra forma causar danos significam que os produtos digitais vendidos além das fronteiras estão sujeitos a um maior escrutínio e controles e podem ser direcionados para proibições – de forma justa ou não – pelos governos anfitriões. Navegar e mitigar esses riscos precisa fazer parte da estratégia de digitalização de todas as empresas transnacionais.

Deixar de explicar adequadamente esses riscos significa cortejar um desastre. Por exemplo, a Alemanha proibiu a venda e a propriedade da boneca “My Friend, Cayla” ativada por voz nos EUA em 2017, com base no fato de continha um dispositivo de vigilância oculto que violou os regulamentos federais de privacidade alemães e poderia ser usado para espionar e coletar dados pessoais. O equipamento 5G da Huawei levantou preocupações de que o governo chinês possa plantar backdoors para monitorar redes críticas de telecomunicações, em resposta a muitos países proibiu ou restringiu o uso do equipamento 5G da Huawei.

Isso não é apenas paranóia — exemplos que motivam preocupações reais. Por exemplo, Crypto AG, fabricante de dispositivos de criptografia, era propriedade da CIA dos EUA e do BND alemão. De 1970 a 2018 (ou década de 1990, no caso do BND), as agências usaram backdoors para invadir mensagens criptografadas de aliados e inimigos.

Para entender como as empresas podem se envolver em controvérsias – e como elas podem navegar nessas situações – analisamos 75 casos que demonstram que já é um fenômeno global envolvendo mais de 31 países, incluindo todas as principais economias, como membros do G20 e da OCDE. Observamos casos incluindo (mas não limitado a) computadores e equipamentos de rede, dispositivos médicos, serviços de videoconferência, software de segurança, mídia social, câmeras de segurança, sistemas de TI bancários, drones, smartphones, brinquedos inteligentes, software de IA e transferências internacionais de fundos e sistemas de pagamento. Ficar preso em questões de segurança cibernética não é uma questão de se mas em vez de quando e como para empresas transnacionais.

Um conjunto de regras colcha de retalhos — e político —

Tecnicamente falando, os riscos inerentes à segurança cibernética nos produtos digitais transnacionais são os mesmos para todos os estados. Mas os governos adotar várias estratégias para resolver essas preocupações, como a implementação de limitações de importação, pré-requisitos de acesso ao mercado e requisitos de serviços pós-venda para gerenciar os possíveis riscos de segurança cibernética. Como resultado, as empresas internacionais devem negociar um sistema fragmentado de regras e requisitos que mudam de país para país e, muitas vezes, dia a dia – e que cria riscos significativos para as empresas que buscam navegá-lo.

Portanto, considerações técnicas não são as únicas que moldam a política. As empresas também devem considerar esses fatores críticos ao pensar sobre sua estratégia digital internacional.

Capacidade do governo no gerenciamento de riscos de segurança cibernética. As reações de um governo são moldadas por sua capacidade de gerenciar riscos de segurança cibernética , tais como: as leis e regulamentos sobre segurança cibernética; a implementação de capacidades técnicas por meio de agências nacionais e setoriais específicas; as organizações que implementam a segurança cibernética; e as campanhas de conscientização, treinamento, educação e parcerias entre agências, empresas e países. Governos com alta capacidade de segurança cibernética podem considerar o risco de segurança cibernética mais gerenciável, portanto, são mais propensos a adotar políticas de comércio digital menos restritivas.

Confiança entre governos e empresas. É funcionalmente impossível para um governo examinar as milhões de linhas de software ou firmware dentro de cada produto e serviço digital vendido em suas fronteiras. As decisões são tomadas com base nos riscos percebidos, que serão significativamente afetados pela confiança entre governos e empresas, bem como nas relações entre negócios e negócios. A confiança e a fidelidade empresarial desenvolvidas ao longo do tempo podem incentivar a adoção de uma abordagem orientada para a gestão de riscos cibernéticos pelos governos locais e despolitizar os riscos cibernéticos. Nossa pesquisa também mostra que tal confiança e lealdade aos negócios aumentam o poder de barganha de uma corporação com os governos locais, especialmente para governos com uma eficácia governamental relativamente baixa e controle da corrupção. Nesse caso, as corporações têm mais chance de negociar com o governo para evitar, ou pelo menos aliviar, o impacto de possíveis restrições relacionadas a preocupações com a segurança cibernética.

Geopolítica. Veja os produtos 5G da Huawei como um exemplo típico. Os EUA tinham todos os motivos para aceitar a Huawei, dada a alta qualidade e os baixos custos de seus produtos e a necessidade de atualizar as redes de comunicações dos EUA para o 5G. Os riscos, como acontece com quase todos os fornecedores, poderiam ter sido mitigados monitorando e detectando quaisquer vulnerabilidades. No entanto, a proibição dos dispositivos da Huawei ainda aconteceu — em grande parte por causa da rivalidade geopolítica. O Japão e a Austrália seguiram a liderança dos Estados Unidos, devido às suas estreitas relações estratégicas com os EUA. Da mesma forma, o Reino Unido proibiu a instalação de novos equipamentos da Huawei. Por outro lado, a capacidade da Alemanha de equilibrar entre a China e a política dos EUA resultou em um ambiente de mercado 5G relativamente equilibrado para todos os fornecedores, incluindo a Huawei. Suíça, um país neutro não envolvido em conflitos armados ou políticos com outros estados, concluiu que o equipamento da Huawei não representava riscos significativos e construiu uma rede 5G usando os dispositivos da Huawei.

Notavelmente, é um desafio para as empresas prever como os países individuais reagirão aos riscos de segurança cibernética do comércio digital, mas as empresas precisam entender e aceitar essa nova realidade. Em nossa pesquisa, desenvolvemos um método para antecipar resultados — e ações identificadas que as empresas podem tomar para mitigar resultados desfavoráveis.

Desenvolver uma estratégia ativa

Dado o quão fragmentado é o sistema global de governança de segurança cibernética, as corporações precisam adotar uma abordagem ativa para refinar sua estratégia digital global. Embora esses esforços nem sempre valham a pena, eles prepararão as empresas para abordar questões de segurança cibernética quando elas inevitavelmente surgirem. Algumas ações incluem:

Crie uma cultura eficaz de governança de segurança cibernética. Construir recursos de segurança cibernética em produtos digitais está se tornando um de fato pré-requisito de acessos ao mercado para muitos produtos digitais transnacionais, especialmente para infraestruturas críticas como sistemas de TI financeiros ou redes 5G. As empresas devem cultivar uma cultura de segurança cibernética dentro de suas organizações, incluindo ambas lideranças e equipes de desenvolvimento de produtos, para promover a conscientização de importância da segurança cibernética para o sucesso do mercado. Além de seguir os padrões internacionais, as empresas devem desenvolver um sistema flexível de governança de segurança cibernética que possa se adaptar e cumprir com eficácia as diferentes políticas e regulamentos de segurança cibernética nos mercados-alvo.

Esteja preparado para jogar política e criar uma imagem cibersegura. Como não é viável examinar minuciosamente o software, firmware ou hardware de cada produto, a reputação é fundamental em relação às questões de segurança cibernética. Os clientes acreditarão que uma empresa com grande reputação fará o possível para aprimorar os recursos de segurança cibernética em um produto digital, não prejudicará seus clientes explorando atentamente a vulnerabilidade e lidará com um incidente de segurança cibernética com responsabilidade se isso acontecer. Portanto, as corporações devem defender ativamente sua reputação de mercado, mostrando seu compromisso com a segurança cibernética. Ninguém quer fazer da “insegurança” uma parte das marcas corporativas na era digital. É importante ressaltar que uma reputação tão alta pode ajudar uma empresa a evitar ser pega pela politização de questões de segurança cibernética.

Esteja disposto a sair e se preparar para voltar atrás. Em um mercado onde as preocupações com a segurança cibernética foram politizadas e é muito caro para as corporações cumprir os requisitos de segurança cibernética, sair temporariamente do mercado pode ser uma boa opção. Mas mesmo quando uma empresa é bloqueada de um mercado, como a Huawei foi bloqueada do mercado dos EUA ou a retirada do Google da China, defender a reputação pode ajudar a manter sua parceria com outros países.

Além disso, as corporações devem prestar atenção ao estratégia de reentrada após sair do mercado, especialmente quando a proibição do mercado abrange apenas um subconjunto dos negócios de uma corporação ou é impulsionada por influências políticas externas. É cada vez mais comum que empresas globais reentrem nos mercados estrangeiros, portanto, uma estratégia de reentrada eficaz, como manter o conhecimento, aprender os mercados, preparar o modelo de reentrada com novos produtos de segurança cibernética e monitorar o ambiente de politização nos mercados-alvo, é fundamental quando as corporações podem retornar.

Ensine governos anfitriões. Como os riscos de segurança cibernética das ofertas digitais são inevitáveis, as corporações devem adotar uma abordagem ativa para ajudar o governo anfitrião a desenvolver a capacidade de gerenciar os riscos potenciais. Por exemplo, lançar um centro de transparência para clientes, incluindo governos, para verificar se os riscos de segurança cibernética são mínimos está se tornando uma prática recomendada. Isso demonstra a confiança da empresa e aumenta a confiança dos clientes com a segurança cibernética incorporada nos produtos.

É importante ressaltar que a capacidade suficiente de segurança cibernética pode ajudar o governo anfitrião a implementar políticas que possam mitigar os riscos de segurança cibernética sem introduzir barreiras irracionais. Por exemplo, com um alto compromisso de segurança cibernética, a Alemanha estava disposta a assumir alguns riscos com sua implantação de rede 5G, mas minimizou esses riscos fornecendo um “catálogo de segurança claramente definido” para especificar os requisitos de segurança para todos os fornecedores.

Além disso, ajudar o governo anfitrião com o desenvolvimento de recursos de segurança cibernética compensa, pois medidas de proteção suficientes podem estar em vigor quando chega a hora de pilotar ou testar os serviços prestados nesse mercado.

Construa seu poder de barganha. Com uma situação tão fragmentada de governança de segurança cibernética, a mesma preocupação com a segurança cibernética pode resultar em resultados radicalmente diferentes em diferentes países. Portanto, desenvolver e manter mecanismos de confiança e colaboração é fundamental. Muitas abordagens, como reforçar as equipes de lobby, comprometer-se com atividades locais de segurança cibernética e atuar como um bom cidadão corporativo, foram sugeridos e adotados.

Notavelmente, a complexidade da segurança cibernética está tornando as corporações mais poderosas no ciberespaço. Como Google, Amazon e Meta (anteriormente Facebook), algumas corporações controlam firmemente a infraestrutura ciberfísica global, código, algoritmos ou dados. Embora enfrentem crescente pressão política, eles têm o de fato poder para definir regras de segurança cibernética, incluindo a recusa de solicitações de certos governos. Por exemplo, o WhatsApp e o Telegram se recusaram a criar backdoors solicitados por alguns governos para acessar o conteúdo da mensagem criptografada, o que teria invadido a privacidade de seus clientes.

As corporações também podem aumentar sua influência por meio de consórcios para representá-las perante governos ou mercados internacionais, recomendar políticas de segurança cibernética e promover padrões internacionais de segurança cibernética. Empresas internacionais iniciaram diálogos e acordos, como Convenção Digital de Genebra e Paris chama confiança e segurança no ciberespaço promover os princípios globais de governança de segurança cibernética.

Em muitos casos, os governos podem ter autoridade, mas não têm capacidade suficiente de segurança cibernética e, portanto, estão mais abertos a receber contribuições de consórcios globais. Por exemplo, as entradas da Software Alliance (BSA) e a Fundação de Informação e Tecnologia e Inovação (ITIF) contribuiu para removendo os requisitos de localização de dados para a adoção de serviços de computação em nuvem estrangeiros nas instituições financeiras do Brasil.

***

Toda empresa cujos produtos digitais ultrapassam fronteiras precisa de um plano de governança de segurança cibernética eficaz que equilibra tecnologia, relações geopolíticas, capacidade governamental, reputação de mercado e colaborações público-privadas. Se essa capacidade não existe agora, os executivos devem se treinar na preparação ou procurar novos diretores que tenham essa capacidade de adicionar ao conselho. Todas as empresas que fornecem ou dependem de produtos digitais transnacionais provavelmente enfrentarão preocupações de segurança cibernética mais cedo ou mais tarde. E mesmo que a preparação não possa mantê-los fora do lugar quente, pode fazer toda a diferença quando eles estiverem lá.

Reconhecimento: Esta pesquisa foi apoiada, em parte, por fundos da National Natural Science Foundation of China e de membros do consórcio Cybersecurity at MIT Sloan (CAMS). Fang Zhang é o autor correspondente.


  • KH
    Keman Huang is an Associate Professor at the Renmin University of China and a Research Affiliate at the MIT Sloan School of Management, where he works on cybersecurity management and policy, innovation ecosystems, and big data analysis.

  • Stuart Madnick is the John Norris Maguire (1960) Professor of Information Technologies in the MIT Sloan School of Management, Professor of Engineering Systems in the MIT School of Engineering, and Director of Cybersecurity at MIT Sloan (CAMS): the Interdisciplinary Consortium for Improving Critical Infrastructure Cybersecurity. He has been active in the cybersecurity field since co-authoring the book Computer Security in 1979.

  • FZ
    Fang Zhang is an Assistant Professor at the School of Public Policy and Management Tsinghua University and a Research Fellow at the John F. Kennedy School of Government Harvard University.
  • Related Posts
    Os novos líderes do século XXI

    Inovação Policêntrica: A Nova Agenda Global de Inovação para MNCs

    Recentemente, entreguei uma conversa sobre o Conselho sobre as relações estrangeiras intitulado "Gerenciando a nova trajetória da Inovação Global" explicando por que e como as multinacionais devem revirmar sua estratégia de inovação ocidental, a fim de efetivamente alavancar ideias, talentos e mercados globais. No nosso mundo cada vez mais multi-polar caracterizado pelo aumento inexorável dos mercados emergentes como o Brasil, [...]
    Leer más
    Os novos líderes do século XXI

    Como as Empresas Globais Vencem

    Competição internacional. Os cidadãos da maioria dos países industrializados mais antigos tornaram-se obcecados com isso desde que os primeiros carros japoneses começaram a vender bem. A vulnerabilidade substituiu a invencibilidade como a palavra que muitos usariam para descrever uma vez empresas internacionais firmemente estabelecidas. Mas esta inquietação obscurece as conquistas constantes que várias corporações tornaram-se contra a concorrência [...]
    Leer más