A concentração de riscos em ecossistemas tecnológicos centralizados, em um cenário de ameaças crescentes, será um dos principais riscos para as organizações em 2025. A interrupção da CrowdStrike em 2024 resultou em uma perda estimada de US$ 5,2 bilhões. Isso foi causado por um erro de um agente benigno. Um ataque malicioso deliberado em 2025 poderia ser catastrófico.
Concentrar serviços e capacidades em poucas grandes empresas aumenta o risco de problemas sistêmicos e interrupções globais. A proliferação de dispositivos conectados e autônomos em infraestruturas críticas e produtos de consumo criará novas vulnerabilidades para ataques cibernéticos disruptivos. O modelo tradicional de controle operacional está rapidamente se tornando obsoleto, sendo substituído por uma necessidade urgente de adaptabilidade, inovação e resiliência diante de interrupções constantes.
Os riscos de concentração digital em 2025 são impulsionados por três fatores principais:
Agentes estatais ameaçadores: Incentivados por confrontos crescentes na Europa e no Oriente Médio, os agentes estatais estão abandonando normas de comportamento anteriores no espaço digital. À medida que mais limites são ultrapassados em 2025, esses agentes continuarão a implementar operações cibernéticas sistemicamente disruptivas contra infraestruturas críticas e provedores de tecnologia centralizados, buscando vantagens militares, políticas e econômicas sobre seus adversários.
Alvos críticos vulneráveis: Os serviços em nuvem centralizados oferecerão os maiores retornos para os agentes ameaçadores no domínio digital. A exploração de vulnerabilidades nos sistemas tecnológicos por meio de compromissos na cadeia de suprimentos e o envenenamento de atualizações ultrapassará a maioria das defesas. A contínua adoção de tecnologias emergentes, como IA e robótica industrial, exacerbará os riscos de concentração em 2025.
Respostas ineficazes do governo: A maioria dos governos reconheceu os riscos sistêmicos que os ecossistemas digitais concentrados representam para suas sociedades, mas não conseguiu responder de forma eficaz. Regulamentações como a NIS2 e a DORA da UE impõem obrigações tangíveis às empresas para gerenciar sua própria resiliência digital e a de seus fornecedores. Os Estados Unidos já emitiram diretrizes semelhantes, enquanto a China tem buscado ativamente preservar a segurança das tecnologias digitais críticas ao longo dos anos.
Infelizmente, esses esforços têm se mostrado ineficazes para reduzir a exposição da maioria das empresas a riscos de concentração disruptiva. Pior ainda, eles têm dificultado a capacidade de algumas empresas de construir resiliência por meio da diversificação de fornecedores, além de, inadvertidamente, favorecer a concentração do desenvolvimento de tecnologias críticas em um pequeno número de players globais. Embora alguns reguladores estejam pedindo a possível desagregação desses players, a probabilidade de isso ocorrer é extremamente baixa.
O que isso significa para os negócios
A concentração dos ecossistemas digitais obrigou as empresas a abrir mão do controle sobre seus ativos mais críticos. Poucas terão a capacidade de proteger suas próprias redes; ainda menos conseguirão gerenciar suas dependências tecnológicas essenciais. Os agentes de ameaças beligerantes não estão mais restritos por normas não ditas que antes regulamentavam o espaço digital. As empresas precisarão se preparar para falhas globais nos sistemas. Agilidade e resiliência serão fundamentais para aquelas que conseguirem gerenciar os impactos, em contraste com aquelas que sofrerão interrupções operacionais contínuas nos próximos anos.
