MIT Cybersecurity Clinic fortalece defesa contra ciberataques

Como o MIT Cybersecurity Clinic ajuda organizações a prevenir ciberataques

A crescente sofisticação dos ataques cibernéticos transformou a segurança digital em um dos principais desafios para organizações responsáveis pela operação de serviços essenciais. Municípios, hospitais e outras instituições públicas administram infraestruturas críticas que sustentam atividades indispensáveis para a população, mas frequentemente operam com recursos financeiros limitados e equipes reduzidas de especialistas em segurança da informação. Esse cenário amplia significativamente a superfície de ataque explorada por grupos criminosos.

O problema não está restrito à indisponibilidade de sistemas computacionais. Um incidente cibernético pode interromper serviços públicos, comprometer dados sensíveis de cidadãos, afetar processos administrativos e gerar elevados custos de recuperação. Em ambientes onde a continuidade operacional representa um requisito fundamental, a ausência de estratégias consistentes de prevenção pode provocar impactos que ultrapassam o domínio tecnológico e alcançam toda a estrutura administrativa.

Foi justamente diante dessa realidade que o Departamento de Urban Studies and Planning (DUSP) do Massachusetts Institute of Technology (MIT) desenvolveu uma abordagem diferenciada para a formação de profissionais e para o fortalecimento da segurança digital em organizações vulneráveis. Em 2019, os professores Jungwoo Chun e Lawrence Susskind criaram o MIT Cybersecurity Clinic, iniciativa que combina ensino prático, prestação de serviço gratuito e desenvolvimento de capacidade organizacional.

Mais do que ensinar técnicas de segurança ofensiva ou defensiva, o programa procura desenvolver uma visão estratégica da cibersegurança, considerando fatores humanos, organizacionais, financeiros e de governança como elementos fundamentais para reduzir riscos.

Neste artigo analisaremos como o MIT estruturou essa iniciativa, quais problemas procura resolver, por que pequenas organizações públicas apresentam vulnerabilidades recorrentes e quais práticas identificadas pelo programa podem contribuir para reduzir significativamente a exposição a ataques digitais.

O crescimento dos ataques contra organizações públicas

O curso utiliza como estudo de caso um dos episódios mais emblemáticos envolvendo ransomware em governos municipais norte-americanos. Em maio de 2019, a cidade de Baltimore sofreu um ataque que bloqueou o acesso a diversos arquivos críticos utilizados pela administração pública. Os criminosos exigiram pagamento para liberar os sistemas comprometidos, mas o governo decidiu não negociar com os responsáveis.

A decisão preservou o princípio de não financiar atividades criminosas, porém expôs a dimensão operacional que um ataque dessa natureza pode provocar. Diversos serviços municipais ficaram indisponíveis, incluindo transações imobiliárias e sistemas de pagamento. O processo de recuperação consumiu milhões de dólares, demonstrando que o impacto financeiro representa apenas uma parte das consequências.

Para o MIT, esse caso evidencia que ataques de ransomware contra governos locais deixaram de ser eventos isolados e passaram a integrar um padrão recorrente de ameaças direcionadas à infraestrutura pública. A interrupção de serviços essenciais cria um efeito em cadeia que afeta diretamente cidadãos, empresas e a própria capacidade operacional das instituições.

Segundo Jungwoo Chun, quando uma organização responsável por serviços essenciais sofre um ataque, seus efeitos ultrapassam a esfera tecnológica, produzindo consequências que atingem praticamente todas as dimensões da vida cotidiana.

A dimensão do problema segundo os dados apresentados pelo MIT

O material utilizado pelo MIT demonstra que o cenário continua evoluindo rapidamente. Dados apresentados no curso mostram que, somente em 2025, o Internet Crime Complaint Center (IC3) do FBI registrou uma média de 2.765 ataques cibernéticos direcionados diariamente a cidadãos e organizações nos Estados Unidos.

Embora essa estatística represente o volume geral de ocorrências, ela ajuda a ilustrar o ambiente extremamente hostil em que governos locais, hospitais e demais instituições públicas precisam operar. Cada novo incidente amplia a necessidade de adoção de mecanismos preventivos capazes de reduzir vulnerabilidades antes que sejam exploradas.

O estudo também cita levantamento da Comparitech indicando que, entre 2018 e 2024, ocorreram 525 ataques de ransomware contra entidades governamentais norte-americanas. Em média, isso representa aproximadamente um ataque a cada cinco dias.

Além da frequência elevada, o levantamento estima aproximadamente US$ 1,09 bilhão em custos relacionados ao tempo de indisponibilidade causado pelos incidentes. Embora cada ataque apresente características distintas, o conjunto desses dados evidencia como a interrupção operacional pode representar prejuízos muito superiores aos investimentos necessários para prevenção.

Por que municípios e hospitais são alvos frequentes

O MIT identifica um conjunto de fatores estruturais que tornam determinadas organizações especialmente vulneráveis aos ataques cibernéticos. Pequenos municípios, hospitais e instituições sem fins lucrativos normalmente administram serviços essenciais utilizando recursos financeiros bastante limitados.

Ao mesmo tempo, essas organizações enfrentam dificuldades para contratar especialistas em segurança da informação. A demanda por profissionais qualificados supera amplamente a oferta disponível no mercado, enquanto empresas privadas frequentemente conseguem oferecer salários incompatíveis com os orçamentos do setor público.

Essa combinação entre responsabilidade operacional elevada, limitações orçamentárias e escassez de profissionais especializados cria um ambiente onde controles básicos de segurança podem permanecer incompletos por longos períodos.

Nos últimos anos, ataques contra organizações semelhantes às atendidas pelo MIT colocaram em risco sistemas de abastecimento de água, afetaram serviços de emergência como o 911, comprometeram operações policiais e expuseram informações pessoais de cidadãos. Esses exemplos demonstram que a segurança cibernética deixou de ser apenas uma preocupação do departamento de TI para se tornar um requisito essencial da continuidade operacional.

O nascimento do MIT Cybersecurity Clinic

Foi diante desse cenário que Jungwoo Chun e Lawrence Susskind criaram, em 2019, o MIT Cybersecurity Clinic. O programa foi concebido para funcionar de maneira semelhante às clínicas utilizadas tradicionalmente nos cursos de Direito e Medicina, onde estudantes desenvolvem experiência prática enquanto prestam serviços supervisionados à comunidade.

No modelo adotado pelo MIT, a iniciativa possui dois objetivos complementares. O primeiro consiste em formar profissionais capazes de compreender a segurança cibernética sob uma perspectiva multidisciplinar, integrando conhecimentos técnicos, gestão pública, governança e comportamento organizacional.

O segundo objetivo é oferecer avaliações gratuitas de segurança para organizações consideradas mais vulneráveis. Após concluir módulos de treinamento e serem aprovados em um exame de certificação, os estudantes passam a atuar em equipes responsáveis por avaliar clientes reais. Ao final do semestre, cada grupo entrega um relatório confidencial identificando vulnerabilidades e apresentando recomendações práticas para fortalecer a proteção da organização.

Desde sua criação, o programa já realizou mais de 40 avaliações gratuitas, concentrando sua atuação principalmente em municípios da região da Nova Inglaterra e organizações da área da saúde.

Por que a cibersegurança não é apenas um problema tecnológico

Um dos aspectos mais inovadores do MIT Cybersecurity Clinic é sua abordagem multidisciplinar. Diferentemente de programas focados exclusivamente em tecnologias de proteção, a iniciativa parte do princípio de que a maioria dos incidentes de segurança continua envolvendo fatores humanos, organizacionais e de governança. Essa perspectiva levou os professores Jungwoo Chun e Lawrence Susskind a desenvolverem o conceito de “defensive social engineering”, ou engenharia social defensiva.

Tradicionalmente, o termo engenharia social está associado às técnicas utilizadas por criminosos para manipular pessoas e obter acesso a sistemas ou informações confidenciais. O MIT adota a lógica inversa: em vez de explorar o comportamento humano, procura fortalecê-lo como mecanismo de defesa. A proposta é transformar colaboradores, gestores e equipes técnicas em participantes ativos da estratégia de segurança, reduzindo vulnerabilidades que não podem ser eliminadas apenas com a aquisição de novas ferramentas.

Essa visão parte da constatação de que investimentos em soluções tecnológicas, embora importantes, não produzem os resultados esperados quando a organização não possui processos claros, cultura de segurança e liderança comprometida. Em outras palavras, a tecnologia representa apenas um dos componentes necessários para reduzir riscos.

Segundo Jungwoo Chun, a evolução da Inteligência Artificial ampliou significativamente as capacidades dos criminosos. Ferramentas baseadas em IA podem identificar vulnerabilidades e automatizar ataques com velocidade crescente. Ainda assim, ele ressalta que o principal vetor de ataque continua sendo o fator humano, reforçando a importância de desenvolver comportamentos seguros em todos os níveis da organização.

Construindo capacidade organizacional como estratégia de defesa

Outro diferencial destacado pelo MIT é a preocupação em fortalecer a capacidade institucional dos clientes atendidos. Em vez de limitar as avaliações à identificação de falhas técnicas, os estudantes analisam como a organização toma decisões, distribui responsabilidades e administra seus recursos disponíveis.

Lawrence Susskind observa que muitos alunos oriundos da Computação chegam ao curso esperando concentrar esforços em aspectos puramente tecnológicos. Durante o desenvolvimento das avaliações, entretanto, percebem que a implementação de melhorias depende diretamente da estrutura administrativa da instituição atendida.

Um diretor de tecnologia pode identificar riscos importantes, mas frequentemente depende da aprovação da administração municipal para ampliar equipes, adquirir equipamentos ou implementar novos projetos. Sem compreender essas relações institucionais, recomendações tecnicamente corretas podem se tornar inviáveis na prática.

Da mesma forma, estudantes provenientes de áreas como planejamento urbano e ciências sociais ampliam sua compreensão sobre os riscos tecnológicos associados às cidades inteligentes, infraestrutura digital e sistemas conectados. O programa promove, assim, uma integração entre conhecimentos técnicos e organizacionais que dificilmente seria alcançada por disciplinas isoladas.

Uma formação multidisciplinar para enfrentar ameaças em constante evolução

A rápida evolução da segurança cibernética exige atualização contínua. O próprio MIT reconhece que nenhuma equipe acadêmica consegue acompanhar sozinha todas as mudanças promovidas por novas tecnologias, especialmente aquelas relacionadas à Inteligência Artificial, infraestrutura crítica e sistemas industriais.

Para reduzir essa limitação, o curso incorpora especialistas convidados provenientes da indústria, de órgãos governamentais, de outras universidades e de diferentes departamentos do próprio MIT. Essa estratégia permite que os estudantes tenham contato direto com profissionais que enfrentam diariamente desafios relacionados à proteção de ambientes críticos.

Entre os exemplos apresentados pelo material estão palestras sobre modelagem de riscos em sistemas de energia operando sob restrições orçamentárias, segurança cibernética aplicada a sistemas industriais de controle e apresentações conduzidas por representantes do MassCyberCenter e da Cybersecurity Infrastructure Security Agency (CISA), abordando iniciativas estaduais e federais voltadas ao fortalecimento da segurança digital.

Essa diversidade de perspectivas amplia a formação dos estudantes e demonstra que a proteção de infraestruturas críticas depende da integração entre tecnologia, políticas públicas, gestão de riscos e coordenação institucional.

Como funciona a preparação dos estudantes

Antes de iniciarem qualquer trabalho de campo, os participantes dedicam aproximadamente quatro semanas à preparação técnica e metodológica. Esse período é estruturado por módulos online complementados por discussões em sala de aula.

Durante essa etapa, os estudantes analisam a natureza dos ataques direcionados à infraestrutura urbana crítica, estudam as 23 áreas de risco consideradas mais relevantes para os perfis de clientes atendidos pelo programa e aprendem todas as etapas necessárias para conduzir avaliações estruturadas de segurança.

A preparação não se limita aos aspectos técnicos. O curso inclui simulações de situações frequentemente encontradas durante projetos reais. Os alunos precisam aprender, por exemplo, como agir quando clientes não fornecem informações suficientes, demonstram resistência às avaliações ou tentam influenciar os resultados para obter classificações mais favoráveis.

Segundo o estudante Diego Contreras, essa abordagem proporcionou um nível de preparação prática que ele nunca havia encontrado em outras disciplinas. A experiência aproxima o ambiente acadêmico das dificuldades efetivamente enfrentadas por profissionais responsáveis por avaliações de segurança.

Certificação e responsabilidade profissional

Ao final da fase inicial de treinamento, os estudantes realizam um exame de certificação. A aprovação, obrigatoriamente na primeira tentativa, é requisito para participar das atividades práticas junto aos clientes.

Após a certificação, cada equipe passa a atuar com elevado grau de autonomia. Embora continue recebendo orientação semanal dos professores e feedback sobre os relatórios produzidos, cabe aos próprios estudantes organizar reuniões, coletar informações, estabelecer cronogramas e construir uma relação de confiança com as organizações atendidas.

Essa responsabilidade representa um dos principais diferenciais do programa. Conforme relatado por Diego Contreras, atuar em nome do MIT exige elevado comprometimento profissional, além do desenvolvimento de competências interpessoais fundamentais para conduzir projetos de consultoria em ambientes reais.

O modelo também aproxima os participantes das responsabilidades encontradas no mercado de trabalho, onde a qualidade técnica precisa ser acompanhada por habilidades de comunicação, negociação e construção de credibilidade.

A elaboração de um roteiro estratégico de melhoria

Ao final de cada projeto, as equipes produzem um relatório confidencial apresentando as vulnerabilidades identificadas e um conjunto estruturado de recomendações para fortalecer a postura de segurança da organização. O objetivo não é apenas apontar falhas, mas construir um plano de evolução que possa orientar decisões futuras.

O estudante Zev Moore destaca que um dos maiores desafios consiste em equilibrar críticas e reconhecimento. Um relatório excessivamente negativo pode gerar resistência por parte do cliente, enquanto uma avaliação demasiadamente otimista compromete sua utilidade prática.

Por essa razão, os estudantes procuram validar as medidas de segurança já existentes ao mesmo tempo em que demonstram, de forma fundamentada, quais aspectos precisam ser aprimorados. Essa abordagem transforma o relatório em um roteiro colaborativo de melhoria contínua, favorecendo sua adoção pela organização.

Segundo o MIT, muitos clientes utilizam esses documentos como base para planejar investimentos de curto, médio e longo prazo, fortalecendo sua estratégia de segurança sem depender exclusivamente de iniciativas reativas após a ocorrência de incidentes.

Recomendações recorrentes identificadas pelo programa

Ao longo das dezenas de avaliações realizadas desde 2019, algumas recomendações passaram a aparecer com frequência por atenderem necessidades comuns entre municípios e organizações da área da saúde. Essas medidas representam controles fundamentais capazes de reduzir significativamente a exposição a ataques.

Entre elas está a manutenção de inventários completos de hardware e software conectados à rede, permitindo que a organização saiba exatamente quais ativos precisam ser protegidos e quem possui acesso a cada recurso. O conhecimento detalhado da infraestrutura constitui um requisito básico para qualquer estratégia consistente de gestão de riscos.

Outra orientação recorrente envolve a aplicação regular de atualizações de software, a realização de backups periódicos, a utilização obrigatória de autenticação multifator, políticas de atualização frequente de senhas e programas contínuos de conscientização para reduzir o risco de abertura de anexos ou mensagens provenientes de remetentes desconhecidos.

O MIT também recomenda que as organizações desenvolvam previamente um plano de resposta a incidentes, definindo responsabilidades, linhas de autoridade e posicionamento institucional sobre eventuais solicitações de pagamento de resgate. Além disso, enfatiza a importância de selecionar fornecedores que mantenham boas práticas de higiene cibernética, reduzindo riscos provenientes da cadeia de suprimentos digitais.

Lawrence Susskind destaca que nenhuma dessas medidas apresenta custo elevado quando comparada aos prejuízos potenciais decorrentes de um ataque bem-sucedido. Em conjunto, elas podem evitar grande parte dos custos e dos riscos associados aos incidentes de segurança enfrentados por organizações públicas.

A disseminação do modelo para além do MIT

Desde sua criação em 2019, o MIT Cybersecurity Clinic deixou de ser apenas uma disciplina universitária para se tornar um modelo de formação e apoio à segurança cibernética que vem sendo replicado por outras instituições. Segundo o material do MIT, mais de 120 estudantes já concluíram integralmente o programa, participando de avaliações reais voltadas principalmente para municípios e organizações da área da saúde.

O impacto da iniciativa também se expandiu por meio da disponibilização gratuita dos módulos de ensino utilizados na preparação dos alunos. Esses conteúdos passaram a integrar o curso aberto Cybersecurity for Critical Urban Infrastructure, oferecido na plataforma MITx. Com isso, o conhecimento desenvolvido para formar os participantes da clínica tornou-se acessível a dezenas de milhares de estudantes e profissionais interessados em compreender os desafios da proteção de infraestruturas críticas.

Essa estratégia amplia significativamente o alcance da iniciativa. Em vez de restringir a metodologia ao ambiente acadêmico do MIT, o programa contribui para a formação de profissionais em diferentes regiões e incentiva outras universidades a adotarem abordagens semelhantes na preparação de especialistas em segurança cibernética.

Outro fator que fortalece essa expansão é a criação, em 2021, de um consórcio de clínicas de cibersegurança cofundado pelo MIT em parceria com a University of California at Berkeley, Indiana University e University of Alabama. De acordo com o conteúdo original, o grupo já reúne 61 instituições participantes e continua em crescimento, demonstrando que a combinação entre ensino prático e atendimento a organizações vulneráveis desperta interesse crescente no meio acadêmico.

O acompanhamento após a entrega das avaliações

Uma característica importante do programa é que o relacionamento com os clientes não termina quando o relatório é entregue. Embora a maior parte das equipes conclua suas atividades ao final do semestre, alguns estudantes optam voluntariamente por continuar apoiando a implementação das recomendações apresentadas durante a avaliação.

Além dessa continuidade eventual, Jungwoo Chun e Lawrence Susskind mantêm contato periódico com as organizações atendidas durante pelo menos dois anos após cada projeto. Esse acompanhamento permite observar como as recomendações foram incorporadas, quais dificuldades surgiram durante a implementação e quais novos desafios passaram a fazer parte da realidade dessas instituições.

Segundo Chun, diversos clientes informaram que utilizaram os relatórios produzidos pelos estudantes como referência para estruturar seus planos de curto, médio e longo prazo relacionados à segurança cibernética. Em muitos casos, os documentos serviram como base para justificar junto às lideranças municipais ou administrativas a necessidade de ampliar investimentos em tecnologia e segurança da informação.

Esse resultado evidencia um aspecto relevante da metodologia adotada pelo MIT. A avaliação deixa de ser apenas um diagnóstico técnico e passa a funcionar como um instrumento de apoio à tomada de decisão, oferecendo credibilidade adicional para profissionais responsáveis por defender investimentos em proteção digital dentro de organizações com recursos limitados.

O valor estratégico da credibilidade técnica

O material do MIT destaca que muitos diretores de tecnologia e gestores de TI utilizaram os relatórios produzidos pelos estudantes como argumento técnico para solicitar novos recursos orçamentários. Segundo os relatos apresentados, a validação externa proporcionada pela equipe do MIT fortaleceu a capacidade desses profissionais de demonstrar às lideranças que determinadas melhorias eram necessárias.

Essa dinâmica evidencia que a gestão da segurança cibernética envolve muito mais do que conhecimento técnico. Em diversas organizações, especialmente no setor público, a implementação de controles depende da aprovação de gestores responsáveis pela definição do orçamento e das prioridades institucionais.

Nesse contexto, uma avaliação conduzida por uma equipe independente e baseada em metodologia estruturada pode representar um elemento importante para transformar necessidades técnicas em decisões administrativas concretas. O relatório deixa de ser apenas um documento de auditoria para atuar como um mecanismo de governança capaz de apoiar o planejamento estratégico da organização.

Outro indicativo da relevância desse trabalho aparece quando antigos clientes retornam ao programa solicitando novas avaliações após mudanças em equipes, processos ou infraestrutura tecnológica. Conforme destacado por Jungwoo Chun, esses pedidos demonstram que muitas organizações passaram a enxergar a avaliação periódica como parte de sua estratégia contínua de preparação para futuras ameaças.

O que organizações podem aprender com a experiência do MIT

A experiência apresentada pelo MIT demonstra que a construção de uma postura sólida de segurança cibernética não depende exclusivamente da aquisição das tecnologias mais recentes. Embora ferramentas de proteção continuem desempenhando papel importante, elas precisam estar inseridas em uma estratégia mais ampla que considere pessoas, processos, governança e gestão de riscos.

Outro aprendizado relevante é que organizações com recursos financeiros limitados ainda podem implementar diversas medidas capazes de reduzir significativamente sua exposição a ataques. O próprio material enfatiza que muitas das recomendações recorrentes identificadas pelo programa apresentam baixo custo quando comparadas aos impactos operacionais e financeiros decorrentes de um incidente de ransomware ou de outro tipo de comprometimento da infraestrutura.

Também se destaca a importância da preparação contínua. A rápida evolução das ameaças, impulsionada inclusive pelo uso crescente da Inteligência Artificial por agentes maliciosos, exige atualização permanente de conhecimentos, revisão de procedimentos e fortalecimento da cultura organizacional de segurança.

Por fim, a iniciativa reforça que a segurança digital deve ser encarada como responsabilidade compartilhada. A proteção de serviços essenciais depende tanto da competência técnica das equipes responsáveis pela infraestrutura quanto da participação ativa de gestores, colaboradores e lideranças responsáveis pelas decisões estratégicas da organização.

Conclusão

O MIT Cybersecurity Clinic representa uma abordagem inovadora para enfrentar um dos maiores desafios atuais da administração pública e das organizações responsáveis por infraestruturas críticas. Ao integrar ensino, prestação de serviço comunitário e desenvolvimento de capacidade organizacional, o programa demonstra que a formação de profissionais pode gerar benefícios concretos para instituições que frequentemente possuem poucos recursos para investir em segurança cibernética.

O material evidencia que ataques digitais contra municípios, hospitais e outras organizações essenciais produzem consequências que ultrapassam os prejuízos financeiros, afetando diretamente a continuidade de serviços indispensáveis à população. Nesse cenário, iniciativas voltadas à prevenção tornam-se elementos estratégicos para reduzir riscos e fortalecer a resiliência operacional.

Outro aspecto central da metodologia desenvolvida pelo MIT é o reconhecimento de que a tecnologia, isoladamente, não resolve os desafios da segurança cibernética. A combinação entre processos bem definidos, governança, capacitação das pessoas e planejamento institucional cria uma base mais consistente para enfrentar um ambiente de ameaças em constante transformação.

Ao disponibilizar gratuitamente seus módulos de ensino, incentivar a criação de novas clínicas de cibersegurança e acompanhar continuamente as organizações atendidas, o MIT demonstra que o compartilhamento de conhecimento pode ampliar significativamente a capacidade de preparação das instituições diante do crescimento dos ataques digitais. A experiência apresentada reforça que fortalecer a cultura de segurança e desenvolver capacidade organizacional são componentes essenciais para proteger serviços críticos em um cenário cada vez mais dependente da infraestrutura digital.