Os riscos de ciberataques aumentaram
De janeiro a junho, o Brasil registrou uma tentativa de fraude a cada 16,8 segundos
Dois ataques virtuais de grandes proporções atingiram os computadores de multinacionais em diversos países, inclusive no Brasil, no primeiro semestre deste ano. Ambos os assaltos foram provocados por vírus da espécie ransomware, um software maligno que bloqueia informações e só as libera após o pagamento de um resgate. Na tela de algumas máquinas afetadas, foi vista uma mensagem exigindo um valor de 300 dólares.
Segundo uma pesquisa anual da IBM, realizada em parceria com o Instituto Ponemon, em 2006 as companhias gastaram 4,31 milhões de reais para reparar os danos causados pelas invasões. Em 2017, o valor já chegou a 4,72 milhões de reais. O levantamento contou com 166 organizações de 12 diferentes segmentos. Outro indicador, da Serasa Experian, aponta que no primeiro semestre do ano, houve uma Brasil uma tentativa de fraude a cada 16,8 segundos — um aumento de 12,3% em comparação ao período anterior.
Mas, apesar desses problemas se tornarem cada vez mais frequente, o tema ainda é tabu. “São poucas as organizações no país que assumiram publicamente os efeitos dos últimos ataques. Elas estão mais preocupadas com o impacto na sua imagem”, diz Marco Ribeiro, sócio-diretor da Proviti no Brasil, consultoria global especializada em gestão de riscos e de segurança.
A própria legislação brasileira corrobora com tal postura. “As companhias não são obrigadas por lei a comunicar o ataque virtual”, afirma Guilherme Dorta, especialista em crime digital e sócio do escritório de advocacia Dorta & Horta. Por outro lado, ele pondera: “considerando que o código de defesa do consumidor tem dentro dos seus princípios a informação, caberia às empresas informar os riscos aos quais os clientes estão expostos”.
A falta de divulgação dificulta saber o real efeito das ações criminosas e combater o problema — que costuma se estender por longos períodos. De acordo com os dados da IBM, as corporações demoram em média 250 dias para identificar uma invasão e outros 105 dias para conter o vazamento das informações.
Contratando o inimigo
Conscientes do problema, cresce o número de companhias adotando medidas de segurança e testando abordagens diferentes na tentativa de se protegerem dos terroristas virtuais. Uma tática que vem se popularizando é a contratação de hackers. “São especialistas em segurança ofensiva, com conhecimento similar aos utilizados pelos criminosos, que vão testar da maneira mais real possível o sistema corporativo”, diz Anderson Ramos, chefe de tecnologia da Flipside, empresa especializada em treinamento de segurança da informação. Além de identificar os pontos de vulnerabilidade, o “hacker do bem” também treina as equipes da organização para combater possíveis ataques.
Segundo Ramos, fundador ainda de duas grandes conferências de hacking e cibersegurança (a Roadsec e a Mind The Sec), por ser uma vaga pouco convencional, as empresas costumam ter duas opções para encontrar esse expert: ou contratar quem invadiu o próprio sistema e, portanto, já conhece as fraquezas; ou buscar hackers em campeonatos de invasão de sistemas.
O caminho mais convencional é pagar pelo serviço de consultorias especializadas em realizar simulações de ciberataques. Essa é a opção seguida pela Infracommerce, fornecedora de serviços de e-commerce. “Os testes de invasão e os de hacking ético são tanto uma solicitação dos nossos clientes, quanto uma política nossa para garantir a proteção”, diz Ricardo de Paola, chefe de tecnologia da Infracommerce. “Quem acredita que está totalmente seguro, pode tornar-se vulnerável por qualquer detalhe ou descuido.” E esse detalhe, na maior parte das vezes, é o próprio humano.
Cuidado com as pessoas
Dados da 2ª Pesquisa Nacional sobre Conscientização Corporativa em Segurança da Informação, da Flipside, mostram que 58% das violações de segurança são resultado de falha humana. “Há uma tendência de enxergar o problema unicamente do ponto de vista tecnológico e, por isso, são feitos investimentos em massa nessa área”, diz Anderson Ramos, chefe de tecnologia da Flipside. “Contudo, a origem das falhas recai sobre as pessoas.”
Por isso, a fabricante de automóveis Volkswagen trabalha para instruir seus funcionários por meio de planos anuais de conscientização, abordando temas pertinentes no momento. “Colocamos os gestores de tecnologia como agentes multiplicadores e de conscientização dentro de suas equipes e também com seus pares”, afirma José Roberto Giro, gerente-executivo de TI. As recomendações vão desde o óbvio “não abrir e-mails e anexos que pareçam suspeitos ou que tenham origem desconhecida” até pontos mais pessoais, como evitar falar sobre a empresa em conversas públicas ou em mídias sociais.
Dicas relacionadas ao uso de senhas também entram na lista, afinal, segundo pesquisa da Kaspersky Lab, uma em cada dez pessoas usa a mesma senha em todas as contas online.