Ataque cibernético acende alerta para segurança digital
Brasil sofre metade dos ataques de hackers da América Latina, mas está atrás do esperado em proteção de dados
Um ataque cibernético derrubou os portais de e-commerce das lojas Camicado e Renner no último final de semana, ambas pertencentes ao mesmo conglomerado. Fora do ar, os sites geraram preocupação imediata nas redes sociais sobre a possibilidade de roubo de dados.
Segundo o grupo empresarial, o problema foi fruto de um ataque aos seus sistemas de operação. Esse foi apenas o mais recente caso da ação de hackers, que já tiraram o sono dos grupos JBS, Fleury e Protege, por exemplo. No primeiro caso, a companhia pagou mais de US$ 10 milhões para recuperar as informações confiscadas.
A princípio, nada de novo sob o sol; a interferência criminosa na tecnologia nasceu junto com ela própria. Mas enquanto o mundo se digitaliza e passa a viver virtualmente, especialmente durante uma pandemia, os infratores se adaptam na mesma velocidade. Quem não parece acompanhar a evolução eletrônica são as empresas, que deixam a segurança em plano secundário e se tornam alvos fáceis.
Segundo especialistas, os negócios nacionais ainda não parecem ter despertado o suficiente para a gravidade do problema de proteção de dados. o sequestro de dados, como foi o caso da JBS, se tornou comum e pode facilmente se virar uma boneca russa de sufocos para os afetados. Além de perder informações essenciais, a confiança dos clientes é abalada, e ainda pode ser necessário responder judicialmente pelo descuido.
Um levantamento da ISh Tecnologia mostrou que a média mensal de ataques a companhias brasileiras é de 13 mil, sendo que 57% são do tipo da ransomware – que pedem resgate em dinheiro. Arcar com o prejuízo também ficou mais caro: segundo a empresa Unit 42, os valores cobrados pelos criminosos para o resgate saltaram 82% no último ano, chegando a US$ 570 mil por ocorrência. No primeiro trimestre de 2021, o Brasil sofreu mais de 3,2 bilhões de tentativas de ataques. o país lidera o ranking da América latina, com quase 50% dos sequestros de dados da região.
“o risco não está apenas nos dados. Um ataque pode paralisar o sistema operacional da empresa”, alerta Marta Schuh, diretora da Cyber Risk. Dados da consultora de risco mostram que somente 5% do total de orçamento com Tecnologia da Informação das empresas são gastos em cibersegurança.
“o ransomware virou uma indústria que vai gerar mais de US$ 20 bilhões de receita neste ano. Esse tipo de sequestro cresce, em média, 100% ao ano”, afirma Marco DeMello, presidente da startup do ramo, PSafe. “o empresário brasileiro ainda pensa que esse tipo de problema só acontece com multinacional, mas a história está mostrando que todas as empresas são alvos.”
Marcus Garcia, vice-presidente de tecnologia e produtos da FS, especializada em tecnologia, lembra que medidas de segurança, como restrições a determinados dados e o uso de um sistema de backup robusto – preferencialmente fora da internet – são vitais. o pagamento de resgate pode devolver os dados, mas não garante que eles não sejam usados pelos criminosos. E sequestro não é uma modalidade conhecida pela garantia – apenas 40% a 50% dos hackers cumprem o combinado e de fato devolvem as informações.
“Melhor do que estar preparado para caso o incidente ocorra, é não deixar com que ele aconteça”, afirma Denis Riviello, diretor de Cibersegurança da Compugraf. “Ter meios de proteção eficientes e checados recorrentemente, estabelecer um programa de conscientização para orientar os colaboradores e aplicar testes de simulação recorrentes, saber identificar os riscos e pontos cruciais que o negócio ou segmento enfrenta e ter um Plano de Continuidade de Negócios (PCN) em caso de um incidente são as principais alternativas”, sugere.
“Após os primeiros passos legais, a transparência é a base da segunda etapa”, continua. “É essencial demonstrar clareza aos colaboradores, clientes e fornecedores e comunicá-los do ocorrido e das decisões que foram tomadas, principalmente se houver evidências que a privacidade foi comprometida. Identifique as pessoas que tiveram seus dados expostos e avise-os cuidadosamente e de maneira personalizada. Aos que não foram atingidos diretamente, após a situação controlada, devem ser informados, provando que não houve prejuízos.