Ataque cibernético acende alerta para segurança digital
Brasil sofre metade dos ataques de hackers da América Latina, mas está atrás do esperado em proteção de dados
Por: Alice Orth
Um ataque cibernético derrubou os portais de e-commerce das lojas Camicado e Renner no último final de semana, ambas pertencentes ao mesmo conglomerado. Fora do ar, os sites geraram preocupação imediata nas redes sociais sobre a possibilidade de roubo de dados.
Segundo o grupo empresarial, o problema foi fruto de um ataque aos seus sistemas de operação. Esse foi apenas o mais recente caso da ação de hackers, que já tiraram o sono dos grupos JBS, Fleury e Protege, por exemplo. No primeiro caso, a companhia pagou mais de US$ 10 milhões para recuperar as informações confiscadas.
A princípio, nada de novo sob o sol; a interferência criminosa na tecnologia nasceu junto com ela própria. Mas enquanto o mundo se digitaliza e passa a viver virtualmente, especialmente durante uma pandemia, os infratores se adaptam na mesma velocidade. Quem não parece acompanhar a evolução eletrônica são as empresas, que deixam a segurança em plano secundário e se tornam alvos fáceis.
Segundo especialistas, os negócios nacionais ainda não parecem ter despertado o suficiente para a gravidade do problema de proteção de dados. o sequestro de dados, como foi o caso da JBS, se tornou comum e pode facilmente se virar uma boneca russa de sufocos para os afetados. Além de perder informações essenciais, a confiança dos clientes é abalada, e ainda pode ser necessário responder judicialmente pelo descuido.
Um levantamento da ISh Tecnologia mostrou que a média mensal de ataques a companhias brasileiras é de 13 mil, sendo que 57% são do tipo da ransomware – que pedem resgate em dinheiro. Arcar com o prejuízo também ficou mais caro: segundo a empresa Unit 42, os valores cobrados pelos criminosos para o resgate saltaram 82% no último ano, chegando a US$ 570 mil por ocorrência. No primeiro trimestre de 2021, o Brasil sofreu mais de 3,2 bilhões de tentativas de ataques. o país lidera o ranking da América latina, com quase 50% dos sequestros de dados da região.
“o risco não está apenas nos dados. Um ataque pode paralisar o sistema operacional da empresa”, alerta Marta Schuh, diretora da Cyber Risk. Dados da consultora de risco mostram que somente 5% do total de orçamento com Tecnologia da Informação das empresas são gastos em cibersegurança.
“o ransomware virou uma indústria que vai gerar mais de US$ 20 bilhões de receita neste ano. Esse tipo de sequestro cresce, em média, 100% ao ano”, afirma Marco DeMello, presidente da startup do ramo, PSafe. “o empresário brasileiro ainda pensa que esse tipo de problema só acontece com multinacional, mas a história está mostrando que todas as empresas são alvos.”
Marcus Garcia, vice-presidente de tecnologia e produtos da FS, especializada em tecnologia, lembra que medidas de segurança, como restrições a determinados dados e o uso de um sistema de backup robusto – preferencialmente fora da internet – são vitais. o pagamento de resgate pode devolver os dados, mas não garante que eles não sejam usados pelos criminosos. E sequestro não é uma modalidade conhecida pela garantia – apenas 40% a 50% dos hackers cumprem o combinado e de fato devolvem as informações.
“Melhor do que estar preparado para caso o incidente ocorra, é não deixar com que ele aconteça”, afirma Denis Riviello, diretor de Cibersegurança da Compugraf. “Ter meios de proteção eficientes e checados recorrentemente, estabelecer um programa de conscientização para orientar os colaboradores e aplicar testes de simulação recorrentes, saber identificar os riscos e pontos cruciais que o negócio ou segmento enfrenta e ter um Plano de Continuidade de Negócios (PCN) em caso de um incidente são as principais alternativas”, sugere.
“Após os primeiros passos legais, a transparência é a base da segunda etapa”, continua. “É essencial demonstrar clareza aos colaboradores, clientes e fornecedores e comunicá-los do ocorrido e das decisões que foram tomadas, principalmente se houver evidências que a privacidade foi comprometida. Identifique as pessoas que tiveram seus dados expostos e avise-os cuidadosamente e de maneira personalizada. Aos que não foram atingidos diretamente, após a situação controlada, devem ser informados, provando que não houve prejuízos.
