Reação de empresas não acompanha aumento de riscos cibernéticos

Especialistas alertam que hackers não poupam nenhum setor e dispõem de equipamentos cada vez mais eficientes e baratos

Imagine uma empresa que vai trabalhar um arquivo de informações sigilosas com vários de seus clientes espalhados por lugares diferentes. Ao lançar o documento na rede, ela sofre 15 mil tentativas de ataque cibernético apenas na primeira hora de atividade.

Este exemplo, baseado em uma experiência real, mostra a dimensão da atividade criminosa que transforma os riscos cibernéticos em um dos principais problemas enfrentados hoje por empresas de todos os setores.

Na verdade, para o Fórum Econômico Mundial, trata-se atualmente de uma ameaça maior do que a representada por ataques terroristas, haja vista o impacto de larga escala que ela representa.

Escala que aumenta dia após dia. Até 2020, estima-se que 50 bilhões de dispositivos estarão conectados à internet. A lista inclui computadores, eletrodomésticos, automóveis e apetrechos de saúde (como marca-passos), entre outros.  A rigor, seriam 50 bilhões de possíveis alvos para os fraudadores.

Mesmo com esses números, as empresas ainda não estão levando o problema tão a sério quanto deveriam.  Pesquisas mostram que cerca de 33% das empresas participantes consideravam não haver sofrido nenhum incidente de ataque virtual nos 12 meses anteriores ao levantamento. De acordo com Fernando Carbone , diretor de segurança cibernética da Kroll no Brasil, este é o tipo de resposta que indica mais desconhecimento do problema do que inexistência de fato de ataques.

“Nossa avaliação é que essa resposta não reflete a realidade”, disse ele no Global Risk Meeting, realizado nos dias 11 e 12 de setembro em São Paulo. “Isso é muito preocupante.”

Números consolidados pela Kroll com base em pesquisas de empresas de tecnologia mostram que outros 13% das empresas dizem não saber se tiveram ou não algum tipo de incidente digital. Isso implica que quase a metade das empresas ignora em larga medida o tamanho da encrenca cibernética.

Linha de produção
A avaliação de especialistas reunidos no evento é que os hackers não poupam ninguém e têm à disposição aparelhos cada vez mais eficientes e baratos para trabalhar.

Cada vez mais eles independem de que a vítima caia no chamado fishing, abrindo e-mails “cavalo-de-troia” ou usando drives externos que abrem as portas para uma invasão digital.

Hoje, segundo o especialista da Kroll, aparelhos que custam US$ 50 permitem acesso a dados de smartphones sem que o usuário se dê conta, e robôs buscam automaticamente seus alvos na rede mundial.

Na chamada deep web, hackers oferecem serviços de ataque cibernético que garantem a devolução do pagamento caso a ação não dê o resultado esperado, além de elencar “serviços padrão” disponíveis, como o acesso aos dados de cartão de crédito ou a uma conta no e-Bay.

“Os ataques estão automatizados como se fossem um linha de produção”, disse Ricardo Tavares, diretor da consultoria Daryus.

Sistema de proteção
Dentro do contexto de intensa atividade criminosa, os sistemas de proteção e controle são peças fundamentais nas empresas, mas 100% de segurança não existe jamais, alertaram os especialistas.

Citando uma pesquisa realizada pela americana Cisco com empresas globais no ano passado, Carbone disse que as companhias demoram em média 200 dias para detectar a presença de um hacker em seu sistema — período em que ele pode trabalhar em paz.

“É como você tivesse uma pessoa morando na garagem da sua casa e não soubesse”, comparou.

Além disso, Carbone disse que apenas 1% da detecção de invasão cibernética é feita pelos controles internos das companhias, sendo que em 85% das vezes é um agente externo que expõe o problema.

Diante deste panorama, “o grande desafios das empresas é a prevenção”, disse Leandro Bissoli, especialista em direito digital do escritório PPP Advogados.

Para Carbone, a mitigação das ameaças cibernéticas passa ainda por implementar sistemas mais ágeis para detectar ataques, além de processos eficientes para reagir a eles e controles internos mais eficientes.

Alvos preferenciais
Segundo Tavares, o Brasil é atualmente o segundo maior gerador de crimes cibernéticos do mundo, tendo anualmente prejuízos de US$ 8 bilhões com fraudes digitais.

O especialista da Kroll diz que os alvos preferenciais são o setor financeiro e o de saúde. “Mas nenhuma indústria está imune ao risco cibernético”, afirmou.

O departamento financeiro é um alvo óbvio por lidar diretamente com dinheiro.  É também um dos setores nos quais os sistemas de proteção estão mais desenvolvidos. Ainda assim, “95% das perdas dos bancos decorrem de cibercrimes, segundo a Febraban”, disse Tavares.

Já o setor de saúde ganhou espaço no mundo do cibercrime principalmente porque lida com informações sensíveis e sigilosas. De acordo com Carbone, os criminosos digitais acessam essas informações e extorquem dinheiro das vítimas — que podem ser um laboratório ou hospital, por exemplo — para não divulgar as informações obtidas ilegalmente.

“No mercado negro, o registro médico de um paciente vale 50 vezes mais do que as informações do cartão de crédito”, contou o especialista da Daryus.

Problema interno
A miscelânea de ataques tem origem muitas vezes dentro da própria empresa.

De acordo com dados coletados internacionalmente pela consultoria PwC, 63% dos incidentes são causados por ex-colaboradores da companhia que é vítima da fraude, e cerca de 60% das empresas não têm controles adequados contra ataques digitais.

Para Bissoli, o elo mais fraco da cadeia de proteção — por mais sofisticados que sejam os sistemas de proteção — é mesmo o ser humano.

Isso contribui para que o ambiente a ser gerido seja cada vez mais complexo, envolvendo desde riscos trabalhistas (gerados, por exemplo, na forma como uma empresa demite um funcionário que tem acesso a informações confidenciais) até situações em que a companhia negocia com criminosos que tentam extrair dinheiro após acessar seus dados.

“As maiores ameaças são internas”, afirmou Tavares.

A Kroll deve divulgar ainda em setembro os resultados de uma pesquisa sobre tema feita com cerca de 200 empresas de médio e grande porte, brasileiras ou com sede no Brasil.

A ideia é averiguar o grau de exposição e maturidade com que elas estão tratando os cibercrimes.