Arthur Capella (*)
A temporada de festas de fim de ano de 2020 está preparada para a forte demanda dos consumidores por produtos de comércio eletrônico. Como observado desde o início da pandemia, esse setor teve um crescimento acelerado e significativo. Pesquisa da Mastercard Spending Pulse mostrou que, em todo o Brasil, as vendas por comércio eletrônico online cresceram 75% em maio deste ano, em comparação com maio de 2019.
O levantamento revela, ainda, que o crescimento médio das vendas de comércio eletrônico de março a maio foi 48% superior ao mesmo período do ano passado.
Com esse aumento nas vendas, paralelamente à recente implementação da LGPD, a privacidade e a segurança dos dados passaram a ser, mais do que nunca, uma prioridade para consumidores e organizações. É comum que criminosos digitais tenham como alvo plataformas de comércio eletrônico – sua meta é roubar informações financeiras, como dados de cartão de crédito dos clientes.
Os criminosos que estão em busca de ganhos financeiros podem extrair essas informações confidenciais das plataformas de comércio eletrônico e tentar vender os dados na dark web. Infelizmente, isso pode gerar prejuízo tanto para o consumidor, cujos dados foram expostos, quanto para a empresa, que pode perder a confiança dos clientes e, graças à LGPD, correr o risco de pagar multas. Com isso em mente, é cada vez mais importante que as empresas de comércio eletrônico garantam ao cliente que seus dados pessoais estejam bem protegidos.
Os consumidores da geração Y, em especial, têm uma preocupação intensa com a segurança das suas transações comerciais online. A pesquisa “Concerns about online data privacy”, sobre preocupações com a privacidade de dados online, realizada em 2019 pela ONG Internet Innovation, mostra que 67% dos consumidores da geração Y estão preocupados com a possibilidade de ter seus dados pessoais expostos e usados em fraudes.
Estatísticas como essa sinalizam uma profunda mudança cultural em curso, que afeta a atividade online dos consumidores nos principais portais de comércio eletrônico. Todos esses fatores estão fazendo com que as preocupações com a segurança em portais de comércio eletrônico ganhem destaque nas conversas do C-Level. Essas preocupações são válidas, pois o crescimento do setor de comércio eletrônico está efetivamente aumentando a superfície de ataque.
Ao contrário do setor financeiro, que costuma ter uma estratégia de segurança robusta para proteger o Internet Banking, muitas empresas de comércio eletrônico estão mais focadas nas vendas e em uma excelente experiência do usuário do que na proteção de dados. A velocidade do negócio pode fazer com que essas plataformas sejam desenvolvidas sem priorizar a segurança, criando vulnerabilidades em seu ambiente de comércio eletrônico.
O aumento nas compras online durante a temporada de festas de fim de ano pode despertar o interesse dos criminosos digitais nos portais de comércio eletrônico. É um cenário preocupante, pois muitos ataques a esses portais se baseiam na injeção de código SQL em formulários que os consumidores preenchem com dados pessoais. Um bot (aplicação autônoma com comando predeterminado) ou um criminoso digital insere um código malicioso em um formulário em que o consumidor precisa colocar seu nome.
É uma forma de explorar vulnerabilidades na plataforma do software. Essa operação se repete milhões de vezes por dia, em milhares de portais de comércio eletrônico. O objetivo do criminoso digital é identificar uma vulnerabilidade estrutural e, por meio de exploits, roubar informações confidenciais dos consumidores. Dados bancários e de cartão de crédito, entre outras informações pessoais, são os mais cobiçados. Nesse contexto, é essencial não só descobrir, como também calcular o risco ao negócio decorrente das vulnerabilidades ocultas nas plataformas de comércio eletrônico.
Conforme a economia digital se expande, a quantidade de vulnerabilidades também aumenta. Só no ano passado, mais de 17.300 vulnerabilidades foram detectadas, de acordo com os dados de 2019 do National Vulnerability Database. É impossível corrigir todas as vulnerabilidades descobertas em um portal de comércio eletrônico. As equipes de segurança de TIC de organizações de comércio eletrônico lidam com uma imensidão de dados de vulnerabilidades todos os dias.
Falta às ferramentas tradicionais de gerenciamento de vulnerabilidades uma visibilidade abrangente da superfície de ataque de ambientes modernos, o que gera pontos cegos. Isso deixa as equipes de segurança com uma percepção limitada de sua verdadeira Cyber Exposure. Outro desafio é a falta de contexto para entender quais vulnerabilidades representam o maior risco para o negócio. As organizações podem se beneficiar muito ao investir em soluções de segurança modernas, que ofereçam visibilidade avançada e contexto para as equipes de segurança entenderem quais vulnerabilidades devem ser corrigidas primeiro.
Para o setor de comércio eletrônico, podem ser soluções desenvolvidas para proteger suas aplicações Web. Essas soluções devem oferecer contexto de segurança e orientações sobre como lidar com vulnerabilidades de aplicações Web de alta criticidade. É fundamental, ainda, contar com uma solução que reconheça pontos fracos e vulnerabilidades em código personalizado e em componentes de terceiros usados para desenvolver as aplicações Web. Outra missão dessas soluções é sinalizar qualquer tipo de configuração incorreta que possa aumentar a exposição a ataques.
Dessa forma, em vez de milhares de vulnerabilidades, as equipes de segurança de TIC podem combater as ameaças cibernéticas com foco nas vulnerabilidades que requerem atenção mais imediata, representando um risco genuíno para seus ambientes durante a temporada de festas de fim de ano. A priorização de vulnerabilidades críticas reduz o risco cibernético e aumenta a eficiência das operações de varejo online. No nosso país, há uma dissonância entre a economia fortemente digitalizada e o uso de soluções de segurança cibernética desenvolvidas para proteger esse ambiente.
Sempre muito inovador, o setor varejista realizou, em meses, um salto tecnológico que levaria anos para ser dado antes da pandemia. Nessa temporada de festas de fim de ano, é fundamental que os ganhos econômicos que o comércio eletrônico está trazendo para a nossa economia aconteçam de forma sustentável, priorizando a segurança de forma a proteger as empresas e seus clientes contra ameaças digitais. Essa abordagem protege as organizações contra riscos ao negócio, como perda de dados ou da confiança dos clientes, e impulsiona a economia do Brasil.
(*) – É Country Manager da Tenable no Brasil (https://pt-br.tenable.com/).