Clayton Alves Lourenço (*)
Notícias de ataques cibernéticos a grandes empresas estão cada vez mais frequentes e os dados divulgados pelas consultorias especializadas em segurança mostraram que o que aconteceu em 2021, um dos anos mais ativos em ataques a grandes bancos de dados privados no mundo todo, passou a ser regra e não exceção.
Raramente temos acesso a informações claras ou números referentes à quantidade de dados vazados por meio desses cybers ataques, mas eles são muito mais comuns do que imaginamos e é possível que, por conta dos crackers, nossos dados provavelmente já tenham circulado uma ou duas vezes por aí.
Sim, crackers! Esse é o termo correto para designar os peritos em tecnologia da informação que usam os seus conhecimentos para violar os sistemas e as redes de computadores e cometer crimes cibernéticos. No Brasil, os estudos e dados divulgados por consultorias de segurança, neste último semestre, vêm colocando os empresários em alerta constante.
Somos o quinto país com mais tentativas de ataques cibernéticos contra empresas, segundo a alemã Roland Berger. E um relatório recente da Verizon sobre Data Breaches Investigations Report (DBIR) mostrou que 43% dos vazamentos de dados no mundo todo, em 2021, ocorreram em pequenas empresas. Esses aspectos envolvem o uso de malware, ransomware, engenharia social, phishing e até falha humana, em ataques e vazamentos de informações.
Fatores que mostram os pontos-chaves importantes que precisam ser continuamente discutidos por gestores e líderes dessas empresas. A preocupação é ainda maior quando essas empresas são líderes de vendas online com plataformas robustas que oferecem todo tipo de produto, onde os consumidores mantêm seus dados pessoais e de pagamento salvos para futuras compras. Essas empresas são um alvo grande e luminoso piscando para os crackers.
Os anos críticos da pandemia transformaram o Brasil num celeiro de crimes cibernéticos e a enorme quantidade de empresas que, vulneráveis em segurança, foram obrigadas a operar de forma remota foram os ingredientes certos para uma massiva entrada de crackers no jogo. Segundo o relatório divulgado no fim de 2021 pela consultoria internacional Netscout, o Brasil foi o segundo país no mundo que mais sofreu com ciberataques no ano, atrás somente dos Estados Unidos.
Os números assustam, mas ainda vou mais além: as técnicas têm sido refinadas ao longo de todo esse tempo, um motivo mais que suficiente para as empresas deixarem de ignorar os dados e os riscos que correm e definitivamente investir em segurança e equipe especializada.
Ano passado, só no Brasil, os maiores ataques a empresas foram responsáveis pelo vazamento de milhares de dados de brasileiros e, embora o desvio de criptomoedas e a perda de dados sejam ataques considerados comuns, o ano de 2021 se destacou devido aos vários incidentes de alto perfil envolvendo ataques de ransomware, exploração de vulnerabilidades críticas e ataques à cadeia de suprimentos.
Vejam como esse ponto é delicado. Um estudo feito por uma plataforma de defesa cibernética americana com 1.200 líderes de TI, responsáveis pelo gerenciamento de risco cibernético e pela cadeia de suprimento de grandes empresas multinacionais, mostrou que 93% das empresas já tinham sofrido ao menos um ataque direto devido a violações em elos vulneráveis em sua cadeia e que o número médio de violações só crescia com o passar dos meses.
É comum o processo de coleta, processamento e armazenamento de dados no meio empresarial, já está no dia a dia do setor até para facilitar as formas de pagamento aos clientes. Porém, preciso alertar para o risco que corremos ao deixar salvo dados como nome, número de cartão de crédito, código de segurança, endereço, dentre outros. É fundamental para empresas garantir meios que protejam dados dos seus clientes.
Entre as dicas que posso dar é oferecer aos clientes possibilidades como duplo fator de autenticação aos usuários, proteção dos dados em repouso como criptografia e tecnologias capazes de identificar e neutralizar tentativas de exploração são fundamentais para proteger os dados e sua empresa dos crackers.
E uma vez que o trabalho saiu do escritório, não é demais lembrar que as redes públicas de acesso à internet também são alvo fácil de crackers, que podem utilizá-las para coletar dados bancários ou outras senhas de quem acessa suas contas através delas.
Portanto, conectar computadores a redes desconhecidas e públicas e inserir qualquer tipo de informação no manuseio do smartphone ou notebook enquanto está logado nessas redes é potencialmente perigoso. Os crackers estão se sofisticando, mas o que sempre funcionou continua funcionando — e bem. A forma mais comum de roubo de dados ainda é por mensagens de e-mails desconhecidos.
Com um clique ou muitas vezes somente o ato de abrir o e-mail já cria o canal por onde o criminoso vai atuar, seja por meio de golpes como phishing, seja na tentativa de instalar um trojan ou cavalo de troia — um vírus espião (spyware) ou um keylogger, técnica onde o código grava tudo o que você digita no seu teclado do computador ou smartphone.
Nunca foi tão importante investir em cyber segurança. E sabendo que as PMEs são alvos lucrativos para os cibercrimonosos, seja pela baixa preocupação com a segurança das informações ou pelo orçamento mais modesto para se proteger adequadamente, o investimento na área deve começar pelos colaboradores que detêm maior poder de decisão dentro da empresa e que, naturalmente, têm os dados mais visados.
Realizar treinamentos para reduzir as falhas humanas ao receber uma ameaça de ataque é uma das ações sempre úteis e que, aliadas a soluções apropriadas para o porte e segmento de cada empresa, podem reduzir significativamente o risco dos crackers se apossarem de dados sigilosos.
Arriscar a saúde financeira e estrutural de um negócio, além de sua reputação com os parceiros e clientes, que podem ter suas informações vazadas por meio de seu banco de dados, é um custo muito alto a se pagar por não voltar as atenções e investimentos para ações efetivas de cyber segurança.
(*) – É diretor de cyber segurança da IOB.