Ciberataques: todo o cuidado é pouco…
Suspense faz sentido diante de estudo registrando que o Brasil sofreu 103,16 bilhões de tentativas de ataques cibernéticos em 2022
Esta reportagem se propôs a traçar um retrato atual das movimentações em uma arena que tem de um lado empresas e pessoas tentando reforçar escudos para conter ciberataques e de outro cibercriminosos astutos e em alguns casos irrefreáveis.
Para isso, contou com a participação essencial de especialistas no assunto e de profissionais qualificados de empresas fornecedoras de tecnologia, fiéis escudeiros de negócios de variados portes e segmentos. Na jornada de entrevistas desenhada para trazer informações e alertas relevantes para quem quer mais proteção, era a vez da Check Point.
Os executivos Eduardo Gonçalves, gerente-geral, e Fernando de Falchi, gerente de Engenharia de Segurança, ambos da Check Point Software Brasil, respondiam pela tela do meu computador minhas perguntas sobre como manter em segurança os segredos corporativos. Ou seja, informações críticas, relacionadas ao coração do negócio, diante de ataques, invasões e golpes. Foi quando tocou o meu celular, estampando na tela “gerente do banco xxx”.
Eduardo Gonçalves, gerente-geral da Check Point Software Brasil (Imagem: Divulgação)
Pedi licença para atender a ligação inédita (nunca o gerente havia me ligado). Daquele momento em diante, acontecia ali uma tentativa de golpe, ao vivo, em cores, diante dos especialistas. Mesmo com todo o conhecimento sobre discursos golpistas, minha dúvida morava no fato de a ligação vir de um número do banco listado na agenda do meu iPhone.
A questão é que o criminoso havia clonado o número do internet banking do banco, ação confirmada pela assistente da minha gerente. Gonçalves e Falchi ficaram surpresos com o ataque que visava minha conta, e não se tratava do tradicional golpe com cartão de crédito. Pergunta que não quer calar: qual a responsabilidade da operadora nesse incidente? No mínimo, é um alerta para o banco ter atenção para mais esta brecha… aguardem os próximos capítulos, em outra matéria…
De volta à arena
Todo esse cenário tem a ver com as mudanças frenéticas que estamos vivendo, apoiadas na aceleração do digital, diz Patrícia Peck, advogada especialista em Direito Digital, e questiona: “Como garantir uma melhor e mais abrangente governança de dados? A verdade é que todos viramos acumuladores de dados. O desafio é como guardá-los”.
Na esteira da regulamentação, Patrícia avisa que guardar dados desnecessários passa a ser custo e risco. “Não só risco regulatório, mas reputacional quando há vazamento ou sequestro de dados. Por isso, vale pensar no que chamamos de “Soberania Digital de Dados”.
Esse conceito, ela prossegue, busca empoderar indivíduos, organizações e governos no controle de seus dados, promovendo proteção da privacidade, segurança cibernética e autonomia no mundo digital.
Marcus Nakagawa, professor de Responsabilidade Socioambiental, Sustentabilidade e Ética da ESPM, acrescenta que a transparência é um dos princípios fundamentais de compliance, que faz parte da governança e integra a agenda Governança ambiental, social e corporativa, do inglês ‘environmental, social, and governance’ (ESG).
Leia mais: Cibersegurança como eixo central dos negócios
“Apresentar dados da empresa e como lida com os seus dados e os de terceiros, de acordo com a LGPD, é essencial manter políticas especificas de como serão mostrados”, diz.
É difícil equilibrar os pratinhos da balança corporativa, ele observa, tendo de sustentar a transparência em um deles e no outro a segurança da informação. “É preciso mapear tudo isso, por meio de indicadores para atender às demandas de clientes, consumidores, stakeholders, acionistas, consumidores e público interno.”
Essa situação se agrava quando protagonizada por segredos corporativos. Como guardá-los a sete chaves, longe do alcance de aventureiros cibernéticos?
“Segredo é algo que só eu sei, mas no mundo corporativo não pode estar isolado e por esse motivo nasceu o conceito de confidencialidade e com ele os acordos estabelecendo regras e compromissos de confiança”, alerta Patrícia, citando mais um procedimento para minimizar o vazamento de dados.
Superfície de ataque em expansão
Diante de tanta evolução tecnológica, que segue transformando negócios em todos os setores, o preço a pagar é o aumento da vulnerabilidade.
Assim, a superfície de ataque vem crescendo exponencialmente, derrubando fronteiras corporativas, se estendendo aos home offices e se esgueirando pelas redes sociais. Então é possível guardar os tais segredos corporativos em meio a essa teia de ameaças?
Flavio Silva, gerente e especialista de Segurança da Informação da Trend Micro Brasil, acredita que sim. “Ainda é possível manter alguns segredos. Prova disso é a Coca-Cola, que guarda há décadas a fórmula do seu refrigerante icônico, ou seja, o valor da marca que a fez ser a companhia que é”, diz. “As organizações podem estabelecer uma cultura de confidencialidade e proteção de informações estratégicas com ajuda de tecnologia, processos e pessoas.”
Flavio Silva, gerente e especialista de Segurança da Informação da Trend Micro Brasil (Imagem: Divulgação)
Existem medidas de segurança cibernética robustas, avalia Silva, incluindo protocolos rigorosos de acesso, criptografia avançada, monitoramento proativo e treinamento de conscientização dos funcionários. “Tudo isso apoiado em uma cultura de segurança cibernética arraigada. Ao adotar melhores práticas, as empresas constroem reputação sólida em relação à segurança de seus segredos estratégicos”, completa.
A chave é ter total visibilidade do ambiente, na avaliação de Silva. “Quando a empresa conhece a superfície de ataque, pontos vulneráveis, mais e menos críticos, é possível se preparar e criar a melhor estratégia de segurança”, destaca e alerta: “É preciso proteger não somente as ‘joias da coroa’, mas também os menos críticos que são por onde os hackers entram com mais facilidade para atingirem alvos mais valiosos”.
Do mundo físico para o digital
Alguns especialistas em segurança da informação defendem a aplicação das mesmas regras de segurança tradicionalmente utilizadas no mundo físico ao ambiente digital.
Manter as portas da casa fechada, construir muros altos e usar câmeras para controle de acesso são medidas que também fazem sentido no contexto digital. A analogia é de Arthur Capella, gerente geral da Tenable Brasil.
“O criminoso vai escolher a casa mais vulnerável para assaltar e o no mundo digital, os ambientes sem proteção, com portas abertas. É essencial fortalecer as defesas dos sistemas, limitar o acesso a informações sensíveis, monitorar e registrar atividades suspeitas. Criar uma estrutura sólida de proteção.”
Arthur Capella, gerente geral da Tenable Brasil (Imagem: Divulgação)
Mas não é somente isso, segundo o executivo, é vital um plano de ação para usar com propriedade a tecnologia. “Um plano de resposta a incidentes, para reverter o quadro ou minimizá-lo, e deve ser específico para cada empresa. Todos precisam estar preparados e cientes do seu papel”, afirma.
Alexandre Bonatti, diretor de Engenharia da Fortinet Brasil, acrescenta a conscientização em segurança cibernética nesse pacote para evitar acesso aos dados e a sistemas das empresas.
Veja mais: Cibercriminosos criam versão do ChatGPT que circula na Dark Net; conheça o WormGPT
“Quando uma carga maliciosa é acessada e baixada da internet, pode ser tarde demais para a empresa escapar do comprometimento, a menos que tenha uma abordagem holística de segurança”, alerta.
De acordo com dados do FortiGuard Labs, da Fortinet, o Brasil foi o segundo país mais atingido da América Latina em 2022, com 103,16 bilhões de tentativas de ataques cibernéticos.
Virada de chave
Faz tempo que a segurança da informação corre de um lado para outro em busca do seu verdadeiro lugar em solo corporativo. Mas que lugar é esse? O de integrante da estratégia, colada no business.
Isso significa estar presente desde o início do desenvolvimento de produtos e serviços, alinhada aos objetivos de negócios. E deixar de ser considerada custo e, sim, investimento. Ser mais preventiva do que reativa nas estratégias.
Outros paradigmas que precisam ser quebrados, de acordo com gerente-geral da Check Point, é que segurança da informação é para grandes empresas, tem alto custo, vai comprometer o desempenho do produto e não é para pequenas e médias empresas (PMEs).
Alexandre Bonatti, diretor de Engenharia da Fortinet Brasil (Imagem: Divulgação)
Ele relata que a estratégia até bem pouco tempo era desenhar projetos de segurança específicos para cada área da empresa, gerando mais custos. “Esse modelo não cabe mais hoje. É possível simplificar e tornar o investimento mais acessível a todos os portes de organização, considerando que PMEs correm os mesmos riscos que as grandes”, diz.
O cenário atual, portanto, requer cautela e ajustes em relação à segurança da informação como uma aliada altamente estratégica dos negócios, mas que não caminha sozinha.
Veja também: 3 tendências no consumo de aplicativos que servem de alerta a CISOs e desenvolvedores
Precisa da atuação conjunta de tecnologias, políticas de segurança, educação dos colaboradores, comunicação fluida com discurso inteligível, mais autonomia, mais proximidade das áreas de negócios e alinhada a seus objetivos, parte integrante do conselho corporativo representada por diretores de segurança da informação (CISOS, na sigla em inglês) e data protection officers (DPOs, na sigla em inglês), trabalhando em conjunto, e ser definitivamente considerada estratégica.
Dessa forma, quem sabe irão dormir melhor 69% dos CISOS brasileiros que participaram de recente estudo da Proofpoint e revelaram se sentirem em risco de sofrer um ataque cibernético nos próximos 12 meses. Sem contar que 72% acreditam que sua organização não está preparada para enfrentar esse quadro. É hora de rever estratégias.
E a capacidade de recuperação?
Relatório de Tendências de Proteção de Dados de 2023 da Veeam indica que 85% das organizações sofreram pelo menos um ataque cibernético nos últimos doze meses, aumento de 76% em comparação com o ano anterior.
Para entender melhor a preparação e a capacidade de recuperação desses ataques, uma pesquisa independente conduziu uma pesquisa com 1,2 mil líderes de TI imparciais cujas organizações sofreram pelo menos um ataque de ransomware em 2022, incluindo 250 na América Latina.
Os resultados mostram que cibercriminosos quase sempre, em mais de 93% dos casos, visam backups durante ataques cibernéticos e conseguem reduzir a capacidade de recuperação de suas vítimas em 75% desses casos.
*Esta reportagem foi originalmente publicada na edição #28 da Revista IT Forum.
Siga o IT Forum no LinkedIn e fique por dentro de todas as notícias!