6 minute read
Ciberataques: Qual é o tamanho do prejuízo?
Ciberataques: qual é o tamanho do prejuízo?
CONHEÇA OS PRINCIPAIS TIPOS DE AMEAÇAS DIGITAIS E DESCUBRA O IMPACTO DELAS NO BOLSO E NA REPUTAÇÃO DAS EMPRESAS
A s empresas que atuam no Brasil precisam redobrar o cuidado quando o assunto é segurança cibernética. Segundo a pesquisa “Cost of a Data Breach Study”, desenvolvida pela IBM, as companhias do País têm 43% de chances de sofrerem com ataques e violações de dados. O número é consideravelmente superior à média global, que fica em torno de 27%.
Só no primeiro semestre de 2018, mais de 3,3 bilhões de dados foram violados, segundo o The Breach Level Index. É preciso considerar que os hackers estão usando ferramentas cada vez mais avançadas. Por isso, a previsão é a de que os números de roubos e sequestros de dados continuem altos ao longo dos próximos anos.
“Nós temos a tendência de acreditar que empresas do mercado financeiro ou distribuidores de serviços financeiros são os mais atacados pelos cibercriminosos, pois lidam com dados como os de cartões de pagamento. Entretanto, as informações pessoais estão se tornando o principal alvo”, diz Alexandre Nakano, Diretor de Segurança da Ingram Micro.
Tipos de ciberataques
É importante entender que existem diversos tipos de ciberataques, que são usados para diferentes propósitos. Os hackers recorrem a eles para espionar sistemas e ganhar vantagens pessoais, industriais e até governamentais.
Atualmente, os crimes com softwares ransomware são bem populares. Com eles, os criminosos conseguem “sequestrar” dados que podem ser muito importantes para empresas.
“O hacker entra na máquina ou em um servidor e criptografa arquivos, para que seus donos não consigam abri-los. Depois, o criminoso pede resgate para devolver os dados e cobra em bitcoin, uma moeda não rastreável”, explica Marcos Tabajara, Country Manager da Sophos no Brasil.
O profissional conta que esse tipo de ataque ficou mais popular ao longo dos últimos dois anos. “Os cibercriminosos que antes só atacavam grandes empresas, passaram a perceber que tinham oportunidades com companhias menores, como escritórios de contabilidade e até igrejas”, afirma.
Também existem cibercriminosos que roubam informações, mas não pedem resgate. Normalmente, eles estão atrás de dados cadastrais e informações pessoais de usuários. No caso de um banco, por exemplo, o objetivo é acessar nome, CPF, endereço, informe de rendimento, saldo médio e até o número dos cartões de crédito dos clientes. Com base nessas informações, fica mais fácil atacar pessoas ou até se passar por elas. “Podemos também mencionar uma categoria de dados de segredos de alto nível, na qual se encontram informações confidenciais. Nesse caso, é provável que exista algum interesse específico pela informação. São dados governamentais, militares, de indústria ou mesmo credenciais corporativas que possam dar algum tipo de acesso específico”, conta Nakano.
Segundo Arley Brogiato, Country Manager da SonicWall Brasil, é importante destacar que alguns tipos de ciberataques não se resumem ao roubo de informações de computadores e servidores. Em determinados casos, os hackers conseguem abrir microfones de dispositivos móveis e até ativar câmeras para planejar ataques direcionados.
O preço de um ciberataque
Empresas que sofrem com ataques cibernéticos são obrigadas a lidar com uma série de problemas. O primeiro deles é o custo, que tende a ser alto e, às vezes, pega a companhia de surpresa.
“Existem estudos que indicam que o custo atual de um ciberataque pode ser estimado em cerca de US$ 148 por registro de informação extraído. Isso significa que, se tivermos um arquivo de cadastro de
clientes com apenas mil registros, o custo deste ataque seria de aproximadamente US$ 148 mil”, conta Alexandre Cezar, Consultor de Engenharia de Segurança da Juniper.
“Não podemos deixar de mencionar a Lei Geral de Proteção de Dados Pessoais, sancionada em 14 de agosto de 2018. Ela prevê um período de adaptação de 18 meses e, a partir dessa data, as empresas podem ser multadas pela fiscalização. Nesses casos, o valor pode chegar a dezenas de milhares de reais”, diz Nakano. Brogiato ressalta que um vazamento de dados poderá levar uma organização a pagar uma multa de 2% de seu faturamento total por dia, limitado a R$ 50 milhões. Entretanto, é preciso salientar que as multas não são as únicas despesas financeiras para companhias atacadas por hackers.
Em 2016, a Yahoo divulgou que teve uma grande quantidade de dados vazada por hackers. A notícia ganhou os holofotes pouco antes de a empresa ser comprada pela Verizon e acabou reduzindo o preço de mercado da marca em US$ 350 milhões.
Igor Valoto, Sales Engineer da Trend Micro, explica que algumas empresas que querem se proteger de despesas geradas por ataques virtuais contratam planos de cibersecurity. Eles funcionam como uma espécie de seguro, que cobre eventuais despesas e multas ligadas a vazamento de dados.
Reputação em jogo
Além dos prejuízos financeiros, os ataques cibernéticos podem prejudicar a imagem e a reputação das companhias. “Estudos mostram que cerca de um terço dos clientes de empresas das áreas de consumo, finanças e saúde, que foram vítimas de um ciberataque, pararam de fazer negócios com essas marcas. Adicionalmente, o custo para se conseguir novos clientes aumentou”, explica o profissional da Juniper.
Segundo as novas legislações de proteção de dados, todas as empresas que identificarem vazamentos de informações deverão informá-los aos órgãos competentes, como o Ministério Público. A expectativa é a de que as regras ajudem a conscientizar o mercado brasileiro a buscar mais recursos de proteção de dados.
“Atualmente, temos diversas empresas digitais que se destacam no mercado, como Netflix, Spotify, Uber e Airbnb, nas quais dados são um dos maiores ativos para prestar os serviços”, comenta Nakano. “Elas precisam garantir que as informações estejam devidamente protegidas. Caso contrário, podem sofrer um grande impacto de confiança por parte dos usuários”, completa.
Para Valoto, a melhor forma de lidar com a situação é adotando uma política de segurança mais transparente. “É preciso mostrar como a companhia está remediando o problema. Isso vai ajudá-la a reconquistar a confiança de clientes e usuários”, diz.
Omitir vazamentos de dados é uma das piores saídas possíveis. Em 2016, a Uber, por exemplo, identificou que alguns registros de passageiros e motoristas tinham caído em mãos erradas. Em vez de relatar o incidente, a empresa preferiu contratar um criminoso para manter o vazamento em segredo. No fim das contas, a história veio à tona e a companhia de transporte compartilhado tomou uma multa de US$ 148 milhões, uma das maiores já aplicadas pela Justiça dos Estados Unidos.
Como reforçar a segurança
Fellipe Canale, Regional Manager Brazil & South Cone da RSA, conta que existem dois tipos de empresa: as que foram atacadas e sabem e as que foram atacadas e não sabem. Para o profissional, o maior problema é que boa parte das companhias não se prepara corretamente para mitigar esses riscos. Uma das estratégias para reforçar a segurança é imaginar que a empresa é um tripé, que precisa estar sempre em equilíbrio. “As pessoas estão no topo, já que a equipe deve ser bem treinada para ter cuidados com segurança. Anotar senhas na última página da agenda, por exemplo, não é nada recomendado. Também é preciso tomar outros cuidados, como não deixar papéis com informações importantes em salas de reunião”, afirma Tabajara.
Uma das bases do tripé é formada por processos, que devem ser implementados para diminuir riscos - limitar o horário e o local de login de alguns funcionários pode ser uma boa opção. Já o outro pilar está relacionado com a tecnologia, um dos fatores essenciais para aumentar a proteção de dados e barrar ataques cibernéticos.
O primeiro passo para reforçar a segurança de uma empresa com tecnologia é fazer uma análise de risco para identificar quais são os dados e informações que ela precisa proteger. “Algumas perguntas simples, mas de difícil resposta, são: onde estes dados estão armazenados? Quem os acessa? Quais os tipos de permissões que estes usuários deveriam ter?”, ressalta Alexandre Cezar.
“Depois disso, é necessário verificar quais camadas de proteção estão presentes, se elas são suficientes e se estão funcionando de maneira adequada. Monitoramento contínuo é chave”, diz o especialista, que também recomenda a criação de planos de testes (pentest, blue e red teams), de contingência e de respostas a incidentes.
Ingram Micro Security
A Ingram Micro Brasil criou recentemente a divisão Ingram Micro Security, um time 100% focado em segurança digital que conta com uma estrutura completa de especialistas, gerentes de produtos, arquitetos de soluções e BDMs altamente capacitados e com amplo conhecimento técnico em cibersegurança para suportar e atender da melhor maneira as demandas de seus parceiros de negócio. ”Segurança deixou de ser uma preocupação única e exclusiva da área de tecnologia das empresas.
Atualmente todos os departamentos de uma organização precisam saber como são protegidos os dados sensíveis, sejam informações diretamente relacionadas às estratégias do negócio, quanto aos seus clientes ou funcionários”, alerta Carla Santos, Head da área de produtos de soluções digitais da Ingram Micro Brasil.
O portfólio de cyber security da Ingram Micro Brasil é extenso e está preparado para atender todas as demandas e segmentos de negócios que precisam de soluções de proteção cibernética, pois conta com uma variedade de produtos, que vão desde soluções on-premises até tecnologias exclusivamente em cloud. “A transformação digital veio acompanhada de uma transformação também na segurança digital. A Ingram Micro entendeu essa demanda dos parceiros e se preparou para atender com qualidade e excelência esse mercado”, finaliza Carla.
A Ingram Micro Brasil já conta com 13 marcas em seu portfólio de cibersegurança. Os parceiros com soluções disponíveis na distribuidora são: Symantec, RSA, McAfee, Sophos, Trend Micro, SonicWall, Juniper, F5 Networks, Check Point, ESET, ProofPoint, Cisco e IBM.
