Tue, Aug 8, 2017
No último ano, as corporações brasileiras aumentaram os investimentos em segurança cibernética e implementaram ferramentas tecnológicas modernas para combater ataques; no entanto, essa tendência ainda segue aquém do crescimento e da sofisticação das ameaças perpetradas por vírus e malwares (softwares maliciosos, que podem corromper sistemas ou roubar informações). Como resultado, em vez de detectar ataques com rapidez, as empresas costumam enfrentar os incidentes cibernéticos tardiamente, o que pode amentar as perdas financeiras e riscos reputacionais.
Por este motivo, os resultados positivos do Brasil no último Relatório Global de Fraude & Risco 2016/17 devem ser encarados com reservas, de modo a não suscitar uma falsa sensação de segurança cibernética.
Alguns aspectos culturais e de governança empresarial ajudam a explicar porque a pesquisa feita com executivos brasileiros demonstrou uma menor incidência de ataques cibernéticos no país (76%), se comparada ao resto do mundo (85%) e a países como Estados Unidos (88%), Reino Unido (92%) e Canadá (85%).
Em primeiro lugar, a legislação brasileira não obriga as empresas a reportarem a autoridades invasões e ataques a bancos de dados e matrizes tecnológicas, assim como ocorre em outros países. Dessa maneira, muitos casos não são comunicados oficialmente ao poder público e deixam de ser contabilizados.
Outra informação relevante para a compreensão dos resultados da pesquisa diz respeito à demora em identificar uma invasão com potencial nocivo. Isso porque a ameaça e os riscos podem persistir instalados por um longo período de tempo, de forma imperceptível e atuante – característica que pode estar relacionada ao fato de, no Brasil, os ciberataques ocorrerem majoritariamente (38%) com a participação direta de ex-funcionários. A proporção representa quase o dobro da global.
Tal panorama favorece a não detecção de ameaças que visam realizar investigações financeiras a partir de ataques a clientes, funcionários e fornecedores. Para perpetrar fraudes como o golpe do boleto de pagamento, por exemplo, os atacantes distribuem, a partir de IPs anônimos, uma variedade de vírus por meio de phishing e worm attacks, que correspondem a 41% dos incidentes cibernéticos detectados pelos respondentes brasileiros, índice 8% acima do global.
Outro método comuns e nocivo atualmente atende pelo nome de ransomware – uma série de códigos maliciosos que tornam os dados contidos em um equipamento inacessíveis, geralmente usando criptografia. Para reestabelecer o acesso aos arquivos, as empresas são extorquidas e obrigadas a pagar um valor estabelecido pelo sequestrador, geralmente com bitcoins.
É impossível criar uma solução única e definitiva contra as ameaças. Qualquer empresa, independente de sua dimensão e a qual setor pertença, está suscetível a sofrer algum tipo de ataque em determinado momento. No entanto, há uma série de medidas preventivas, processos e ferramentas que podem ser aliados extremamente valiosos na rápida detecção e remediação de ameaças. Em vista disso, é aconselhável às empresas e aos investidores recorrerem à ferramenta de Cyber Due Diligence, que permitirá um conhecimento amplo sobre os riscos, fragilidades e possibilidades tecnológicas, de forma a construir uma estrutura menos suscetível a perdas financeiras, materiais, intelectuais e de imagem.