Empresas brasileiras alvos de hackers se omitem sobre ataques
Agosto, 2017
Cerca de 23% das companhias nem mesmo sabem quantos ataques já sofreram, revela levantamento
RIO – Sony, Target, Home Depot, Staples e JP Morgan. Nos últimos anos, todas essas companhias estrangeiras foram vítimas de grandes ataques hackers que levaram ao vazamento de milhões de dados de clientes e a prejuízos milionários. No Brasil, no entanto, notícias semelhantes são praticamente inexistentes. Sinal de que estamos mais bem protegidos? Não necessariamente. De acordo com especialistas ouvidos pelo GLOBO, as empresas brasileiras não só costumam descuidar da sua segurança digital, como são vítimas frequentes. A diferença é que, por aqui, sem a obrigação de serem transparentes quanto aos episódios, elas optam pelo silêncio, prejudicando investigações e o próprio mercado.
Esta é a segunda reportagem de uma série sobre o crescimento do cibercrime no Brasil e os prejuízos causados pelos ataques hackers.
Levantamento realizado pela Federação das Indústrias do Estado de São Paulo (Fiesp), entre janeiro e fevereiro deste ano, com 435 empresas de pequeno, médio e grande porte do principal centro econômico do pais, ajuda a traduzir em números a vulnerabilidade digital e silenciosa dos empresários brasileiros.
Apesar de 96,4% das empresas participantes indicarem que instalam programas antivírus, apenas 40,1% disseram investir em aplicação de normas internas de segurança computacional, e somente 21,2% disseram oferecer treinamento aos funcionários diretamente ligados ao uso da internet.
— No Brasil, o que se observa é uma falta de alocação de recursos por parte das empresas para a sua segurança digital. Em muitos casos, as empresas sabem dos riscos, mas, por ainda não terem sido impactadas, ou não saberem se foram, acabam não investindo nisso — afirma Rony Vainzof, advogado diretor do Departamento de Segurança (Deseg) da Fiesp. — Ainda temos uma característica cultural muito forte de correr atrás do prejuízo quando ele ocorre, ao invés de apostar na prevenção.
INCERTEZA SOBRE VIOLAÇÕES
Ainda no levantamento, cerca de 23% das empresas informaram que nem mesmo sabiam quantos ataques já haviam sofrido, e mais de 70% disseram não fazer uso da nuvem de internet para armazenar informações sensíveis.
Esta falta de cuidado com a segurança tecnológica é encontrada com frequência no dia a dia dos chamados “hackers éticos”: profissionais versados nas táticas dos cibercriminosos e que são contratados pelas próprias companhias para colocar à prova seus sistemas de defesa.
Lincoln Werneck, da Clavis Segurança da Informação, é um deles, e sua visão sobre o cenário nacional não é nada positiva. Segundo o especialista, falta no país uma cultura de segurança que abranja todos os atores, desde o usuário final, passando pelas faculdades e empresas, até chegar ao governo.
— O estudante entra na faculdade e aprende a programar, mas não a se preocupar com a segurança. Ele vai para o mercado e monta uma rede ou cria um software cheio de buracos. Só depois de um incidente de segurança é que ele vai se preocupar com isso, e começa a fazer remendos — diz Werneck. — A segurança da informação ainda é vista como despesa no Brasil.
O analista de segurança Guilherme Moraes, que atua com Werneck na Clavis, relata que é comum se deparar com sistemas vulneráveis a ataques padrão. Os “hackers éticos” fazem uso de softwares chamados “PenTest Tools”, que são conhecidos, disponíveis na internet, mas ainda assim derrubam muitos sistemas mesmo com os testes mais básicos.
— É uma realidade, infelizmente — lamenta Moraes. — Nós encontramos sistemas que são vulneráveis até para os script kiddies (termo usado para designar crackers sem conhecimento de programação, que usam softwares desenvolvidos por terceiros).
SILÊNCIO DANINHO
Aliada ao despreparo das empresas está a sua falta de transparência quanto aos ataques sofridos, conforme testemunha Vainzof, da Fiesp:
— Já atuamos em casos bastante graves por aqui, em que os prejuízos chegaram a milhões de reais em episódios de vazamentos de informações. Mas muitas empresas tratam do assunto internamente, procurando o Judiciário de forma sigilosa, e isso quando o fazem.
Ao contrário do que ocorre em diversos estados dos EUA e de países da Europa, como a Alemanha e o Reino Unido, onde as empresas são obrigadas por lei a notificar as autoridades quando ocorre um vazamento de dados de clientes, no Brasil esta obrigação é inexistente. Isso impede que as autoridades tenham uma real dimensão dos ataques digitais efetuados nesse âmbito e, muitas vezes, dificulta a captura dos cibercriminosos.
É o que afirma o delegado Stênio Santos, chefe do grupo de repressão a crimes cibernéticos da Polícia Federal (PF-DF). Ele acredita que os cibercrimes no país são subnotificados:
— Como por aqui as empresas não são obrigadas a fazer a comunicação dos ataques, elas preferem aceitar o prejuízo financeiro por medo de um prejuízo moral. Assim, ainda que os crimes digitais venham aumentando, acreditamos que eles sejam ainda maiores do que sabemos.
FALTA COOPERAÇÃO, DIZ DELEGADO
Diante desse quadro, o delegado diz que um dos grandes desafios das autoridades na investigação desse tipo de crime é a própria colaboração das empresas.
— Em muitos casos, não há cooperação com a polícia, o que acaba sendo um obstáculo às investigações. Só que, ao fazer isso, elas ignoram o artigo 144 da Constituição, que diz ser um direito e responsabilidade de todos cooperar com a segurança pública, já que, sem isso, ela não se concretiza.
Atualmente, o tema da obrigação sobre a transparência das empresas em casos de ataques faz parte das discussões do anteprojeto de lei sobre a proteção de dados pessoais, no momento em discussão na Câmara dos Deputados, após passar por uma consulta pública.
Para Robert Muggah, diretor de pesquisas do Instituto Igarapé e um dos coautores da pesquisa “Desconstruindo a cibersegurança no Brasil: ameaças e respostas”, o país só teria a se beneficiar com a adoção de uma legislação sobre o tema:
— Me parece que há um interesse das empresas em não reportar esses ataques, devido ao temor de prejudicar a confiança dos seus clientes. No entanto, o país se beneficiaria em considerar um mecanismo de transparência oficial exigindo que as empresas e vítimas reportem os episódios de ataques, para que as pessoas tenham um entendimento se o problema está melhorando ou piorando. Enquanto mantivermos silêncio, estaremos condenando o Brasil a perdas financeiras mais dramáticas.
