No ano passado, empresas de diversos países foram alvos de ataque cibernético. Em um dos casos, um vírus chamado Petya foi disseminado em sistemas de aeroportos, bancos e até mesmo da usina nuclear desativada de Chernobyl, na Ucrânia, além de lugares como Rússia, Noruega, Romênia, Espanha, Holanda, Reino Unido e Estados Unidos. No Brasil, o vírus afetou as oito unidades do Hospital de Câncer de Barretos, espalhadas pelo país.
Para evitar os prejuízos, empresas do mundo inteiro estão aderindo a seguros para riscos cibernéticos. A procura por esse serviço aumentou 200% nos últimos meses. Estima-se que esse tipo de crime pode gerar um prejuízo de US$ 2,01 trilhões até 2019. A soma das perdas no próximo triênio será quase quatro vezes maior em relação a 2015.
Para entender um pouco mais sobre o assunto, o Edição do Brasil conversou com o analista de segurança do Centro de Atendimento a Incidentes de Segurança (CAIS), da Rede Nacional de Ensino e Pesquisa (RNP), Rodrigo Facio.
O que é um ataque cibernético?
É uma ação maliciosa e danosa realizada por uma pessoa mal-intencionada utilizando meios digitais. Trata-se de alguma fraude ou ação que possa prejudicar ou realizar dano a um serviço de internet, sistema de uma empresa ou dados pessoais de um indivíduo.
Geralmente quais são os dados mais roubados das empresas?
De uma maneira geral, são informações relacionadas a cartões de crédito e dados pessoais de usuários de seus serviços, onde os atacantes focam principalmente em ataques relacionados aos ambientes de e-commerce. Em alguns casos, essas informações são obtidas através da exploração de vulnerabilidades dos próprios sistemas, como aconteceu em grandes vazamentos ocorridos no final do ano passado e começo deste. Em outros casos, os criminosos realizam um ataque conhecido como phishing, visando enganar os usuários com alguma promoção falsa e tentam conseguir as informações da vítima, podendo realizar compras na internet utilizando dados de terceiros.
Quem é mais atingido: o e-commerce ou corporações físicas?
São linhas diferentes. Grandes empresas físicas que não realizam negócios na internet também sofrem ataques, principalmente as que estão na mídia. Mas, hoje, o cibercrime se motiva muito em torno de dados financeiros e aí, geralmente, o e-commerce é um ramo de atividade que processa esses tipos de dados e alcança um público muito extenso. São empresas que mantém negócios na internet e que precisam, para manter seus negócios, fazer movimentações e guardar registros pessoais e de compras dos consumidores.
Acontecem também outros casos, como foi o vazamento de filmes e séries da emissora HBO no ano passado. Isso pode caracterizar, de certo modo, vazamento de informações devido à um ataque cibernético. Aí cabe diferenciar os tipos de prejuízos. Existem aqueles com impacto direto, como os ocasionados por fraudes, compras irregulares, etc., e com impactos indiretos, porém significativos, os danos causados à imagem da organização, perda de credibilidade, de anunciantes, entre outros. Todos esses aspectos devem ser contabilizados quando falamos de prejuízos causados por ataques cibernéticos.
Ataques cibernéticos vão gerar perdas US$ 2 trilhões até 2019. Quais podem ser as consequências desse crime para uma organização?
Os bancos são, na maioria das vezes, os mais prejudicados. Cada vez mais os usuários utilizam dos meios eletrônicos para fazer transações e movimentações financeiras. As empresas tem investido pesado no ramo de segurança da informação justamente por causa desses crimes. É muito comum, por exemplo, o usuário acessar sua conta de casa e acreditar que só porque é seu computador pessoal que ele está seguro. Mas, na maioria das vezes, o dispositivo está comprometido e ele acaba passando informações pessoais e dados financeiros a criminosos que podem cometer fraudes e os mais variados crimes.
Houve um aumento de 200% no número de empresas que buscam seguro contra hackers. Qual a importância disso?
O seguro não visa prevenção de ataques cibernéticos, e sim evitar prejuízos caso, porventura, eles ocorram. Acontece que se o usuário ao realizar, por exemplo, movimentações financeiras pela internet tiver seus dados expostos ou houver vazamento de informações contidas nos sistemas de empresas, a lei brasileira o ampara e atribui a responsabilidade e prejuízos, decorrentes da falha de proteção dos dados, às empresas, exceto quando há negligência por parte do usuário. Então o seguro contra prejuízos causados por essas invasões é importante porque é por meio dele que as empresas conseguem recursos para, por exemplo, indenizar os usuários de possíveis danos causados, melhorando assim a continuidade em seu negócio por transferir o risco para as seguradoras.
Com as redes sociais ficou mais fácil roubar informações?
As redes sociais facilitam um tipo de ataque conhecido como engenharia social, o qual é muito utilizado por criminosos para obter o máximo de informações necessárias para que uma fraude seja consumada.
Algumas pessoas compartilham informações bastante pessoais, como fotos, hobbies, lugares que frequentam, onde trabalham, sem o nível de privacidade adequado, por acreditarem na premissa de que o seu ciclo social na Internet é formado basicamente por pessoas confiáveis. Isso abre portas para criminosos que podem usar essas interações para obter informações pessoais e sigilosas, ou enviar links para preparar um ataque específico e direcionado com base nessas informações expostas. Então, nesse sentido, as redes sociais viram uma ponte para um ataque digital.
Por isso, é necessária muita atenção por parte dos usuários: cuidado ao compartilhar informações sobre sua vida pessoal, atentar para a privacidade dos posts, evitar acessar endereços de internet ou preencher cadastros em sites que não conheçam ou não pareçam confiáveis, não clicar em links de notícias falsas (fake news), usar senhas diferentes em cada sistema de empresas na internet, seja de bancos ou de lojas online, entre outras. Essas são algumas ações que podem evitar golpes e ataques virtuais.
A companhia foi atacada: o que fazer?
Atualmente existem delegacias especializadas em crimes cibernéticos. A empresa pode reportar esses ataques e colaborar com as investigações quando necessário.
Além disso, as empresas devem ter e acionar um plano de tratamento do incidente de segurança. É importante a realização de auditorias e análises forenses nos sistemas afetados, visando detectar e corrigir vulnerabilidades e falhas de segurança da informação que permitiram a consumação do ataque. É importante também que as empresas possam sempre considerar o investimento em estratégias de segurança da informação, o que pode incluir contratação de profissionais especializados e o estabelecimento de uma equipe de tratamento de incidentes de segurança (CSIRT), cujo objetivo é justamente prevenir e tratar problemas de segurança quando acontecem, o que pode evitar ou minimizar prejuízos causados por ataques cibernéticos.
[box title=”” bg_color=”#e0e0e0″ align=”center”]Para auxiliar o combate à fraude na internet, o CAIS possui uma ferramenta online que cataloga esse tipo de crime. “A gente recebe os dados de vários órgãos, parceiros e usuários finais e tudo é analisado e catalogado. Então, se a pessoa tem dúvida quanto à procedência de um e-mail ou link recebido, ela pode acessar esse catálogo e ver se ele é confiável ou não. Se o conteúdo estiver ali, a gente não recomenda o acesso”, acrescenta Rodrigo. Acesse o portal: https://www.rnp.br/servicos/seguranca/catalogo-fraudes[/box]