O risco para as empresas em negligenciar a segurança cibernética

* Por Aldo Macri e Klaus Kiessling

As empresas brasileiras têm registrado, nos últimos anos, impactos relevantes nos negócios por conta dos recentes ataques realizados por criminosos cibernéticos. Na Região Sul não é diferente. Recentemente, instituições públicas da localidade também foram alvos de ataques deste tipo e tiveram que suspender as atividades para o público até que o acesso pudesse ser restabelecido.

Contraditoriamente, é uma realidade que as áreas de tecnologia e segurança da informação, de modo recorrente, têm a necessidade de solicitar e demonstrar à direção das empresas a importância de investimentos nesses itens estratégicos. Algo um tanto óbvio e natural para a proteção da própria organização, dos negócios, clientes, consumidores e o mercado acaba sendo objeto de negociação interna.

O aporte de recursos nesse campo parece que só deixa de ser negligenciado até a empresa sofrer um ataque virtual. Em especial, quando se trata de algo tão danoso, é importante ter plena consciência do problema e das consequências deste. Nesse sentido, o primeiro aspecto é saber que nenhum ambiente é 100% seguro. É necessário criar controles e mecanismos de monitoramento para tornar possíveis respostas rápidas a eventuais incidentes.
Também é prudente lembrar que os hackers são ardilosos e sorrateiros, como todo criminoso. A partir do momento em que invadem o sistema de uma empresa, ficam cerca de duzentos dias no ambiente virtual, até armar o ataque que poderá gerar maior impacto e lhes propiciar resultados mais expressivos. No ano passado, o tempo médio para se identificar uma ameaça passou para 212 dias, sendo necessários mais 75 para tratar uma violação.

A forma mais comum para testar a segurança do ambiente é por meio de invasões simuladas. Há diversas ferramentas disponíveis no mercado que possibilitam implementar controles detectivos e preventivos de incidentes. Algumas, por exemplo, têm a capacidade de avaliar as 23 famílias de ransomware, tipo de malware de sequestro de dados, feito por meio de criptografia.

Globalmente, a média semanal de organizações afetadas por uma tentativa de ataque de ransomware é de uma a cada 53. No Brasil, no primeiro trimestre deste ano, foi uma em cada 61, significando aumento de 45% em relação a igual período de 2021, quando a proporção foi de uma em cada 89 organizações. Hoje, o país está entre os dez mais atacados. A Região Sul também é uma das mais afetadas no Brasil por tais incidentes.
No país, os setores mais visados são o comércio eletrônico, varejo e governo. A criptografia das bases de dados com pedidos de resgate e a exigência de altos valores por bitcoin (moeda virtual) é o ataque mais comum, atualmente, apesar de os criminosos estarem buscando outras formas de recebimento, tendo em vista que alguns caminhos de pagamentos em criptomoedas já possibilitam rastreio.

Para que o prejuízo de um ataque seja reduzido, é preciso desligar computadores e servidores e tentar, aos poucos, identificar o tamanho dos danos. Enquanto isso, são paralisadas todas as operações de vendas, faturamento, compras e pagamentos, dentre outros procedimentos. Portanto, os impactos são relevantes nos negócios, sem contar o montante eventualmente pago aos hackers pelo sequestro de dados e chave da criptografia. Por isso, é preciso ter um plano de contingência para a continuidade mínima das atividades e do processo interno e externo de comunicação.

Há diversos casos, em empresas grandes, nos quais as perdas chegam a milhões. Nos últimos meses, na região sul, uma empresa do setor do varejo e outra de educação e saúde tiveram impactos relevantes nas operações decorrentes de ataques cibernéticos, tendo que paralisar as atividades por alguns dias, impactando de forma relevante o atendimento a clientes e a operação interna da empresa. Hoje, globalmente, o impacto financeiro médio para as organizações está no patamar de 4,5 milhões de dólares. No Brasil, supera mais de um milhão de dólares. Esses valores consideram os custos para tratamento do caso, perda de negócios e eventual resgate de dados ou valor pago ao agressor.

A falta da cultura de compartilhamento de informações entre as instituições e empresas atacadas no Brasil prejudica uma atuação preventiva mais eficaz. Em alguns países, as empresas, ao identificarem uma tentativa ou serem atacadas, compartilham o fato e os dados para que outras do mesmo setor e ramos distintos possam prevenir-se, monitorar atividades, fazer leituras de determinados tipos de ameaça e até mesmo adotar medidas e controles para mitigação dos riscos.

Ante a realidade dos crimes cibernéticos e o imenso prejuízo que causam, é imprescindível investir em segurança, tecnologia de proteção e talentos humanos capacitados a reduzir as ameaças e lidar com a situação. Todo cuidado é pouco para proteger as empresas, os negócios e o ecossistema do qual fazem parte.
*Aldo Cardoso Macri é sócio-diretor de clientes e mercados na Região Sul e Klaus Kiessling é sócio de segurança cibernética da KPMG para a região Sul.