PONTO DE VISTA
Risco Cibernético é uma realidade no Brasil.
Sua empresa está protegida?
Antonio Celso Ribeiro Brasiliano, CIGR, CRMA, CES, DEA, DSE, MBS
Publisher da Revista Gestão de Risco e Presidente da Brasiliano INTERISK.
abrasiliano@brasiliano.com.br.br
A empresa Trend Micro, empresa especializada em prover segurança em nuvem, soluções de segurança para conteúdo na Internet e gerenciamento de ameaças, além de realizar pesquisas, realizou em 2014 uma análise da economia do submundo do crime digital brasileiro. A conclusão foi que o amadurecimento era contínuo, apesar da falta de desenvolvimento das ferramentas e táticas que eles oferecem.
A característica brasileira é o uso de plataformas de mídia social populares para cometer fraudes ao invés de se esconder nos profundos recessos da Web com ferramentas que os usuários comuns normalmente não têm acesso. Os criminosos cibernéticos brasileiros nestas áreas fazem uso de mídias populares, tais como Facebook, YouTube, Twitter, Skype e WhatsApp, já que estes demonstraram ser locais eficazes. Eles comercializam geradores, verificadores e testadores para mais que apenas cartões de crédito. Oferecem também ferramentas criadas para ataques contra produtos e serviços exclusivos, serviços de treinamento para aspirantes a criminosos cibernéticos. Entre os produtos oferecidos, além dos Cavalos de Tróia bancários, estão credenciais de contas para aplicações de negócios populares, páginas de phishing e listas de números de telefone. Dentro deste cenário como anda sua segurança cibernética?
Hoje no Brasil já aconteceu de ciber criminosos atacarem computadores de médias e grandes empresas para pedirem resgate. Destruíram ou violaram a base de dados, deixando a organização paralisada, gerando prejuízos massivos, tanto financeiros, operacionais, legais e, principalmente para a imagem perante seu mercado.
O Brasil é o país que mais recebe ataques cibernéticos na América Latina e está entre as primeiras posições do ranking mundial. O mundo nunca foi tão pequeno, com inúmeros nós conectados, velocidades de Internet mais rápidas. A Internet das Coisas (IoT) mudou radicalmente a maneira como interagimos uns com os outros, revolucionou os processos de negócios e alterou a maneira pela qual os países e as infraestruturas críticas são operados. Não há dúvida de que essa grande conectividade é uma ferramenta de desenvolvimento poderosa e uma oportunidade de crescimento, uma ferramenta que deve permanecer aberta e acessível apesar dos riscos cibernéticos serem inerentes. O desafio está em nossa capacidade de equilibrar e gerenciar esses riscos para o futuro próximo.
Os ataques cibernéticos são considerados quase tão graves pela indústria do seguro quanto as catástrofes naturais. Ambos acarretam perdas bilionárias. Segundo os especialistas em análise de riscos, o risco cibernético já é considerado uma das maiores exposições do século XXI para as organizações.
Crimes praticados por hackers cresceram 197% no Brasil entre 2013 e 2014 representando o maior alvo da América Latina, e com posição avançada na lista mundial (os que mais realizam ataques cibernéticos hoje são EUA, China e Rússia) segundo o Centro de Estudos, Respostas e Tratamento de Segurança (Cert.br). Globalmente, a cada minuto são criados 45 novos vírus, 200 novos sites maliciosos, 5.000 novas versões de malware, 180 identidades são roubadas e 2 milhões de dólares são perdidos.
Na Alemanha, por exemplo, quase um milhão de usuários ficaram sem TV, telefone e Internet por causa de um ataque cibernético. Outra onda de ataques maciços contra um provedor de internet interrompeu os serviços de páginas na web de grandes empresas e meios de comunicação internacionais. Os ataques do tipo ransomware, em que os hackers criptografam ou bloqueiam o sistema de computador de uma organização e, em seguida, exigem resgate para descriptografá-lo ou liberá-lo, têm aumentado e preocupado governos e organizações.
O risco causado pela exposição de dados e informações das empresas hoje em dia, inclusive pela nova legislação brasileira reforça esta preocupação. Mas aí temos um grande problema: apesar da alta exposição, dos massivos prejuízos, ainda assim as empresas não possuem o cuidado necessário. Pesquisa realizada pela OEA, Organização dos Estados Americanos, que engloba todas as três américas, sobre segurança cibernética, teve as seguintes respostas para as três que considerei mais críticas, como podemos ver na figura ao lado.
A maioria dos países se sente parcialmente preparada para um incidente cibernético, o que sugere esforço para melhorar a prontidão. Ressalva importante, o aumento do número e sofisticação dos ataques cibernéticos significa que os países que estão despreparados ou parcialmente preparados devem considerar melhorar sua capacidade de detecção, proteção e resposta a incidentes. Ou seja, na realidade ainda estamos em um nível não adequado!
A prontidão começa com um plano e, como pouco mais da metade dos entrevistados (52%) declarou ter um plano de resposta a incidentes cibernéticos, isso não é um bom presságio no caso de um ataque. Os sistemas e controles industriais são implementados sem medidas de segurança. Outro quesito é que apenas 37% das organizações adotam normas, o que aumenta o risco de comprometimento de seus dispositivos.
Com mais da metade dos entrevistados dizendo que seus orçamentos não aumentaram, a capacidade para detectar intrusões estará gravemente comprometida, já que a maioria dos ataques de hoje não podem ser combatidos com medidas de segurança tradicionais. Sistemas de detecção de violações de dados podem ajudar a melhorar essa área, mas vimos que isso requer um orçamento adicional para ser implementado.
As empresas brasileiras deveriam, estar mais atentas e seus gestores de riscos corporativos mais ativos, pois o Risco Cibernético não é um risco do departamento de TI, uma vez que envolve o negócio como um todo, é transversal. O alerta é motivado pelo número de ataques e dos prejuízos que as organizações estão tendo e terão.
O crescimento da conscientização sobre a exposição do risco cibernético e as atuais mudanças regulatórias devem sensibilizar a alta gestão. Pensem holisticamente: Quando serei atacado? Possuo resposta eficaz? Meus dados estão seguros?
Boa Leitura!
Antonio Celso Ribeiro Brasiliano
Publisher da Revista Gestão de Riscos e Presidente da Brasiliano INTERISK
abrasiliano@brasiliano.com.br