ANÁLISE

RISCO CIBERNÉTICO: 

a ameaça real do mundo virtual

Luciano Marques,CES,CPSI,MBS
Gestor de Segurança Empresarial, Auditor Interno e Especialista em Segurança Corporativa.
 MBA de Gestão de Riscos Corporativos pela Brasiliano INTERISK em Curitiba.

O mundo em que vivíamos a 25 anos atrás mudou. A tecnologia invadiu nossas casas, nossas empresas e nossas vidas, prometendo-nos facilidades, economia e bem-estar – e trouxeram mesmo! Mas nem tudo são flores. Junto com estas facilidades, vieram também outras ameaças, diferentes do que éramos acostumados a enfrentar. 

Ameaças que não vinham do mundo real que estávamos acostumados, mas sim de um outro mundo, o mundo virtual. Ameaças sem rosto que não invadem por janelas ou portas, mas por um simples cabo de rede, ou até mesmo pelo ar. E agora, reféns da modernidade tecnológica, lutamos para nos proteger desse mal quase invisível que espreita a cada nova conexão.

Lembro que há uns 25 anos atrás quem possuía um celular era visto como alguém com razoável poder aquisitivo, pois eram equipamentos caros, além de serem novidade. Hoje em dia é quase impossível encontrar alguém que não tenha um aparelho destes. E o mais incrível é que a maioria nem utiliza sua função mais básica, realizar e receber chamadas de voz. Hoje os celulares são verdadeiros computadores de mão, com acesso à internet e a possibilidade de instalação de programas, os chamados aplicativos, que revolucionaram o mundo moderno da tecnologia. Infraestrutura, aplicativos, ambientes virtuais, inteligência artificial – recursos que vieram para viabilizar e facilitar nossa vida e nosso trabalho. Porém, junto com esta rápida evolução, também vieram novas ameaças, que proporcionalmente à modernidade dos novos recursos, também trazem constantes desafios para a segurança. Mas não a segurança que estávamos acostumados há alguns anos atrás no “mundo físico”, mas sim num mundo novo e virtual – o espaço cibernético, ou simplesmente “ciberespaço” – um espaço virtual composto por cada computador e usuário conectados na rede mundial, a internet, onde as pessoas passam a criar conexões e relacionamentos capazes de fundar um espaço de sociabilidade virtual. Uma das ameaças presentes neste mundo virtual é o crime cibernético, popularmente conhecido como “cibercrime”, que caracteriza qualquer atividade ou prática ilícita na rede. Práticas estas que envolvem invasões de sistema, disseminação de vírus, roubo de dados pessoais, falsidade ideológica, acesso a informações confidenciais e outros.

 

Tal crime está tipificado na lei 12.737/2012, que o conceitua, no art. 154-A como “invadir dispositivo informático alheio, conectado ou não à rede de computadores, mediante violação indevida de mecanismo de segurança e com o fim de obter, adulterar ou destruir dados ou informações sem autorização expressa ou tácita do titular do dispositivo ou instalar vulnerabilidades para obter vantagem ilícita”. A pena para quem comete um crime destes é de 3 meses a 1 ano, mais multa. Se resultar em prejuízo financeiro, a pena aumenta de um sexto a um terço. Caso a invasão resulte “na obtenção de conteúdo de comunicações eletrônicas privadas, segredos comerciais ou industriais, informações sigilosas, assim definidas em lei, ou o controle remoto não autorizado do dispositivo invadido” — conforme § 3º da referida lei — a pena será de 6 meses a 2 anos mais multa. Existem ainda alguns agravantes caso o crime seja cometido contra autoridades políticas e públicas. Dados sobre a ocorrência desses crimes cibernéticos são notoriamente escassos, uma vez que não há um padrão comum para registrá-los, e as empresas não têm incentivos para relatá-los. O que temos então são pesquisas de órgãos privados e consultorias que analisam dados colhidos através de entrevistas e o preenchimento de questionários, que podem ajudar um pouco na avaliação desses cenários de risco. O relatório Cyber Security Insights da Norton, uma divisão da Symantec, aponta que, em 2017, o Brasil foi o 2º país com o maior número de crimes cibernéticos no mundo, sendo superado apenas pela China. De acordo com o estudo, mais de 62 milhões de brasileiros foram impactados de alguma forma, gerando um prejuízo de US$ 22 bilhões, sendo o phishing o tipo de ataque mais comum registrado no país e o bom e “novo” celular o dispositivo mais atacado.

 

Segundo o relatório Cost of a Data Breaach 2018, patrocinado pela IBM e conduzido pelo Instituto Ponemon, que realiza pesquisas independentes sobre política de privacidade, proteção de dados e segurança da informação, o custo médio total de violação de dados no Brasil, em 2017, foi de US$ 1,24 milhão, sendo que o custo médio de uma violação de dados global é de US$ 3,86 milhões. Além disso, a pesquisa também indica que o Brasil é o mais provável a ter ataques de hackers entre os países pesquisados. Segundo um estudo Cyber Handbook da Marsh & McLennan Companies (MMC), a estimativa é que os ciberataques contra as empresas acabe dando origem a perdas na casa dos US$ 2,1 trilhões (R$ 6,5 trilhões) a companhias de todo o mundo até 2019.

 

No mundo corporativo, os efeitos podem ser muito expressivos, seja por conta de vazamentos de informações confidenciais ou pelo descumprimento de normas ou leis de proteção de dados, como a europeia, General Data Protection Regulation (GDPR), e recente brasileira, Lei Geral de Proteção de Dados Pessoais (LGDP). Apenas para ilustração, o GDPR, conjunto de regras criado pela União Europeia que regulamenta o tratamento de dados pessoais de europeus por empresas e instituições e que começa a vigorar em 2018, traz várias regras e práticas que se não cumpridas pelas empresas poderão gerar multas de até 20 milhões de euros ou 4% do lucro global da empresa. Enquanto a LGDB, lei brasileira aprovada neste ano e que entra em vigor daqui há 18 meses, trata da garantia que o cidadão brasileiro saiba como seus dados pessoais estão sendo tratados pelas empresas, imputando a estas a responsabilidade pela garantia da integridade e uso correto destas informações, podendo, em caso de descumprimento, receber multas que podem chegar a 2% do faturamento da empresa. As preocupações deste ano de 2018 saltaram, elevando os crimes virtuais e a fraude de dados para a lista dos cinco principais riscos globais por probabilidade percebida, segundo o Relatório 2018 de Riscos Globais do Fórum Econômico Mundial. Os ataques estão aumentando, tanto na prevalência, como no potencial disruptivo, pois se reinventam a cada instante. Para a consumação destes cibercrimes, criminosos utilizam-se de várias técnicas para invasão de sistemas informáticos, inundando a internet com programas ou códigos maliciosos (malware) desenvolvidos para executar ações danosas e atividades maliciosas em um computador. Tais códigos podem ser: 

Vírus

Arquivos desenvolvidos com um objetivo específico, que pode variar de coisas mais simples, como implantar propagandas para divulgação de um produto, roubar informações ou danificar o computador; 

Worms

Um programa semelhante aos vírus, com a diferença de este ser auto replicante, ou seja, ele cria cópias funcionais de si mesmo e infecta outros computadores. Pode ser projetado para realizar ações maliciosas após infestar um sistema. Além de se autorreplicar, pode deletar arquivos em um sistema ou enviar documentos por e-mail. 

Spyware

Programa projetado para monitorar as atividades de um sistema e enviar as informações coletadas para terceiros. Alguns tipos específicos de programas spyware são: 

a. Keylogger - capaz de capturar e armazenar as teclas digitadas pelo usuário no teclado do computador. 

b. Screenlogger - capaz de armazenar a posição do cursor e a tela apresentada no monitor, nos momentos em que o mouse é clicado, ou a região que circunda a posição onde o mouse é clicado. 

c. Adware - projetado especificamente para apresentar propagandas. 

 

Backdoor

Recurso utilizado para garantir acesso remoto ao sistema ou à rede infectada, explorando falhas críticas não documentadas existentes em programas instalados, softwares desatualizados e do firewall para abrir portas do roteador. 

 

Trojan

Também conhecido como Cavalo de Tróia, é um programa que, além de executar as funções para as quais foi aparentemente projetado, também executa outras funções, normalmente maliciosas, e sem o conhecimento do usuário. 

 

Rootkit

Desenvolvido especificamente para esconder a si mesmo e a sua atividade no sistema infectado e assegurar a presença de um invasor ou de outro código malicioso em um computador comprometido. 

 

Ransomware

Um tipo de software nocivo que restringe o acesso ao sistema infectado e cobra um resgate para que o acesso possa ser restabelecido, caso não ocorra o mesmo, arquivos podem ser perdidos e até mesmo publicados. 

 

Alguns códigos maliciosos destes ficaram famosos em ciberataques nos últimos anos. Um exemplo destes foi o “WannaCry”, um ransomware que em 2017 vitimou 150 países, incluindo o Brasil, sendo considerado um dos maiores ataques de sequestro de dados, que causou um prejuízo que ultrapassou U$ 1 bilhão em todo o mundo. Estima-se que mais de 230 mil sistemas foram infectados, até que o “antídoto” foi descoberto, controlando o caso. Outro ransomware que tirou o sono de muitos empresários no mesmo ano foi o NotPetya, que apesar de usar um modus operandi muito parecido com o do WannaCry, que criptografava o acesso aos arquivos, este bloqueia o acesso total ao computador. Somente a FedEx, uma das mais conhecidas empresas de entrega do mundo, que fora uma das empresas vitimadas pela ação do ransomware, declarou em seu relatório financeiro que teve um impacto de US$ 350 milhões em suas finanças. Até agora falamos de invasão de computadores, mas imagine uma fábrica com 100.000 endereços IP ligados a sensores inteligentes e sistemas ciberfísicos para agregar dados para algoritmos que controlam e manobram as máquinas! Isto já é realidade em muitas indústrias pelo mundo. As máquinas e ferramentas físicas - ou robôs - que antes eram confinadas entre as quatro paredes de uma fábrica, agora também são vulneráveis a forças externas. Imagine se um estranho mal-intencionado encontrasse uma maneira de alterar o valor de um ou mais dispositivos ou sensores, desencadeando uma reação em cadeia. Ou em uma fábrica de produtos químicos, onde poderia alterar as configurações de temperatura ou pressão e provocar uma cascata de eventos negativos? Isto poderia possivelmente causar até uma explosão! Em uma fábrica automotiva, isso poderia forçar os robôs a enlouquecerem ou, ainda pior, incorporar malwares durante o processo automatizado de flash em veículos autônomos! Imagine o cenário!

 

Com a grande e rápida evolução e a nossa inevitável dependência tecnológica cada vez maior, ciberataques como os citados anteriormente ou até cenários como o exemplificado acima poderão com certeza ainda abrilhantar as páginas dos jornais, trazendo impactos cada vez maiores, se nada for feito para freá-los. O crime cibernético alcançou um nível tão alto de sofisticação que representa um setor empresarial global maduro, embora ilícito. Com as tecnologias quase onipresentes que agora conectam os mundos físico e digital, existe um novo potencial para que os ataques cibernéticos individuais devastem processos comerciais e operacionais críticos. Dentro deste cenário, o que podemos fazer então para diminuir a possibilidade de incorrermos a um risco destes? A resposta é antecipar-se aos ataques, ou seja, identificar e compreender estes riscos de forma a encontrarmos maneiras de prevenir a sua concretização e realizar modelagem probabilística baseada em cenários para ajudar a entender como estes riscos cibernéticos ocorrem e como poderão atingir os processos analisados.

 

A segurança cibernética exige uma abordagem abrangente e multidimensional da governança, exigindo o envolvimento do conselho e da alta direção. Toda organização hoje deve planejar “quando” - não “se” - uma violação de segurança cibernética pode acontecer. É de suma importância que as organizações determinem sua própria tolerância ao risco e planejem uma estratégia de segurança cibernética de acordo com seu apetite ao risco. Educar os funcionários em toda a empresa, contratar bem e promover o desenvolvimento da equipe cibernética é essencial para os negócios. O risco cibernético representa uma classe de risco relativamente nova, que traz consigo um grande desafio e a necessidade de compreender os aspectos tecnológicos muitas vezes complexos, os fatores de engenharia social e a natureza mutável do Risco Operacional como consequência do ciberespaço. Por este motivo é preciso entender o cenário de ameaças e estar preparado para enfrentar este inimigo, com força, estratégia e acima de tudo, preparo, persistência e muita disposição.

REFERÊNCIAS 

BRASIL. Lei n.º 12737, de 30 de novembro de 2012, Dispõe sobre a tipificação criminal de delitos informáticos; altera o Decreto-Lei no 2.848, de 7 de dezembro de 1940 - Código Penal; e dá outras providências. Diário Oficial [da] República Federativa do Brasil, Brasília, DF, 3 dez. 2012, Seção 1, pt. 1. 

COMMITTED TO IMPROVING THE STATE OF THE WORLD. The Global Risks Report 2018. 13th Ed. World Economic Forum. Geneva, 2018. Disponível em: <http://www3.weforum.org/docs/WEF_GRR18_Report.pdf> Acesso em: 27 out. 2018.

 

MARSH & MCLENNAN COMPANIES. MMC Cyber Handbook 2018: Perspectives on the next wave of cyber. New York, USA, 2018. Disponível em: <https://www.mmc.com/content/dam/mmc-web/Global-Risk-Center/Files/mmc-cyberhandbook-2018.pdf> Acesso em: 28 out. 2018. 

PONEMON INSTITUTE LLC. 2018 Cost of a Data Breach Study: Global Overview. Benchmark research sponsored by IBM Security. Michigan, USA, 2018. Disponível em: <https://public.dhe.ibm.com/common/ssi/ecm/55/en/55017055usen/2018-globalcodb-report_06271811_55017055USEN.pdf> Acesso em: 28 out. 2018. 

SYMANTEC CORPORATION. Norton Cyber Security Insights Report: 2017 Global Results. Montain View (Califórnia), 2018. Disponível em: <https://www.symantec.com/content/dam/symantec/docs/about/2017-ncsir-globalresults-en.pdf> Acesso em: 28 out. 2018

Nossas redes sociais
Brasiliano INTERISK
Contato

Rua Barão de Jaceguai, 1768 - Campo Belo
São Paulo - SP - CEP: 04606-004

  • Facebook - Grey Circle
  • LinkedIn - Grey Circle
  • YouTube - Grey Circle