Três perguntas: o mercado de crimes cibernéticos e as empresas

Por Jorge Priori.

Segundo a McAfee*, a estimativa das perdas financeiras globais causadas pelos crimes cibernéticos foi de US$ 945 bilhões em 2020. No mesmo ano, o valor investido em segurança cibernética foi estimado em US$ 145 bilhões, o que fez com que mais de US$ 1 trilhão tenham sido tragados da economia mundial por esse tipo de crime. Desde 2013, o crescimento das perdas financeiras relacionadas aos crimes cibernéticos foi de 215%. Esse estudo não abre os valores por país.

Na categoria dos crimes cibernéticos, entra, por exemplo, o megavazamento de dados ocorrido no início de 2021, quando as informações de 223 milhões de brasileiros (eu e você incluídos), 40 milhões de CNPJs e 104 milhões de registros de carros apareceram sendo ofertados na Deep e na Dark Web. A Polícia Federal já prendeu o suposto responsável pelo crime, Marcos Roberto Correia da Silva, também conhecido como o hacker VandaTheGod. Segue em aberto a questão de onde os dados foram roubados, assunto que parece estar sendo convenientemente esquecido.

Conversamos sobre crimes cibernéticos com Rogério Soares, diretor de Pré-Vendas e Serviços Profissionais da unidade brasileira da Quest Software, empresa americana fundada em 1987, fornecedora global de softwares de segurança, de gestão de plataforma e de sistemas Microsoft.

 

O que os hackers buscam quando roubam informações de uma empresa?

Os hackers buscam diferentes formas de obter vantagem ao roubar informações de uma empresa. A primeira e mais direta é simplesmente vender esses dados para terceiros na deep web. Outra finalidade é usar os dados para cometer fraudes de identidade para obtenção de crédito, consumo de serviços e execução de atividades ilegais.

O roubo de um banco de dados pode ter diferentes propósitos e valor de acordo com seu conteúdo. Os dados pessoais dos clientes, os chamados dados sensíveis, possuem um alto preço na deep web. Esses dados têm um potencial ainda maior de gerar fraudes em massa.

O roubo de informações também serve para a realização de ataques às empresas. A partir das informações iniciais, é possível explorar falhas de autenticação até se conseguir o controle dos servidores e serviços das empresas, cometendo atos como o de criptografar servidores e exigir pagamento de resgate para entrega da chave de criptografia.

Dados pessoais roubados também podem ser utilizados em fraudes no mercado financeiro. O criminoso pode acessar contas bancárias ou obter cartões de crédito.

 

Quais são os principais erros cometidos por empresas que acabam por facilitar a ocorrência de crimes cibernéticos?

Há diversas portas de entrada para crimes cibernéticos. O primeiro problema é que muitas empresas, tanto públicas quanto privadas, não possuem departamentos de análise de vulnerabilidades que possam, constantemente, acompanhar a sua situação cibernética e mapear suas falhas.

Um erro comum é a forma como sistemas e usuários de Tecnologia da Informação (TI) têm suas atividades monitoradas nas redes de uma empresa. Hoje em dia, os sistemas de monitoração devem avançar muito além da visão de capacidade, disponibilidade e desempenho. É possível e necessário que eles sejam capazes de estabelecer e monitorar comportamentos e padrões das pessoas, máquinas e sistemas. Detectar pessoas que estejam tentando acessar locais que, normalmente, não teriam acesso, ou fazendo uma quantidade de acessos a dados muito maior do que é feito regularmente.

Outro ponto importante é perceber o uso anormal dos equipamentos de TI de fora. Por exemplo, muitos equipamentos apontando estresse de uso ao mesmo tempo ou equipamentos críticos em alta utilização em horários incomuns. Assim como sistemas devem ser monitorados, sistemas críticos podem ter sua linha de base estabelecida para que seus acessos sejam interrompidos quando comportamentos anômalos forem detectados.

Além disso, temos a questão fundamental das pessoas. O programa de treinamento de cibersegurança deve ser contínuo para que todos saibam exatamente como se comportar no mundo digital e possam evitar a sua utilização como porta de entrada para possíveis invasões. Porém, mesmo sendo muito importante, treinar as pessoas não é suficiente. Toda segurança deve ser estabelecida e bem rígida. Muitas empresas estão se preocupando com complexas políticas de senha e duplo fator de autenticação, mas falham em controlar o que os usuários podem acessar.

Uma política de concessão de acessos deve ser dinâmica. Isto significa que apenas conceder um acesso requerido, sem validação de continuidade de uso ou data de revogação, torna a concessão de acesso vulnerável. Muitas empresas falham em seguir a dinâmica de seus colaboradores que mudam de área, de função, tiram férias, licenças e até são demitidos, deixando seus acessos disponíveis. Essa é uma porta de entrada para ataques que é muito explorada.

 

As empresas veem a proteção de dados como custo ou investimento?

Na minha opinião, estamos em um período de transição. Há muito tempo que a proteção de dados é vista como algo importante para as empresas, mas ela também era vista como um custo de TI que apenas deveria ser alocado. No momento, muitas companhias reconhecem o potencial dos seus dados para novos negócios, conhecer seu business, melhorar a relação com seus clientes e para a sua imagem como responsável pela informação. Assim, escritórios de proteção de dados são criados e possuem como missão, além de planejar, gerenciar custos e atividades de proteção de dados, melhorar as margens e a imagem da empresa, entre outros potenciais.

Para se ter uma ideia, segundo a consultoria IDC, International Data Corporation, os gastos com tecnologia e telecomunicações no Brasil devem avançar 7,1% este ano, somando US$ 64,4 bilhões. Cibersegurança está no topo da lista de prioridades entre os investimentos em tecnologia para 61% das 75 empresas brasileiras pesquisadas em 2020 – 11 pontos acima de 2019. Tecnologias de análise de dados, incluindo inteligência artificial e machine learning, estão em segundo na lista de prioridades para 52% das empresas consultadas. Os gastos com inteligência artificial no Brasil somarão US$ 464 milhões até o fim do ano.

 

*O relatório “Os custos escondidos dos crimes cibernéticos” (“The hidden costs of Cybercrime”) foi publicado em dezembro de 2020 e está disponível na internet.

Leia também:

Três perguntas: os novos termos do WhatsApp acima da lei brasileira

Artigos Relacionados

Everardo Maciel: os projetos de reforma tributária são ruins

'Se querem diminuir a carga tributária de instituições financeiras e alguns setores industriais, vamos fazer a discussão sem agenda oculta'

Relatório de inflação foi bem semelhante ao do comunicado do Copom

Selic atingiria nosso nível neutro estimado de 6,50% já em outubro deste ano e se estabilizaria nesse patamar a partir de então.

BC aumenta projeção de crescimento da economia de 3,6% para 4,6%

Inflação deve chegar a 5,82% ao final de 2021, acima da meta.

DEIXE UMA RESPOSTA

Por favor digite seu comentário!
Por favor, digite seu nome aqui

Últimas Notícias

ENS e Ministério da Agricultura fazem live para lançar curso gratuito

Live no dia 7 de julho terá a participação de representantes do MAPA e especialistas em agronegócio.

Carta Fabril lança o papel higiênico premium Cotton Folha Tripla

Novidade foi desenvolvida para levar mais maciez com preço justo ao consumidor

LDZ Escola abre curso de animação digital 2D da ToonBoom Animation

Arte digital e cultura nerd beneficiam saúde e qualidade de vida.

Vendas Club traz conteúdo exclusivo para todo o Brasil

Propósito é prestar serviço para profissionais se manterem atualizados sobre o cenário de vendas.

Imóveis comerciais: segmento deve reaquecer de forma gradual

Desaquecimento por imóveis comerciais ocorreu por causa do home office imposto pelas restrições sanitárias.