A ameaça do ciberespaço
As pessoas são a porta de entrada para os ataques cibernéticos, que devem gerar um prejuízo de 2 trilhões de dólares em todo o mundo até 2019. Conheça os principais riscos e saiba como se prevenir
Um jovem insere em seu computador pessoal um CD comprado na rua. O disco não funciona na hora, mas ele não dá importância. Dias depois, descobre que teve sua máquina invadida por um criminoso, que começa a chantageá-lo. Ou o rapaz insere o mesmo CD em um desktop da empresa em que trabalha, abrindo também a rede corporativa para um ataque, ou o hacker irá divulgar informações comprometedoras a seu respeito. A trama faz parte de um episódio da série Mr. Robot, lançada no ano passado e que aborda o universo das ameaças virtuais. Apesar de ser uma ficção, a história está bem próxima da realidade.
Estima-se que os ataques cibernéticos causaram um prejuízo global de até 575 bilhões de dólares em 2013, segundo uma pesquisa da McAfee, empresa de segurança de redes adquirida em 2011 pela Intel. Só no Brasil, o valor pode ter chegado a 8 bilhões de dólares. Até 2019, prevê a Juniper Research, especializada em pesquisas de mercado e business intelligence, o custo global por causa dos crimes digitais deve alcançar a assombrosa cifra de 2 trilhões de dólares — mais que todo o PIB brasileiro em 2015. “Todo mundo está vulnerável, independentemente do investimento em segurança, porque as empresas e as pessoas aumentaram sua dependência tecnológica, e o hacker sempre tenta acesso pelo meio mais fácil”, afirma Ghassan Dreibi, gerente de desenvolvimento de negócios de segurança da Cisco.
Segundo o especialista americano em segurança Marc Goodman, 95% dos ataques cibernéticos e violações de dados empresariais ocorrem por erro humano. Ou seja, se a sua companhia ainda não foi atacada, é apenas uma questão de tempo. Conhecer as ameaças é o primeiro passo para saber como se proteger.
Não seja ingênuo
Um dos motivos para as perdas astronômicas com o ciberataque, principalmente no Brasil, é a ingenuidade dos empresários. Por aqui, ao contrário dos Estados Unidos, a legislação não obriga as companhias a relatar os casos de ataques. Com estatísticas baixas sobre o problema, os empresários, técnicos e empregados em geral se julgam seguros. É o que mostra uma pesquisa da Vormetric, que vende soluções de segurança de dados, feita em 2015 com 204 profissionais que trabalham no departamento de tecnologia de companhias com receita acima de 100 milhões de dólares. Entre os brasileiros consultados, 30% disseram acreditar que suas empresas não possuem qualquer vulnerabilidade. Nos Estados Unidos, menos de 15% se sentem tão seguros.
Essa ingenuidade faz do Brasil “um dos países mais suscetíveis a ataques virtuais”, afirma Rafael Abdo, gerente de segurança da informação da Locaweb, empresa que oferece serviços de internet. Prova disso é que desde 2012 o país conta com a Lei dos Crimes Cibernéticos (Lei 12.737/2012) e com delegacias especializadas em crimes digitais.
Para se proteger, a Locaweb leva a sério as normas de conduta no ambiente cibernético. Quando um funcionário é admitido, precisa assinar a política de segurança e passar por alguns treinamentos. “A cada quatro meses, é feita uma simulação de ataque para treinar as habilidades ensinadas”, diz Abdo. Além disso, as informações e os dados corporativos são classificados em três níveis: confidencial, proprietário e público. O acesso a cada item é liberado de acordo com o cargo e o departamento de cada um. “Quanto mais pessoas compartilham informações estratégicas, maiores são as chances de o sistema de segurança falhar”, afirma Abdo.
Alerte os funcionários
A maioria das organizações restringe a educação digital ao time de tecnologia da informação, que, por sua vez, se concentra mais em comprar novas ferramentas de segurança de rede do que em investir no ponto mais frágil: as pessoas. “A segurança de rede não é uma atividade exclusiva da equipe de TI, pois interfere em todas as áreas”, afirma Claudio Martinelli, diretor-geral da Kaspersky Lab, desenvolvedora de softwares de segurança.
Treinar apenas os técnicos é um problema, já que os funcionários das demais áreas tornam-se um alvo fácil dos hackers. É o caso do setor de recursos humanos. “O distanciamento da tecnologia se tornou uma porta de entrada para agentes criminosos”, afirma Martinelli. Recentemente, a Kaspersky identificou um ataque desenhado para enganar executivos de RH, headhunters e outros profissionais envolvidos no processo de recrutamento e seleção. É o “golpe do falso currículo”.
Com a economia brasileira em crise e o aumento do desemprego, a área de recursos humanos passa a receber mais currículos. Entre tantas mensagens de gente à procura de um trabalho pode estar escondida a de criminoso virtual. O objetivo do hacker é fazer com que a vítima abra um documento falso anexado na mensagem ou clique em um link para instalar trojans — programas maliciosos que executam ações não autorizadas pelo usuário, como eliminação ou cópia de dados. “A criatividade é tanta que até currículos em inglês são usados nesses ataques”, diz Martinelli.
A recomendação básica é não abrir arquivos com as extensões .EXE, .SCR, .PIF, .CPL, .BAT, .VBS ou .VBE, além de manter programas como o Microsoft Office e o leitor de PDF atualizados — uma vez que as versões antigas contam com vulnerabilidades conhecidas. Mas, o mais importante, é capacitar os funcionários. Quanto mais preparados os profissionais, mais rapidamente a companhia irá identificar a tentativa de invasão.
Aja com rigor
Em 2016, de acordo com a equipe de pesquisa e análise global da Kaspersky Lab na América Latina, as corporações — principalmente as do setor bancário — sofrerão ainda mais com ataques do tipo híbrido, no qual funcionários ajudam a disseminar programas maliciosos que invadem os sistemas de segurança da rede corporativa. Especialistas acreditam que o aumento dessas invasões está ligado à crescente insatisfação dos empregados com seus empregadores e à constante ameaça de desemprego.
Boa parte dos golpes realizados atualmente está em busca de um bem muito mais precioso do que o dinheiro: as informações estratégicas da corporação. “Com esse material, o hacker consegue manipular uma empresa ou pedir um resgate dos dados, ganhando assim muito mais dinheiro”, diz Bruno Prado, CEO da companhia de segurança da internet UPX e também vice-presidente da Associação Brasileira de Agentes Digitais (Abradi).
Ciente desse perigo, o departamento de RH do Itaú Unibanco vai além de treinar frequentemente seu quadro de funcionários. Em 2015, todas as 6 800 pessoas que ingressaram na instituição passaram pelo Programa Bem-Vindo, que inclui um módulo sobre segurança digital, cultura, ética e zelo das informações. Os contratados só podem iniciar suas atividades depois de concluir essa etapa. “Antigamente, não se usava o cinto de segurança, mas hoje isso é impensável. A mesma coisa acontece com a segurança digital: é uma questão de comunicação e de aculturamento”, diz Marcelo Orticelli, diretor de recursos humanos. O banco ainda se dá o direito de proibir algumas ações. A maioria dos empregados não consegue encaminhar uma mensagem eletrônica do trabalho para o e-mail pessoal ou conectar um pendrive no computador do banco, por exemplo.
O Banco do Brasil também aposta primeiro no treinamento do time, com 14 módulos a distância e dois presenciais. Se for confirmada uma falha no sistema por negligência, o banco age severamente. “Aspectos relacionados à segurança da informação constam no código de ética e nas normas de conduta, e o descumprimento é entendido como grave desvio”, diz José Eduardo Moreira Bergo, gerente executivo de prevenção a ilícitos financeiros e segurança da informação. O desfecho vai de uma advertência, com registro no histórico, ao desligamento.
Na era da hiperconectividade, com celulares e outros dispositivos conectados o tempo todo, criar uma cultura de segurança da informação é imprescindível. Mais do que nunca, as empresas precisam conscientizar seus funcionários dos riscos que os crimes cibernéticos acarretam sobre sua vida pessoal e sobre os negócios em que estão
inseridos. E de que, quando se trata de um ataque virtual, é apenas uma questão de tempo para que sejamos o alvo.