Vazamento de dados: como proteger a sua empresa
Pequenos negócios também são alvos de ataques de hackers. E eles doem no bolso: empresas podem ser multadas se deixarem as informações de seus clientes vulneráveis. Entenda o tamanho do problema e veja como se proteger.
223 milhões. Esse foi o número de CPFs afetados pelo “vazamento do fim do mundo”, aquele noticiado no começo do ano. Era uma base de dados com praticamente todos os brasileiros vivos – e alguns mortos também, já que nossa população é de 212 milhões. Junto do CPF, foi para a deep web uma coleção de informações pessoais tão diversa quanto data de nascimento, e-mail, endereços, fotos do rosto, escolaridade e se a pessoa recebe algum benefício do governo, tipo Bolsa Família. Em suma, até a sua alma caiu na boca do povo.
Ninguém sabe ao certo como o vazamento aconteceu. Especialistas acreditam que houve uma grande soma de bases de dados de diversos tamanhos e que foram unidas em um único arquivo de proporções mastodônticas. A origem, nesse caso, pode ter sido menos pirotécnica, mas igualmente grave: pequenos vazamentos feitos ao longo de meses, anos até.
Começa mais ou menos assim. Numa loja de roupas, a vendedora pede seu CPF, data de nascimento e o WhatsApp “para avisar das novidades”. Você dá meio que no automático. Na farmácia, o CPF é para monitorar as compras que você faz, e oferecer microdescontos personalizados em produtos parecidos, de modo que você compre mais. Tem também o programa de fidelidade do supermercado e, na loja de lingerie, o cadastro pode servir para “você lembrar a medida do seu sutiã”. Pois é. Assim você distribui suas informações pessoais por aí sem nem se dar conta. Se você está do outro lado do balcão, e é o empreendedor, tem ouro nas mãos, já que elas podem aumentar suas vendas.
Os hackers, por outro lado, consideram essas informações diamantes preciosos, já que elas também podem servir de matéria-prima para fraudes e golpes – como tentar acesso à sua conta de banco. E, sim, se você tiver um negócio, mais hora menos hora eles vão caçar esses e outros dados nos seus sistemas. Caso dê certo, você pode ter prejuízos (veja como mais adiante) e ainda pode ser multado. É que agora a legislação brasileira pune empresas que não são capazes de proteger adequadamente as informações dos seus clientes. Mais do que nunca, é hora de entender que segurança de dados não é só coisa de governo ou de Facebook: é também do seu negócio.
O tamanho do buraco
Na dúvida, assuma que você já foi ou logo será alvo de um hacker. Estimativas falam que 50% a 60% dos pequenos e médios negócios sofrem algum tipo de ataque cibernético ou vazamento de dados todos os anos. Outros cálculos vão além: a PSafe, uma das maiores companhias de cibersegurança da América Latina e a primeira a identificar o tal vazamento do início de 2021, estima que três em cada quatro empresas tenham tido informações sigilosas roubadas. O número foi calculado por meio de uma amostragem de 150 empresas em uma ferramenta desenvolvida pela marca para vasculhar a web em busca de dados vazados.
Uma das dificuldades para mensurar o fenômeno é que, muitas vezes, esses ataques ocorrem de forma silenciosa. A IBM calcula que, em média, são necessários 287 dias para uma empresa descobrir que foi vítima de uma invasão e corrigir o problema – isso quando descobre. Mas, calma: há como se proteger.
Alvo fácil
“Dado” é uma palavra bastante abstrata. Mas é só o sinônimo para coisas como seu nome, idade, senha do seu cartão de crédito ou número que você calça. Em suma, qualquer coisa é um dado. Algumas dessas informações são consideradas “pessoais”. Isso significa que dá para ligar o dado a uma pessoa. Essa é a função primordial do CPF, por sinal, mas vale para telefone, endereço, nome da mãe (usado para diferenciar homônimos em cadastros oficiais). Outras informações são mais gerais – como saber quantos clientes do sexo feminino uma empresa tem. E é por isso que os números de vazamentos de dados são tão grandes: eles incluem tudo isso. Quase metade (44%) dos dados vazados são do tipo pessoal, segundo o relatório IBM Data Breach Report 2021. Pode não parecer o fim do mundo que seu e-mail ou seu número de RG sejam de conhecimento de outras pessoas. Sozinhos, de fato, eles não servem para muita coisa.
A questão é o efeito dominó. Com dados básicos, dá para descobrir outras informações. A data de nascimento pode ser usada para “adivinhar” a senha do e-mail dos preguiçosos e desmemoriados, por exemplo. E, com acesso ao e-mail, um hacker pode habilitar um novo celular para usar o seu WhatsApp. Aí ele passa a pedir dinheiro a seus amigos se passando por você. Você pode ser mais precavido e ter uma senha forte, claro. Mas tem jeito de dar golpe com dados vazados mesmo assim.
Informações mais específicas, como a cidade em que você nasceu estampada no RG, podem ser usadas para recuperação de senhas “esquecidas”, aquela pergunta de segurança que cadastramos quando criamos um e-mail novo. Ela servia para provar que você esqueceu a senha, agora pode ajudar um ladrão a invadir a sua conta – assim caminha a criminalidade.
No fim, criminosos sabem tanto sobre cada pessoa que podem investir em golpes mais sofisticados e personalizados, do tipo engenharia social. Se um golpista liga para você fingindo ser do seu banco e diz seu nome completo, data de nascimento, nome da mãe, número do cartão e uma compra recente, a probabilidade de você cair num golpe cresce exponencialmente. Será um prejuízo na casa dos milhares de reais que começou com um e-mail vazado.
E as pequenas e médias empresas são o alvo perfeito para coleta de matéria-prima. Primeiro porque elas reúnem dados de várias pessoas em seus sistemas – e basta um único ataque para conseguir tudo, economizando tempo e esforço. Segundo, porque elas não têm estrutura tecnológica nem dinheiro para se proteger dos invasores, como fazem as grandes empresas e suas enormes equipes de TI.
E, terceiro, porque muitas acreditam que isso simplesmente não é um problema para elas. Uma pesquisa de 2019 descobriu que 66% dos pequenos empreendedores americanos não se preocupavam com ataques cibernéticos porque achavam que seus negócios eram pequenos demais para atrair hackers, segundo o estudo Keeper Security’s 2019 SMB Cyberthreat.
Ledo engano: 43% dos ataques cibernéticos miram os pequenos negócios, de acordo com a empresa de cibersegurança Symantec.
♦
OS DADOS VAZARAM. E AGORA?
1. CALCULE O TAMANHO DO ESTRAGO
O primeiro passo é entender as reais dimensões do problema. Quais dados foram vazados? Quem foi afetado? As respostas vão guiar sua reação.
2. PEÇA AJUDA
Um advogado vai ajudar você a entender as obrigações legais num caso assim. Para identificar a fonte do vazamento e corrigir o problema, vale a pena procurar empresas de TI e segurança da informação.
3. AVISE
A LGPD obriga que qualquer incidente de vazamento seja comunicado à ANDP e aos clientes que tiveram seus dados vazados – isso evita que eles caiam em golpes posteriores.
4. NÃO DEIXE SE REPETIR
Aproveite o momento para corrigir os erros da empresa como um todo – não só aquele que causou o vazamento. Faça uma varredura em todos os setores para evitar novos problemas.
♦
Não é pessoal
Sim, seu negócio talvez seja pequeno demais para a mira de um hacker. O lance é que muitos desses ataques não são direcionados para sua empresa especificamente – são armadilhas que eles atiram para todos os lados, esperando alguém cair.
Quando pensamos em ataques cibernéticos, a imagem que vem à cabeça é de algum nerd encapuzado infectando o seu computador com um vírus, roubando suas senhas e esvaziando o dinheiro da sua conta. Pode até acontecer, mas não é a norma – ainda mais para pequenas e médias empresas.
O modo mais frequente de vazamento de dados, segundo a IBM, são as credenciais comprometidas. Traduzindo: logins e senhas que são descobertos e vão parar nessas bases de dados vazados. Aí o hacker se loga na sua conta como se fosse você, sem galho. Ou seja, ele não cava um túnel secreto. O que ele faz é entrar pela porta da frente usando a chave que você escondeu debaixo do tapete. (Pode ir lá trocar as suas senhas de e-mail, a gente te espera para continuar a leitura).
Dito assim, parece burrice generalizada, mas não se sinta mal. Este repórter já teve uma conta invadida a partir da Ucrânia por usar a mesma senha em todos os sites. A editora do texto sofreu uma invasão diretamente da China pelo mesmo motivo: login e senha comprometidos. No nosso caso, sem grandes prejuízos detectados, ainda bem.
A IBM estima que 95% de todos os vazamentos de dados envolvem, em alguma etapa, um erro humano como o nosso. Usar a mesma senha em todos os cadastros é um deles. Clicar em links duvidosos (o golpe conhecido como phishing) é outro. Só 5% dos incidentes são daqueles puramente técnicos, em que hackers invadem os sistemas de empresas no estilo Hollywood.
A vantagem é que, sabendo disso, fica mais fácil evitar a próxima casca de banana. Se você não aproveitou a pausa para trocar as senhas, a gente te dá uma segunda chance agora. Aproveita para configurar a autenticação em dois fatores do e-mail, WhatsApp e redes sociais – e veja outras sugestões de proteção no box ao lado.
Vale a pena apostar também em um programa gerenciador de senhas para sua empresa (como o Dashlane e o Sticky Password). Eles reúnem todas as suas diferentes senhas em uma única conta, cuja chave de entrada é sempre ligada a uma autenticação de duas etapas. Daí, você e os demais funcionários não precisam lembrar de todas as combinações complicadas que criaram – basta ter acesso ao cofre via senha mestra. Versões mais caras desse tipo de software também monitoram a deep web para saber se alguma senha sua foi violada – e podem mudá-la automaticamente para evitar hackers.
Não rouba, mas…
Nem sempre o hacker quer roubar seus dados. Às vezes, ele promove um sequestro em um tipo de ataque chamado de ransomware. Aí sim eles infiltram um vírus nos sistemas da empresa e bloqueiam todos os acessos – essa invasão inicial pode ser por phishing. É como se a fábrica fosse tomada e trancada por dentro. Para abrir o cadeado, os criminosos pedem que a empresa pague um resgate polpudo – em geral, em bitcoin, por ser bem mais difícil de rastrear que dinheiro de verdade ou um Pix.
Esse tipo de ataque, mais sofisticado, existe há décadas, e ganhou força com a popularização das criptomoedas. Em 2020, o sequestro de dados quadruplicou nos EUA. O Brasil, vale destacar, é o nono país com mais registros de ransomware no mundo, segundo dados da Kaspersky.
Os sequestros são mais lembrados que os vazamentos porque eles paralisam grandes empresas. O caso mais recente foi o do grupo Fleury, alvo de um ransomware em junho. Por quatro dias, a rede de laboratórios de análises clínicas ficou sem acesso a seus sistemas. E se você tivesse feito um exame de sangue, não conseguiria consultar o resultado. As despesas para recuperar o sistema e ainda pagar por consultorias num esforço de evitar uma repetição do episódio reduziram em R$ 14 milhões o lucro da companhia no segundo trimestre.
A JBS foi outro caso notável. A maior empresa de carnes do planeta teve suas operações nos EUA, Austrália e Canadá paralisadas por um ataque ransonware e acabou pagando US$ 11 milhões em bitcoin aos hackers para recuperar o acesso a seus sistemas e voltar a operar. O governo americano conseguiu rastrear e reaver uma parte do dinheiro.
E hackers também sequestram PMEs. Esses episódios não movimentam milhões nem ganham manchetes, mas são devastadores: nos EUA, 60% das pequenas e médias empresas que sofrem algum tipo de ataque que impede o uso de seus sistemas acabam tendo que fechar as portas depois de seis meses, dado o tamanho do prejuízo, calcula a US’ National Cyber Security Alliance.
A dica número um de proteção antissequestro é a seguinte: “Fugir dos softwares piratas [que têm brechas de segurança feitas por hackers] e procurar os oficiais”, diz Eder Max, consultor do Sebrae. Manter antivírus eficazes e atualizados em todas as máquinas também é essencial. Outra boa pedida é apostar nos backups em nuvem, para o caso de perda de acesso de um sistema de dados específico. E, se quiser ser ultracauteloso, dá para fazer um backup offline, em um HD externo que deve ser guardado com segurança.
Eternamente responsável
É como no Pequeno Príncipe: “Tu te tornas eternamente responsável pelos dados que coleta”. Tanto que, desde 1º de agosto de 2021, empresas podem ser punidas pela Lei Geral de Proteção de Dados (LGPD). Ela está em vigor há quase um ano, mas houve um prazo de adaptação para os negócios.
A essência da lei é regular que tipo de dados as empresas podem coletar e como podem usá-los. Não dá, por exemplo, para compartilhar nem vender a base de clientes para outras empresas sem autorização expressa dessas pessoas. Mas uma outra parte importante do texto é a segurança das informações.
A ideia é que a empresa só colete e guarde esses dados se tiver condições de garantir que eles não irão a lugar algum. “Não adianta a empresa tentar se esquivar e dizer ‘nossos dados foram roubados, não foi culpa nossa’”, explica Lorena Lage, advogada da Lage & Oliveira, especializada em pequenos negócios. Nesse caso, a culpa é da vítima também.
E mais: o texto não faz distinção entre pequenas e grandes empresas. O que pode mudar é a punição. Quem decide isso é a Autoridade Nacional de Proteção de Dados (ANDP), órgão federal criado para regular a aplicação da LGPD. Eles vão poder dosar a multa dependendo do tamanho da empresa, da gravidade do incidente, do tipo de dado que vazou etc. Pode rolar só uma advertência ou medidas mais graves: bloqueio e exclusão daqueles dados, obrigatoriedade de informar não só o cliente, mas fazer um anúncio público de que houve o vazamento. A punição mais dura é mesmo a multa, cujo valor pode chegar a 2% do faturamento – o teto é de R$ 50 milhões.
E a LGPD tem mais regras. A lei criou a figura do Data Protection Officer (DPO), ou encarregado de dados. Você vai precisar desse funcionário caso processe mais de 5 mil registros de clientes por ano. Ele é tipo um contador, só que, em vez de cuidar dos balanços e normas contábeis, fica responsável por fiscalizar o uso de dados de acordo com a LGDP. Para pequenas e médias empresas, há a possibilidade de terceirizar a tarefa a escritórios de advocacia ou empresas de TI. Mas, para negócios com presença digital maior e uma gestão de dados complexa, como e-commerces, fica mais difícil.
Eder Max, do Sebrae, recomenda levar o cargo a sério – e não só conseguir um nome para preencher no documento que o governo vai exigir. Afinal, quando se trata de segurança de dados, remediar sai muito mais caro do que prevenir.
Contribuiu: Denis Riviello, Head de Cibersegurança da Compugraf, empresa de segurança da informação e privacidade de dados
♦
COMO EVITAR VAZAMENTOS DE DADOS EM SUA EMPRESA
BOAS PRÁTICAS
A maioria dos vazamentos ocorre por erro humano. Adote medidas simples: senhas fortes e diferentes salvas em um bom gerenciador, não clicar em links duvidosos, usar o e-mail e os aparelhos do trabalho apenas para fins profissionais. E conscientize todos na empresa a fazer o mesmo.
MENOS É MAIS
Repense: você realmente precisa de todos os dados que coleta? Guarde somente as informações que de fato são usadas em ações da empresa. E só conceda acesso a eles aos funcionários que de fato precisam.
ANONIMIZAÇÃO
Outra dica é evitar a coleta de informações pessoais: você pode criar um perfil genérico do seu público, mas sem armazenar dados específicos de cada cliente. Vale evitar a coleta de CPFs, por exemplo.
BONS PRODUTOS
Invista em softwares originais – os piratas podem vir com brechas para hackers. Nada de fechar o aviso de antivírus expirado eternamente. Faça a atualização.
––––––––––––––––––––––––––––––––––––––––––––––––––––––––––
Entenda como a tecnologia faz parte da sua vida e do seu trabalho
Quer ser mais feliz? Comece pensando menos em si mesmo
7 dicas para você virar um mestre da autoavaliação
Uma provocação: estamos mesmo mudando e evoluindo?
Quais as novas regras para tirar férias, segundo a Reforma Trabalhista
