No primeiro trimestre deste ano, os golpes virtuais aumentaram 31%. Essas fraudes causam impacto muito expressivo às empresas, que vão de perdas financeiras, de reputação, de imagem e de clientes até indisponibilidade de sistemas ou roubo de propriedade intelectual.
Não é uma questão de saber se uma violação de dados vai acontecer na sua companhia, mas quando ela vai acontecer. A máxima usada por especialistas em segurança é amparada pelo crescimento no número de fraudes. No primeiro trimestre deste ano, os ataques cibernéticos aumentaram 31%, segundo relatório Fast Facts da empresa de cibersegurança Trend Micro.
O Brasil é o segundo país da América Latina mais sensível a fraudes virtuais. Por aqui, só no ano passado, foram registrados 103,16 bilhões de tentativas de ataques. Esse número representa cerca de 30% dos casos registrados em toda a América Latina e Caribe, que somaram 360 bilhões. O ranking é liderado pelo México, com 187 bilhões, segundo o FortiGuard Labs, laboratório de inteligência e análise de ameaças da Fortinet, empresa global de segurança cibernética.
A estimativa, conforme estudo da Cybersecurity Ventures, é de que, até 2025, as perdas mundiais com ciberataques atinjam cerca de US$ 10,5 trilhões por ano. “As fraudes têm um impacto muito expressivo nas empresas, podendo incorrer em pesadas perdas financeiras por multa ou desvio de recursos, de reputação por violação de acesso e dados estratégicos e severos danos de imagem quando chegam ao domínio público. Podem, ainda, afetar definitivamente os negócios com a perda de clientes, indisponibilidade de sistemas ou roubo de propriedade intelectual”, Wagner Andrade é o CEO da dataRain, empresa orientada à computação com foco em inovação e transformação digital.
Ao contrário do que muitos imaginam, os ataques cibernéticos não estão limitados às grandes corporações. De acordo com o executivo, as ações fraudulentas tendem a atingir com mais frequência justamente os pequenos negócios, em decorrência da escassez de equipes técnicas dedicadas à área de Segurança. A vulnerabilidade da pequena empresa é maior especialmente para os ataques de DDoS, ransomware e outras formas de vírus, pela menor capacidade de investimento dessas firmas. O primeiro se trata de uma técnica de ataque na qual um hacker faz com que milhões de usuários fictícios tentem acessar um site simultaneamente, provocando a queda desse site. Já o ransomware é um vírus enviado a um computador por um hacker que criptografa os dados, bloqueia o acesso dos titulares e cobra um resgate para normalizar o acesso e recuperar as informações.
O advogado Rony Vainzof, consultor de Proteção de Dados da Federação do Comércio de Bens, Serviços e Turismo do Estado de São Paulo (FecomercioSP) e sócio da Opice Blum, Bruno e Vainzof Advogados, destaca a questão de a segurança cibernética estar além de proteger dados de clientes, colaboradores e até segredos do negócio. “Hoje, um ataque pode trazer problemas de paralisação da operação da empresa. As ameaças cibernéticas estão cada vez mais complexas e com potencial lesivo devastador”, observa o especialista, ao afirmar que, às vezes, pelo nível de maturidade das Pequenas e Médias Empresas (PMEs) ser menor, estas tendem a ser mais visadas.
Apesar da existência de regras mais flexíveis em relação à Lei Geral de Proteção de Dados (LGPD), as empresas de pequeno porte seguem com a obrigação de cumprir a norma, sob pena de serem responsabilizadas ou penalizadas de acordo com a lei. As PMEs estão dispensadas, por exemplo, da indicação de um profissional encarregado pelo tratamento de dados, o Data Protection Office (DPO), além de se beneficiarem de prazos diferenciados no atendimento aos usuários. Se a pessoa física pedir acesso ou exclusão de dados, a LGPD prevê que a empresa tem 15 dias para atender ao requerimento. Às pequenas, o prazo é em dobro — ou seja, são 30 dias para processar e responder às solicitações.
Os empreendimentos de pequeno porte devem ficar atentos também às punições pelo vazamento de dados, previstas na legislação brasileira. Vainzof, da FecomercioSP, explica que se o ataque cibernético afetar segredos de negócios, parceiros ou envolver dados pessoais pode ter repercussão da LGPD. De acordo com a lei, a multa pode chegar a 2% do faturamento, limitado ao teto de R$ 50 milhões, até a interrupção da atividade corporativa. A multa, no entanto, leva em consideração a análise de gravidade do vazamento de dados. Se houver risco ou dano relevante ao indivíduo (financeiro ou de dados sensíveis), a empresa tem a obrigação de notificar autoridades e titulares de dados. “Se sofreu incidente que envolva dados pessoais, isso não significa que esteja violando a LGPD, mas se não agir na resposta do incidente, pode ter problemas”, diz o advogado, ao complementar que quanto mais diligente for a empresa — conscientizando os colaboradores, com política interna de proteção de dados, avaliação de terceiros e tecnologias atualizadas —, mais afastará a responsabilidade. “Não quer dizer que esteja isento, mas que terá mais chances de não ser sancionado por isso”, explica Vainzof.
Para minimizar os riscos, é preciso investir em tecnologias de segurança, como Firewalls e Shields — softwares de proteção que impedem o acesso por hackers ou a descarga de um vírus, ou identificam a fonte de um ataque cibernético —, e utilizar práticas gerenciais severas para definição e rotacionamento de passwords e criptografia de dados críticos. Migrar para a nuvem também ajuda bastante. Contudo, um ponto é de vital importância: nada disso adiantará se não for construída uma mentalidade de segurança entre todos os colaboradores. Isso é obtido por meio de um intenso programa de treinamento dos usuários e da alocação de um profissional especializado em segurança. “Não existe uma ‘bala de prata’ para reduzir os riscos cibernéticos, mas a conscientização e uma camada de responsabilidade de cada indivíduo da empresa no assunto são fundamentais”, afirma Vainzof, ao comentar que dispor de normas e processos internos, além de uma política de segurança cibernética, é muito importante.
Segundo ele, a segurança cibernética é uma questão organizacional. “Muitas vezes, empresas precisam avaliar ativos mais relevantes: segredo de negócio, dados de parceiros, quais software comprometidos causaram mais problema, plano de resposta à incidente etc.”, destaca. Nos grandes negócios, lembra ele, costuma ter plano de resposta a ocorrências com simulação para saber se todos estão preparados. Se a firma não contar com um comitê de crise, é essencial ter definido para quem ligar ou como reagir em caso de incidente.