Dados de pessoas físicas e jurídicas nunca estiveram tão expostos com a popularização de dispositivos remotos. Especialistas listam medidas de proteção

(Por Patrícia Portales)

“Governar o risco cibernético” — é com esse termo que o Fórum Econômico Mundial (FEM) descreve o processo holístico a ser adotado por líderes empresariais e executivos para melhorar a resiliência cibernética organizacional. Um estudo anual do FEM previu que a cibersegurança é um dos principais gargalos de 2022, de uma lista com 10 riscos globais. O dado alerta para o aumento do problema em 2023 e nos anos posteriores.

Segundo a instituição, a aceleração do processo de digitalização vivida na pandemia de Covid-19 demandou maior avaliação e administração de riscos cibernéticos e seus impactos sociais e financeiros.

“O aumento no número de ataques coloca a segurança cibernética em primeiro lugar entre os principais tomadores de decisão em organizações e nações”, diz o relatório Global Cybersecurity Outlook 2022.

Marcelo Lau concorda. Há mais de 12 anos, ele atua em bancos brasileiros no setor de Segurança da Informação e Prevenção à Fraude. Engenheiro eletrônico pós-graduado em Administração pela FGV, Marcelo reforça o alerta: “esse é um problema que transcende fronteiras”. Segundo o professor, nos últimos anos, aumentaram os ataques do tipo sequestro de dados e também os golpes fraudulentos, como os que ocorrem com o PIX. Diante do cenário, a Federação Brasileira de Bancos (Febraban) estimou perdas de R$ 2,5 bilhões somente em 2022.

“As necessidades em segurança da informação e cibersegurança são conhecidas das empresas. Entretanto, nem sempre estas tomam as devidas medidas para adoção de práticas de proteção desse ecossistema”, observa Lau.

Segundo ele, adequações surgem após ataques ou por pressão de exigências do mercado, o que inclui a legislação, como com a Lei Geral de Proteção de Dados (LGPD). Por isso, a alta recomendação na construção da resiliência em cibersegurança: “governar o risco cibernético”, prediz o FEM. E com razão: somente no primeiro semestre de 2022, foram 205% a mais de ataques do tipo Acesso Negado, segundo a pesquisa “Global DDoS Landscap Report”, feita pela NSFOCUS — empresa de soluções em cibersegurança que tem distribuição na América Latina pela empresa CLM. 

Engenharia Social

Marcelo Lau explica que o avanço tecnológico desafia a segurança, porque os crimes acompanham essa evolução.

“Devemos ficar atentos a novas tecnologias como Inteligência Artificial, utilização de dispositivos denominados IoTs (Internet das Coisas), cidades inteligentes e outros que estão surgindo, como o próprio 5G, que ampliará as possibilidades”, reforça ele.

No universo corporativo, ataques DDoS têm aumentado junto com os phishings — a “pesca” de dados. Dos números registrados, 97% dos Bots partiram de aplicativos e softwares de trabalho remoto e IoTs infectados. Por três meses consecutivos, a NSFOCUS detectou um pico de ataques DDoS acima de um terabit por segundo. Segundo o Anti-Phishing Working Group, foram 1.097.811 ataques desse tipo só no segundo trimestre do ano.

Fundador e presidente do Grupo CLM, Francisco Camargo, e o diretor técnico LATAM na CLM, Pedro Diógenes, explicam que, antigamente, o firewall era a primeira linha de defesa nas empresas. Mas isso mudou com o advento do trabalho remoto, que ampliou o perímetro físico do escritório para o do usuário, em casa. Isso demandou dois cuidados imprescindíveis: “assegurar que é mesmo o funcionário que tenta se conectar remotamente e garantir a segurança de que essa comunicação empresa-colaborador não seja bisbilhotada”, orientam.

Isso porque, de acordo com os especialistas, quem investe em um crime cibernético também conta com o fator humano na outra ponta. “Nossas emoções falam mais forte que o raciocínio lógico. E explorar as emoções é a essência da Engenharia Social”, explicam. Por isso, o phishing costuma ser o meio mais comum de ataque. 

Phishing

“Funciona enviando mensagens que parecem ser de uma empresa ou site legítimo. Essa mensagem pode ser via email, SMS, WhatsApp etc. Geralmente, contém um link que leva o usuário a um site falso, que se parece com o real. O usuário é, então, solicitado a inserir informações pessoais, como o número do cartão de crédito ou senha”, resumem Francisco e Pedro.

Uma escalada que leva a dados que permitem diversos acessos indevidos. Segundo os gestores, as grandes empresas têm ou deveriam ter um CISO — Chief Information Security Officer ou Diretor de Segurança da Informação —, que é quem define as políticas de segurança, a forma de proteção e as soluções que devem ser compradas. Nas médias empresas, a responsabilidade é assumida pelo CIO — Chief Information Officer ou Diretor de TI —, que pode terceirizar a segurança para outras empresas. E, nas pequenas, a função deve ser terceirizada.

Com o phishing, é possível explorar vulnerabilidades em aplicativos não atualizados e até invadir uma rede corporativa, o que pode se dar por meio do acesso a colaboradores. Uma pesquisa de 2021 realizada pela OLX junto com a AllowMe revelou que boa parte das tentativas de roubo de dados de usuários ocorreram após grandes vazamentos de dados de empresas.

Naquele ano, milhões de brasileiros foram vítimas. A empresa de segurança PSafe identificou quase 103 milhões de contas de celulares vazadas de operadoras de telefonia, em fevereiro. Um mês antes, 223 milhões de CPFs e 140 milhões de informações pessoais, como telefone, nível de formação, salário e endereços foram compartilhados de modo ilegal.

Somente até maio de 2022, o antivírus da empresa PSafe barrou 3,6 milhões de tentativas de fraudes por meio de dispositivos eletrônicos — alta de quase 50%, se comparado com o período anterior. Em muitos casos, os criminosos chegaram a comprar dados de pessoas e empresas na própria internet. 

De acordo com Francisco Camargo e Pedro Diógenes, tudo começa explorando fraquezas humanas, “como uma mensagem com aviso de cartão bloqueado e um link para clicar”, elencam. Marcelo Lau acrescenta: “em um ataque corporativo, toda a infraestrutura pode ser atingida, inclusive dispositivos usados por colaboradores”. Por isso, as empresas devem investir em tecnologias e processos para segurança dos ativos tecnológicos e seus processos.

“Quando se conta com um complexo ecossistema, espera-se que todos sejam preparados em segurança. Clientes devem ser orientados para o uso seguro e funcionários devem receber constantes orientações em relação à segurança da informação”, pondera Lau.

Confiança zero

A mudança chegou: já somos digitais. Por isso, a consciência atual é a de que investir em segurança é garantia de retorno. Já pensou quanto dinheiro seu negócio perderia, se o servidor utilizado ficasse parado por uma semana ou se projetos importantes fossem vazados? Aconteceu com onze prefeituras dos Estados de São Paulo e Minas Gerais.

De posse de dados vazados anteriormente, criminosos se infiltraram em processos administrativos e, se passando por fornecedores de serviços, contactaram servidores públicos para aplicar golpe por meio do PIX. O prejuízo foi estimado em mais de R$ 10 milhões.

Ransonwares, Malwares, Phishings, Trojans, ataques DDoS, falsificação e serviços de terceiros inseguros. Na realidade digital, os riscos são inúmeros. Por isso, não basta mais investir em antivírus, firewall, webfilter. É preciso refinar a segurança, por meio de ISOs e rotinas comportamentais. 

“Uma senha não garante 100% de segurança. Deve-se adotar uma autenticação multifator, tipo OTP (One Time Password), em que é pedido um código em cada conexão”, orientam Francisco Camargo e Pedro Diógenes.

Para colaboradores externos, ao invés do VPN (Virtual Private Network), investir no ZTNA (Zero Trust Network Acess), cuja premissa é de que, no acesso remoto, não se deve confiar em ninguém. É o “padrão ouro”, segundo os gestores da CLM, “para o ambiente multicloud e para aplicações modernas, com segurança, controle e auditoria”.

“Onde está o meu dinheiro?”

A pergunta, feita por dezenas de internautas, movimentou por alguns dias as redes sociais da recém aclamada plataforma de criptomoedas FTX. Em novembro deste ano, a corretora de moeda digital entrou com petição voluntária de tutela no Tribunal de Falências dos Estados Unidos para o distrito de Delaware, conforme o Código de Falências dos Estados Unidos. O motivo para o barulho: após o bloqueio judicial, um suposto ataque cibernético teria desaparecido com milhões de dólares em ativos criptográficos depositados por clientes. 

Em outubro, a montadora japonesa Toyota apurava o possível vazamento de 296.019 informações, carregadas de dezembro de 2017 a setembro deste ano, de clientes usuários do serviço T-Connect. Não para por aí: no cenário de guerra entre Rússia e Ucrânia, o suposto envio de ransomware teria causado apagões em partes da Ucrânia e interferido em empresas de transporte e logística da Polônia, país membro da Organização do Tratado do Atlântico Norte (OTAN) que provê ajuda à Ucrânia. Outro possível ataque teria mirado dados de funcionários do governo ucraniano.

Em janeiro de 2022, nos Estados Unidos da América, cibercriminosos utilizaram um ransomware — tipo de software, estilo malware, feito por criptografia, que se instala na máquina para fazer o sequestro de dados em troca de resgate — para invadir o servidor de controle do presídio do condado de Bernalillo, no Novo México. Os hackers desativaram o circuito de vídeo e o sistema automático de portas, o que alterou a rotina do local, que precisou manter detentos nas celas.