O cibercrime é atualmente a maior ameaça para todas as empresas do mundo e um dos maiores problemas da humanidade. O impacto na sociedade é refletido nos números.

Em 2017, a Cybersecurity Ventures previu que o cibercrime custaria ao mundo US$ 6 trilhões por ano até 2021, o dobro dos US$ 3 trilhões registrados em 2015. Isso representa a maior transferência de riqueza econômica da história, prejudica os incentivos para inovação e investimento e será mais lucrativo do que o comércio global de todas as principais drogas ilegais combinadas.

As previsões sombrias do impacto do cibercrime são corroboradas por milhares de ataques no mundo todo, registrados por grandes veículos de comunicação, universidades e faculdades, órgãos governamentais, associações, grandes empresas de tecnologia e segurança cibernética e organizações que combatem o cibercrime.

As projeções de custos dos danos causados se baseiam em cifras históricas do cibercrime, incluindo crescimento anual, um aumento dramático em atividades de hackers e gangues patrocinadas por governos e na ampliação do universo de alvos potenciais para ataques cibernéticos, que será muito maior em 2021 do que é hoje.

Os custos do cibercrime abrangem danos e destruição de dados, roubo de dinheiro, perda de produtividade, roubo de propriedade intelectual, roubo de dados pessoais e financeiros, peculato, fraude, interrupção do curso normal dos negócios pós-ataque, investigação forense, restauração de sistemas e danos à reputação.

As empresas que buscam economizar custos descartando ou adiando a implantação de medidas de segurança cibernética devem pensar melhor sobre essas decisões. Como mostram exemplos recentes, está ficando cada vez mais caro adiar ações ou rejeitar propostas de investimentos nessa área.

O caso da TSMC

A empresa Taiwan Semiconductor Manufacturaing Company (TSMC) sofreu recentemente um surto do ransomware WannaCry. Uma gigante no setor, fornece um abrangente portfólio de tecnologia para aparelhos celulares, sistemas eletrônicos automotivos, sistemas médicos, internet das coisas e muito mais.

Depois de instalar um novo computador na rede de produção, o WannaCry conseguiu se espalhar pela rede interna, provavelmente porque nem todos os patches disponíveis foram aplicados ao computador antes de conectá-lo à rede.

A TSMC não seguiu as práticas recomendadas básicas de segurança de TI nesse caso. Como resultado do incidente, a produção em vários locais caiu bruscamente em um fim de semana. A própria empresa estima que o custo do ataque tenha sido aproximadamente 3% do faturamento anual, cerca de 170 milhões de dólares.

Outro caso, outra causa

A plataforma de vídeo Dailymotion também sofreu prejuízos devido à falta de segurança. Embora o escopo seja muito menor do o caso da TSMC, é muito válido conhecermos o caso, para aprendermos com ele.

Após uma condenação pela autoridade de proteção de dados francesa CNIL, a empresa teve que pagar uma multa de 50.000 Euros por haver sofrido uma perda de dados de clientes em 2017. De acordo com a CNIL, a Dailymotion foi parcialmente culpada por isso, porque a senha de administrador de um dos sistemas de sua plataforma foi encontrada no repositório de códigos Github.

Os invasores não precisaram encontrar vulnerabilidades no sistema ou usar técnicas de phishing para obter acesso a dados de usuários, eles simplesmente faziam login no sistema com direitos de acesso total. Roubo de credenciais privilegiadas é uma das formais mais comuns para acesso aos bancos de dados e outros sistemas.

A penalidade aplicada nesse caso foi baixa, em comparação com os custos de um ataque abrangente de hackers, mas eventos como esse poderão gerar maiores danos e penalidade com as novas leis e regulamentações vigentes em vários países, como a GDPR Europeia (vigente desde maio de 2018), a Resolução 4.658 do Banco Central do Brasil, que define a política de segurança cibernética para instituições financeiras e da Lei Geral de Proteção de Dados no Brasil, que vigorará a partir de fevereiro de 2020.

Incidentes de segurança cibernética devem ser relatados às autoridades

Não são apenas as penalidades financeiras que são relevantes para as empresas. A reputação da marca, refletida pela confiança dos usuários em seus produtos e nas práticas de proteção de dados são particularmente importantes para o desenvolvimento de negócios futuros de qualquer empresa. Incidentes de segurança cibernética geralmente causam danos à reputação e esses danos são normalmente mais temidos do que as penalidades pecuniárias.

A legislação e as boas práticas determinam que as empresas devem relatar às autoridades competentes e ao mercado os incidentes relacionados à segurança cibernética. Além disso, os usuários afetados devem ser informados. Isso deve tornar as práticas de segurança das empresas muito mais transparentes.

Com base nisso, os clientes podem fazer suas escolhas na hora de confiar seus dados pessoais.

Empresas de todos os tamanhos são alvos do cibercrime

Os incidentes registrados mostram que não há apenas vazamentos de dados muito grandes, com mais de 50.000 de registros violados relatados, mas também vários incidentes menores.

Vários pequenos comerciantes, supermercados e lojas de shopping centers solicitam nossos dados pessoais (muitos mais do que o necessário) quando fazemos uma compra, com a justificativa de “fazer o seu cadastro”.

Essas empresas precisam repensar suas práticas e seus sistemas. Se um acesso indevido acontecer nos bancos de dados dessas empresas e os dados de clientes forem vazados, seu pequeno comércio poderá ser penalizado pela Lei.

A segurança, em todas as suas dimensões, é um problema de pessoas.

Pessoas cometem os cibercrimes e pessoas e cometem erros e acabam facilitando o acesso de criminosos aos sistemas. Do outro lado, precisamos de pessoas qualificadas para fazer frente aos ataques cada vez mais diversificados e constantes. As soluções tecnológicas de segurança também são essenciais, mas sem um time competente, treinado e bem dimensionado para enfrentar as ameaças, não seremos capazes de derrubar as estatísticas do cibercrime.

A crise mais perigosa que uma empresa pode sofrer quando se refere a sua segurança cibernética é a falta de mão-de-obra especializada.

A mão-de-obra especializada em segurança cibernética é muito escassa e a tendência é continuar assim. A notícia boa é que o acesso a esses recursos pode ser feito tanto pela integração de profissionais qualificados na equipe, quanto pela contratação de serviços de consultorias externas para a escolha das melhores soluções, gestão de suas plataformas tecnológicas e para treinamento de suas equipes.

Além disso, no que se refere a treinamento em segurança cibernética, devemos partir do princípio que cada posição de uma empresa também deve ser uma “posição de segurança cibernética”. Todos os funcionários da empresa precisam ser treinados, ter consciência e estar envolvidos na proteção e na defesa de aplicativos, dados, dispositivos, infraestrutura e pessoas.

O treinamento de funcionários pode apresentar o melhor retorno sobre os investimentos em segurança cibernética para as organizações em todo o mundo.

Kevin Mitnick, considerado o hacker mais famoso do mundo, agora é consultor de segurança e “Chief Hacking Officer” da KnowBe4. Segundo ele: “Você pode gastar uma fortuna comprando tecnologia e serviços e sua infraestrutura de rede ainda ficar vulnerável devido a práticas ultrapassadas e inadequadas”.

Se os seres humanos são os principais alvos dos cibercriminosos, a infraestrutura de segurança deve estar atualizada e a equipe deve estar preparada, informada e armada como a primeira linha de defesa.