Os crackers estão em campo e seus dados correm perigo

Notícias de ataques cibernéticos a grandes empresas estão cada vez mais frequentes. Raramente temos acesso a informações claras ou números referentes à quantidade de dados vazados por meio desses cybersataques, mas eles são muito mais comuns do que imaginamos e é possível que, por conta dos crackers, nossos dados provavelmente já tenham circulado uma ou duas vezes por aí. Sim, crackers! Esse é o termo correto para designar os peritos em tecnologia da informação que usam os seus conhecimentos para violar os sistemas e as redes de computadores e cometer crimes cibernéticos.

No Brasil, os estudos e dados divulgados por consultorias de segurança, neste último semestre, vêm colocando os empresários em alerta constante. Somos o quinto país com mais tentativas de ataques cibernéticos contra empresas, segundo a alemã Roland Berger. E um relatório recente da Verizon sobre Data Breaches Investigations Report (DBIR) mostrou que 43% dos vazamentos de dados no mundo todo, em 2021, ocorreram em pequenas empresas. Esses aspectos envolvem o uso de malware, ransomware, engenharia social, phishing e até falha humana, em ataques e vazamentos de informações. Fatores que mostram os pontos-chaves importantes que precisam ser continuamente discutidos por gestores e líderes dessas empresas. 

A preocupação é ainda maior quando essas empresas são líderes de vendas online com plataformas robustas que oferecem todo tipo de produto, onde os consumidores mantêm seus dados pessoais e de pagamento salvos para futuras compras. Essas empresas são um alvo grande e luminoso piscando para os crackers. Os anos críticos da pandemia de Covid-19 transformaram o Brasil num celeiro de crimes cibernéticos e a enorme quantidade de empresas que, vulneráveis em segurança, foram obrigadas a operar de forma remota foram os ingredientes certos para uma massiva entrada de crackers no jogo.

Os números assustam, mas ainda vou mais além: as técnicas têm sido refinadas ao longo de todo esse tempo, um motivo mais que suficiente para as empresas deixarem de ignorar os dados e os riscos que correm e, definitivamente, investir em segurança e equipe especializada. Ano passado, só no Brasil, os maiores ataques a empresas foram responsáveis pelo vazamento de milhares de dados de brasileiros e, embora o desvio de criptomoedas e a perda de dados sejam ataques considerados comuns, o ano de 2021 se destacou devido aos vários incidentes de alto perfil envolvendo ataques de ransomware, exploração de vulnerabilidades críticas e ataques à cadeia de suprimentos.

Vejam como esse ponto é delicado. Um estudo feito por uma plataforma de defesa cibernética americana com 1.200 líderes de TI, responsáveis pelo gerenciamento de risco cibernético e pela cadeia de suprimento de grandes empresas multinacionais, mostrou que 93% das empresas já tinham sofrido ao menos um ataque direto devido a violações em elos vulneráveis em sua cadeia e que o número médio de violações só crescia com o passar dos meses. 

É comum o processo de coleta, processamento e armazenamento de dados no meio empresarial, já está no dia a dia do setor até para facilitar as formas de pagamento aos clientes. Porém, preciso alertar para o risco que corremos ao deixar salvo dados como nome, número de cartão de crédito, código de segurança, endereço, dentre outros. É fundamental para empresas garantir meios que protejam dados dos seus clientes. Entre as dicas que posso dar, é oferecer aos clientes possibilidades como duplo fator de autenticação aos usuários e proteção dos dados em repouso, como criptografia. Tecnologias capazes de identificar e neutralizar tentativas de exploração são fundamentais para proteger os dados e sua empresa dos crackers.

E, uma vez que o trabalho saiu do escritório, não é demais lembrar que as redes públicas de acesso à internet também são alvo fácil de crackers. Elas podem ser utilizadas por eles para tentarem coletar informações de pessoas descuidadas como informações bancárias, usuários e credências ou qualquer informação que pode ser útil para uma pessoa mal-intencionada. Portanto, conectar computadores a redes desconhecidas e públicas e inserir qualquer tipo de informação no manuseio do smartphone ou notebook enquanto está logado nessas redes é potencialmente perigoso. 

Os crackers estão se sofisticando, mas o que sempre funcionou continua funcionando – e bem. A forma mais comum de roubo de dados ainda é por mensagens de e-mails desconhecidos. Com um clique ou muitas vezes somente o ato de abrir o e-mail já cria o canal por onde o criminoso vai atuar, seja por meio de golpes como phishing, seja na tentativa de instalar um trojan ou cavalo de troia – um vírus espião (spyware) ou um keylogger, técnica onde o código grava tudo o que você digita no seu teclado do computador ou smartphone. 

Nunca foi tão importante investir em cybersegurança. E sabendo que as PMEs são alvos lucrativos para os cibercrimonosos, seja pela baixa preocupação com a segurança das informações ou pelo orçamento mais modesto para se proteger adequadamente, o investimento na área deve começar pelos colaboradores que detêm maior poder de decisão dentro da empresa e que, naturalmente, têm os dados mais visados. Realizar treinamentos para reduzir as falhas humanas ao receber uma ameaça de ataque é uma das ações sempre úteis e que, aliadas a soluções apropriadas para o porte e segmento de cada empresa, podem reduzir significativamente o risco dos crackers se apossarem de dados sigilosos.

Arriscar a saúde financeira e estrutural de um negócio, além de sua reputação com os parceiros e clientes, que podem ter suas informações vazadas por meio de seu banco de dados, é um custo muito alto a se pagar por não voltar as atenções e investimentos para ações efetivas de cybersegurança.  

Clayton Alves Lourenço é diretor de cybersegurança da IOB