Em Pauta

ATAQUES CIBERNÉTICOS TENDEM A AVANÇAR NO MAPA DE RISCOS por Daniela Rocha

A internet proporcionou a rápida troca de informações e permitiu que inúmeras relações surgissem em um espaço sem fronteiras. Há um número crescente de companhias que possuem interfaces virtuais de negócios, armazenam cotidianamente dados estratégicos e de seus clientes ou têm a tecnologia como aliada em seus processos. Por esse motivo, os ciberataques (ataques cibernéticos) - invasões de hackers, contaminação por vírus, vazamentos ou roubo de informações e violação de dados estratégicos tendem a ganhar cada vez mais destaque na matriz de gestão de riscos das corporações.

Um dos casos recentes de ciberataque que ocupou espaço na mídia no final de janeiro último teve como vítima a XP Investimentos, a maior corretora do País. A XP divulgou uma nota informando que investiga, em colaboração com a Polícia Federal e o Ministério Público, o vazamento de dados cadastrais de um grupo de 29 mil clientes, que foram hackeados em 2013 e 2014.

Com intenção de abrir seu capital na bolsa, essa notícia foi negativa. Contudo, a corretora busca demonstrar, com transparência, que está tomando as medidas legais cabíveis em relação ao vazamento de dados. Em seu comunicado, a XP informou que "trabalha constantemente para aprimorar a segurança de seus clientes. Entre as medidas adotadas nos últimos anos, estão o reforço da estrutura de segurança da informação, além de investimentos em infraestrutura, processos e softwares de Tecnologia da Informação".

Esse episódio indica que os investimentos em segurança digital representam proteção dos ativos intangíveis – reputação e marca, assim como, dos financeiros. É um caminho sem volta, segundo especialistas. Cada vez mais os acionistas e demais stakeholdersvãoquerer saberse as empresas têm preocupação com a segurança cibernética e quanto estão investindo para protegê-los.

A incidência de ciberataques identificada pelas grandes empresas brasileiras foi expressivamente menor em 2016, em comparação à média global, segundo pesquisa da Kroll, consultoria global líder em gestão de riscos e investigações corporativas.

Ciberataques sofridos nos últimos 12 meses

Enquanto no Brasil, 76% das organizações sinalizaram ao menos um evento em um período de 12 meses, no resto do mundo, a detecção sobe para 85%. O que parece em um primeiro momento uma boa notícia, não é. Esse indicador é negativo ao Brasil.

De acordo com Fernando Carbone, diretor sênior da Kroll Brasil, que atua na área de Segurança Cibernética, a legislação brasileira não obriga as empresas a reportarem às autoridades as invasões ou ataques aos bancos de dados e às matrizes tecnológicas, assim como ocorre em diversos outros países. Dessa forma, muitos casos não são comunicados oficialmente ao poder público e deixam de ser contabilizados. "O gap entre o resultado brasileiro e o global também é justificado por falhas na detecção", afirma Carbone. Conforme ele, em geral, as empresas demoram para identificar as invasões com potencial nocivo. No Brasil, os responsáveis por ciberataques, em sua maioria, foram ex-funcionários (38%). "Essa proporção representa quase o dobro da global", diz. Entre os autores das invasões figuram também funcionários (8%) e autônomos ou temporários (8%).

Outro problema é que embora os investimentos em segurança cibernética tenham aumentado nos últimos anos, não acompanharam o ritmo do grau de sofisticação das ameaças. "A crise econômica representou dificuldade para as empresas investirem em controles internos", explica Fernanda Barroso, diretora executiva da Kroll no Brasil.

Os diretores da Kroll comentam que vigora atualmente um processo de terceirização dos ataques. Os criminosos não precisam necessariamente ter conhecimentos técnicos para fazer ataques. Os golpistas podem comprar ferramentas no mercado negro na internet para invadirem os sistemas. Em alguns casos, os hackers que vendem tais ferramentas ficam com uma porcentagem do dinheiro advindo do crime.

Para o Relatório Global de Fraude & Risco, a Kroll entrevistou 545 altos executivos de grandes empresas em todo o mundo, sendo mais de 50 no Brasil. O estudo que está em sua nona edição, segmentou pela primeira vez, os dados sobre ataques cibernéticos.

O Brasil se destaca entre os países com mais chances de sofrer violações de dados até 2018, indica uma outra pesquisa, feita pela IBM e o Instituto Ponemon. O relatório "Cost of Data Breach Study 2016" mostra que a probabilidade de uma organização brasileira sofrer uma violação de 10 mil ou mais registros é de 40%. "O Brasil se tornou um alvo frequente para ataques cibernéticos. Esse movimento foi impulsionado porque o País ficou sob os holofotes, ganhou destaque com a Copa do Mundo e, depois, com as Olimpíadas", afirma Joaquim Fernando Campos, líder de Segurança da IBM para a América Latina. O estudo, que entrevistou 33 companhias brasileiras de 12 diferentes setores, aponta que o custo relativo a cada registro violado subiu de R$175 em 2015 para R$225 no ano passado, ou seja, uma alta de quase 30%. O total organizacional aumentou de R$ 3,96 milhões para R$ 4,31 milhões.

Segundo a IBM, 40% dos incidentes envolveram ataque malicioso ou criminoso. Os funcionários ou contratantes negligentes representaram 30% das violações. Já falhas nos sistemas foram responsáveis por outros 30% dos problemas. Para Joaquim Campos, as empresas precisam manter equipes de segurança da informação que mapeiem os riscos e que atuem próximas às linhas de negócios. "A área de segurança não pode bloquear a inovação na corporação, deve sim, habilitá-la. Hoje, os clientes têm se beneficiado do processo de transformação digital, da tecnologia em nuvem e da mobilidade. Tudo isso tem que ser feito de forma prudente, evitando-se novas vulnerabilidades", enfatiza.

Entre os principais golpes, o phishing baseado em e-mails ou aplicativos. Esse ataque que era feito em massa, tornou-se mais elaborado no País, direcionado ao público alvo das mensagens. "Ao abrir o e-mail, o usuário final tem acesso a uma tela muito parecida, com mensagens que fazem parte do seu dia a dia, e acaba passando informações ao hacker. Em alguns casos, os criminosos fazem ligações para o celular da vítima, como se fosse do suporte, para acompanhar o processo", explica. Outro ataque é o ransonware, que tem seu nome definido pela união das palavras ranson (resgate em Inglês) e malware, software malicioso que rouba informações. Ou seja, os hackers sequestram dados dos computadores e exigem resgate em reais, dólares ou até em bitcoin, moeda da internet, para devolvê-los.

Também frequente no Brasil é o ataque distribuído por negação de serviço (DDoS, Distributed Denial-of-Service), que tem como objetivo suspender serviços na internet. No país, já prejudicaram operações de bancos, atendimento de empresas de telefonia e até comprometeram serviços prestados por órgãos públicos. Nesse tipo de violação, o hacker sobrecarrega o sistema com um grande volume de chamadas ou pedidos e, desta maneira, o torna indisponível. Em outubro do ano passado, moradores da costa leste dos Estados Unidos enfrentaram dificuldades para acessarem uma série de serviços, incluindo Twitter, Spotify, PayPal e Netflix. O problema de grande extensão foi causado por um ataque DDoS contra os servidores da Dyn, um dos principais provedores DNS (Sistema de Nome de Domínios), que faz a conversão dos endereços URL em IP.

A preocupação com a incidência de crimes no ambiente digital fez com que a Federação das Indústrias do Estado de São Paulo (Fiesp) criasse há cerca de dois anos o Grupo de Trabalho de Segurança Cibernética, como um braço do Departamento de Segurança (Deseg) da entidade. Em novembro do ano passado, a Fiesp realizou uma pesquisa com 328 empresas paulistas de todos os portes. Cerca de 86% das indústrias possuem interesse em absorver e compartilhar informações sobre ataques cibernéticos. "Os fraudadores se comunicam em rede, trocam informações sobre vulnerabilidades. Há um escambo de dados e ferramentas. Já do lado do empresariado é preciso intensificar o diálogo sobre prevenção", destaca o advogado Rony Vainzof, diretor do Deseg e coordenador do grupo. A sondagem constatou ainda 32% das indústrias tinham sofrido ataques no último ano; 38,1% não sabiam; 24,7% não sofreram violações e as demais não quiseram responder. Os principais objetivos dos ataques cibernéticos foram desvios financeiros, danos aos dados ou sistemas como interrupções de serviços e acesso a informações concorrenciais ou de propriedade intelectual.

Falsa sensação de segurança
No Brasil, não há obrigação legal para as empresas comunicarem incidentes cibernéticos e dados vazados. "Por esse motivo há uma falsa percepção de que existem poucos ataques cibernéticos no País", destaca Andre Bodowski, diretor da Diligent para mercados do Brasil e América Latina. Já nos Estados Unidos e em outras economias mais maduras essa comunicação é uma imposição da lei.

Conforme Bodowski, os integrantes do conselho de administração, que devem atuar como guardiões das boas práticas de governança corporativa, não precisam ser especialistas em tecnologia da informação, porém, devem manter-se informados sobre as políticas de proteção na área. Os conselheiros precisam se certificar se as companhias contam com algum plano de contingência em relação aos ataques cibernéticos. Em caso negativo, devem cobrar a elaboração. "No Brasil, a maior parte das empresas não tem plano de contingência sólido, com executivos-chave treinados para lidarem com esses tipos de incidentes. Faltam sistemas preparados para que esses gestores possam se comunicar de forma segura e fazer o reporte às autoridades", diz. Nos Estados Unidos, as companhias possuem treinamentos robustos, fazem simulações em relação às possíveis violações.

Rony Vainzof destaca, no entanto, que no Brasil o cenário deverá mudar. "Há um projeto de lei tramitando no Congresso, que deverá ser aprovado em até dois anos, que obrigará as empresas a prestarem informações sobre vazamentos de dados", afirma. De acordo com ele, muitas companhias não se manifestam sobre esses eventos por terem receio em relação à reação do mercado. Por esse motivo, o projeto de lei prevê que o reporte sobre dados vazados e vulnerabilidades seja feito à uma autoridade competente. Esse órgão é que vai determinar a dimensão da comunicação, se deverá ser direcionada somente a um grupo específico de usuários atingidos ou à imprensa, por exemplo. Para Vainzof, essa legislação, caso aprovada beneficiará as empresas que, de fato, investem em segurança e não mascaram informações.

"Aqui no Brasil, como não há uma regulamentação que obrigue a comunicar sobre ataques cibernéticos, algumas empresas se manifestam de forma espontânea para preservarem a imagem. É uma decisão de negócio, não uma imposição", acrescenta Joaquim Campos, da IBM.
 
Como tem aumentado o nível de dependência das empresas em relação à tecnologia, os riscos também se ampliam. Nesse sentido, os profissionais de Relações com Investidores precisam saber como funciona a arquitetura tecnológica das companhias, bem como, os procedimentos e alertas em relação aos eventuais problemas, ressalta Edmar Prado Lopes Neto, presidente do Conselho de Administração do IBRI (Instituto Brasileiro de Relações com Investidores). Na visão dele, a comunicação de ataques cibernéticos é uma questão complexa e a análise deve ser caso a caso. Há situações em que a visibilidade tem que ser controlada para não estimular novas violações e há ocasiões em que provocar alarde não se justifica por ser um incidente muito localizado e facilmente resolvido, sem prejuízos. Sendo assim, em sua visão, uma lei, uma regra geral não parece ser a melhor solução.

Quanto à transparência, Prado Lopes destaca que nos Formulários de Referência das companhias dos Estados Unidos, a questão tecnológica tem aparecido como item importante no desenvolvimento dos negócios e os fatores de risco relacionados são frequentemente abordados, assim como investimentos em proteção.

Ricardo Garcia, vice-presidente do IBRI ressalta que a instrução da Comissão de Valores Mobiliários (CVM) no. 358, que dispõe sobre divulgação e uso de informações sobre fato relevante relativo às companhias abertas, já impõe obrigatoriedade às companhias de comunicarem os riscos cibernéticos e infortúnios como vazamentos de dados ou invasões aos sistemas, desde que sejam impactantes ao negócio. "Independentemente de um projeto de lei específico, as empresas que têm boas práticas devem divulgar os riscos cibernéticos ao mercado, assim como fazem com os riscos ambientais ou de hedge. Tudo o que for sensível à operação ou à reputação da empresa deve ser comunicado", afirma Garcia.

Rodrigo Lopes da Luz, diretor-presidente do IBRI ressalta ainda, nesse contexto de segurança digital, a importância de controles internos para evitar o uso de informações privilegiadas. "A estrutura de controle das informações deve ser estabelecida por meio da criação da Política de Divulgação e Negociação", acrescenta.

Medidas preventivas
A prevenção aos ataques cibernéticos é o melhor caminho. Segundo Alessandra Borelli, advogada e diretora executiva da Nethics, empresa de Educação Digital, as corporações devem desenvolver políticas sólidas de segurança da informação. "O treinamento contínuo dos funcionários é fundamental, uma vez que boa parte dos ciberataques ocorrem por falhas humanas dentro das companhias", afirma a especialista. Ou seja, a segurança mais efetiva passa pela atualização de antivírus, implementação de softwares de monitoramento, arquivos criptografados e, sobretudo, capacitação dos colaboradores sobre como lidarem com e-mails, mensagens e informações estratégicas.

No entanto, quando ocorre algum incidente de vazamento de dados, as corporações devem primeiramente preservar as provas, por exemplo, registrar as datas e horários de acesso, os links e as páginas que foram publicadas e as pastas com dados que foram violados. Depois, é necessário fazer a ata notarial para que as provas tenham fé pública. Em juízo, somente um documento público registrado em cartório constitui prova. A companhia deve, então, seguir à delegacia para fazer um boletim de ocorrência sobre a invasão dos seus sistemas e procurar um advogado especializado em Direito Digital.

No caso de vazamentos de dados há responsabilidade objetiva da companhia, aquela que independe de culpa. "Mas se a empresa comprovar diligência, comprometimento com a segurança, sua defesa será mais sustentável, com responsabilização menor possível em termos de uma indenização, por exemplo", destaca Alessandra.