No pouco que a Americanas S.A. (dona das Americanas, Submarino e Shoptime) fala sobre o incidente que afetou seus sites e seus sistemas internos no último fim de semana —e já deixa os serviços fora do ar há três dias—, a empresa evita o termo "ataque hacker" e prefere "acesso não autorizado".

Independentemente da terminologia adotada —a definição de "ataque hacker" é bastante flexível—, o caso mostra um abismo no preparo para se lidar com defesas digitais.

Essa falta de clareza na comunicação é parte do problema num cenário em que acessos não autorizados, vazamentos de dados pessoais não permitidos e bloqueios ilegítimos de sistemas só vão se tornar cada vez mais comuns.

Os esclarecimentos por parte da Americanas são praticamente nulos, o que levou inclusive a uma notificação do Procon-SP. Os sistemas serem desligados para proteger os dados de clientes, conforme apuração da Folha, não significa que não houve algum vazamento. Não se sabe muito, pois, até o momento, a Americanas opta pelo silêncio.

Até a manhã desta terça-feira (22), o breve comentário emitido pelo grupo, dizendo que os sistemas suspensos por questões de segurança, só aparecia na página da Americanas.com.

Outros sites, como Submarino e Shoptime, simplesmente apresentavam um erro. A mensagem passou a ser exibida em ambos posteriormente.

Sem transparência, é difícil conjecturar o que pode ter acontecido. O tamanho do estrago dá uma pista: conforme estimativa noticiada pela Folha, passa dos R$ 100 milhões por dia.

O grupo Lapsus, que diz ser o autor do ataque e também afirma ter sido responsável pelo hack ao Conectsus, divulgou imagens indicando estarem dentro da intranet da Americanas —o conteúdo foi apagado posteriormente.

Por definição, uma intranet é uma conexão de rede disponível apenas internamente para membros de uma organização.

Novamente, sem o esclarecimento da Americanas, não dá para imaginar até que ponto chegou o nível de acesso dos criminosos. Para um negócio desse tamanho ficar quatro dias fora do ar, há de se presumir que foi enorme.

Não é nada comum que uma estratégia de resposta a um incidente cibernético envolva dar um prejuízo milionário e derreter o valor das ações da empresa. No comércio online, a prioridade das equipes de cibersegurança deve ser manter os serviços disponíveis aos usuários –caso contrário, eles podem simplesmente comprar no concorrente.

Com isso, as explicações que restam são: 1) a empresa está buscando evitar um dano ainda maior; 2) a devassa dos hackers foi tão grande que a restruturação é muito trabalhosa —ou impossibilitada, caso as equipes de TI fiquem sem acesso aos sistemas—; ou 3) o plano de resposta ao incidente não estava tão afinado quanto deveria.

Em algum momento a defesa falhou. Seja em não detectar uma vulnerabilidade que permitisse um impacto desses, seja no preparo da reação, ou em ambos.

Historicamente, os ciberataques observados no Brasil não são de um grande primor técnico. Aproveitam-se de falhas simples que geram retorno financeiro, muitas vezes se aproveitando de vulnerabilidades já conhecidas na praça, mas não devidamente estancadas.

Não trata-se aqui de culpar a vítima, no entanto. A ofensiva que hoje impacta a Americanas é parte de uma onda de ciberataques há anos alardeada pelos escassos especialistas do setor.

Hoje foram eles, como há pouco tempo foi a Renner, o Ministério da Saúde, a JBS, a Colonial Pipeline… E um sem-número de casos que não entram nas manchetes, mas continuarão a engrossar a lista.

A boa notícia é que com a (ciber)crise na Ucrânia e essa crescente onda hacker, a forma como a segurança da informação é tratada parece começar a mudar e o setor amadurece.

Há uma expectativa de alta nos investimentos na área e a postura de países relevantes no cenário, como os EUA, está em evolução.

Após alguns ataques custosos e uma série de investidas contra o sistema eleitoral americano, entendeu-se que é preciso criar um ecossistema seguro para todos, com mais transparência e colaboração entre empresas e governo. De nada adianta cada um cuidar apenas do seu microcosmo.

Em artigo publicado nesta segunda-feira (21) na revista "Foreign Affairs", o primeiro diretor de cibersegurança dos EUA, Chris Inglis, e seu conselheiro Harry Krejsa, pedem para uma mudança de postura na qual a segurança torna-se central desde o começo de desenvolvimento de produtos e sistemas digitais.

O texto vem pouco depois de o Departamento de Justiça americano anunciar uma mudança na forma como enfrentará o cibercrime. O foco passa a ser ajudar a recuperação das empresas em detrimento de prender os criminosos.

Explique-se: é raríssimo identificar os hackers e, como frequentemente estão em outros países, mais complicado ainda é prendê-los. Algumas análises necessárias para investigar um ciberataque envolvem atrasar o restabelecimento de sistemas para procurar rastros dos criminosos, o que causa prejuízo.

Com sucesso, as iniciativas podem começar uma mudança para que sistemas conectados à internet sejam melhor guardados, desenvolvidos com cibersegurança no seu cerne. Até lá, o velho oeste digital continua. Protejam seus dados.