Mais vulneráveis, pequenas empresas viraram alvo de hackers que roubam dados e cobram pelo resgate. Os casos aumentaram durante a pandemia com ameaças de vazamento das informações dos clientes, que, se concretizado, pode causar prejuízo financeiro e destruir a reputação do negócio.
"Antes, criminosos miravam nos bancos e grandes companhias, que já melhoraram muito os seus sistemas de segurança. Os pequenos, além de menor poder de investimento, não se veem como potenciais vítimas e ficam expostos", diz Erick Formaggio, líder de segurança da informação da Digital Business e associado da Abradi (Associação Brasileira dos Agentes Digitais).
No ataque do tipo ransomware, criminosos invadem máquinas e criptografam arquivos para sequestrar sistemas, o que pode interromper as atividades da empresa. Os hackers cobram resgate para restabelecer acesso. O pagamento é exigido em criptomoedas, cujas transações podem ser difíceis de rastrear.
Todos os setores de atividades estão sujeitos aos golpes. Nesta sexta (10), o site do Ministério da Saúde e a plataforma do Conecte SUS foram alvos de ransomware. Levantamento da Apura Cybersecurity Intelligence, empresa especializada em ameaças digitais, mostra que, de janeiro de 2020 a julho de 2021, o segmento da saúde foi o mais impactado.
Desde o ano passado, com a entrada em vigor da LGPD (Lei Geral de Proteção de Dados), crescem os golpes de dupla extorsão. Além dos pedidos pelo desbloqueio, hackers ainda exigem uma quantia para que não haja vazamento das informações coletadas.
Mesmo na condição de vítima, uma empresa pode ser punida caso haja vazamento de dados de seus clientes. Se comprovada negligência ou falha de segurança, o negócio pode ser multado em até R$ 50 milhões, diz o advogado Renato Opice Blum, presidente da ABPD (Associação Brasileira de Proteção de Dados).
O vazamento de informações por ataques a fornecedores ou parceiros não isenta a empresa contratante de responsabilidade, diz Blum. Por isso, quando há compartilhamento de dados com outro negócio, é recomendável a elaboração de contratos com a exigência de adequação às normas previstas na LGPD.
Algumas medidas preventivas pesam pouco no orçamento e minimizam os riscos do golpe. Uma delas é treinamento. Os funcionários precisam saber checar endereços de emails, que podem ter links ou arquivos com vírus.
É comum o hacker estudar a vítima antes de agir. As mensagens podem ter nomes de pessoas com cargos de confiança e serem redigidas da maneira como elas se expressam.
Nenhuma empresa está 100% segura contra ataques digitais, diz Mauricio Paranhos, diretor da Apura Cybersecurity Intelligence.
Além de investir em sistemas de proteção, ele orienta monitoramento constante de eventuais anormalidades. A Apura usa robôs que vasculham a deep e dark web (cujas páginas não são indexadas em buscadores como o Google) procurando informações sobre possíveis ataques. Cibercriminosos utilizam esses ambientes para comercializar informações roubadas.
"Se a empresa detecta o problema rapidamente, identifica as informações vazadas e notifica os clientes, muito provavelmente as autoridades levarão esses fatores em consideração", diz Paranhos.
Embora os ataques sejam cada vez mais frequentes, as companhias raramente divulgam os golpes, o que dificulta a compreensão da forma como os criminosos agem, segundo Felipe Varejão, líder de vendas da iCertus, empresa de gestão empresarial.
"Pequenos negócios têm dificuldade de capital de giro e de conseguir crédito. Se um caso de vazamento envolvendo a marca vier à tona, ela pode não sobreviver", diz.
O sequestro de dados explodiu durante a pandemia e tem crescido mais de 200% ao ano, afirma Marco DeMello, presidente da empresa de segurança PSafe.
Com as equipes em home office, muitas companhias não revisaram protocolos e ficaram mais vulneráveis.
Um roteador desatualizado, por exemplo, pode ser porta de entrada para a invasão de um cibercriminoso. Por isso, é importante que a empresa forneça os equipamentos para seus funcionários e certifique que os sistemas de segurança estejam atualizados.
O Grupo PLL, que trabalha com assistência técnica de celulares e tablets, investiu em uma ferramenta que bloqueia o acesso da máquina usada pelo funcionário que está em casa ao ambiente corporativo se o antivírus estiver desatualizado.
Outra iniciativa para aumentar a segurança é a contratação de empresas que tentam invadir os sistemas de seus clientes para identificar eventuais vulnerabilidades —os chamados pentests.
É o que tem feito a AccessRun, especializada no controle de acesso em empresas e condomínios residenciais, que trabalha com dados de moradores e visitantes. No último ano, a companhia quadruplicou o número de pedidos de clientes para testes desse tipo em comparação com 2019, diz Donato Cardoso, 37, um dos fundadores.
O investimento em segurança digital na empresa também tem crescido ano a ano, segundo Cardoso. Hoje a AccessRun investe cerca de 9% do faturamento nessa área. A companhia deve faturar cerca de R$ 2 milhões neste ano.
Comentários
Os comentários não representam a opinião do jornal; a responsabilidade é do autor da mensagem.