Usuários da internet no Brasil, tanto pessoas físicas quanto jurídicas, devem ficar atentos. Levantamento da Surfshark, empresa sediada nas Ilhas Virgens Britânicas e que atua na área de ferramentas de privacidade e segurança online, indica que o país é o 6º que mais sofre com vazamentos de dados no mundo. De janeiro a novembro do ano passado, 24,2 milhões de perfis de brasileiros tiveram informações expostas a partir de ataques ou brechas em sistemas. A organização cita também aumento nos casos de golpes contra pessoas jurídicas.
Os Estados Unidos lideram a lista, com 212,4 milhões de contas de cidadãos do país atingidas pelos criminosos. O que significou aumento de 22% em relação a 2020. No total global, o crescimento de vazamentos foi de 3,4%. Especificamente no caso do Brasil, no caso do mercado corporativo, tanto organizações públicas quanto privadas sofrem com ataques cibernéticos. Exemplos são o aplicativo ConecteSUS que ficou fora por cerca de dez dias e o do vazamento de dados envolvendo a Polícia Federal. Caso emblemático também foi o vazamento de dados de mais de 300 mil usuários do Mercado Livre.
O especialista em tecnologia da informação (TI), Eder Castanheiro, sócio-proprietário de uma empresa de TI e telecom de Araçatuba (SP), lembra também o caso recente da Americanas, que, em um ataque hakher, perdeu quase R$ 1 bilhão. Em fevereiro, os sistemas da empresa travaram por quase cinco dias e não era possível fazer compras no ecommerce. A varejista perdeu em vendas R$ 923 milhões por conta da paralisação de seus sites e aplicativos. O número consta no relatório de resultados do grupo na linha “incidente de segurança (perda de venda)”.
“É fato que hoje a segurança no espaço virtual é essencial para os negócios no que diz respeito ao bloqueio das ameaças digitais. É preciso proteger as informações que são processadas, armazenadas e transportadas nos sistemas interligados das empresas, pois isso implica prejuízo e também questões legais, dada a LGPD (Lei Geral de Proteção de Dados)”, comenta Castanheiro.
De todos os tamanhos
O profissional destaca que os crimes cibernéticos atingem organizações de qualquer porte, desde pequenos negócios em todo segmento a multinacionais e órgãos governamentais. Castanheiro lembra que neste mês, por exemplo, o governo da Costa Rica declarou estado de emergência nacional diante da série de ataques de ransomware que vem sofrendo pelo grupo cibercriminoso Conti. O decreto foi o primeiro assinado pelo presidente Rodrigo Chaves, que assumiu a posse no mesmo dia e pretende, com isso, reservar mais fundos para que as agências oficiais possam lidar com o golpe e conter os efeitos danosos à população.
Ransomware é um tipo de malware de sequestro de dados, feito por meio de criptografia, que usa como refém arquivos pessoais da própria vítima e cobra resgate para restabelecer o acesso a estes arquivos. O resgate é cobrado em criptomoedas, que, na prática, torna quase impossível rastrear o criminoso.
De acordo com as informações oficiais do governo costa-riquenho, o Ministério da Economia foi o primeiro a ser atingido pelos golpes, que vêm sendo registrados desde o dia 18 de abril. Ao longo das últimas semanas, as pastas de Trabalho e Previdência, Desenvolvimento Social e Ciência, Telecomunicações, Tecnologia e Inovação também foram atingidas, assim como institutos meteorológicos, universidades e órgãos regionais.
No caso das empresas de pequeno porte, na maior parte das vezes, elas não adotam medidas de prevenção mais efetivas, o que as tornam mais vulneráveis aos ataques. Estudo da Karpersky – líder mundial em tecnologia no desenvolvimento de software de segurança – mostrou que o comprometimento em segurança para empresas desse porte é da ordem de US$ 108 mil, o que em grande parte dos casos é uma barreira. Além disso, hoje esse perfil de organização representa importante parcela da economia: segundo estudo do Sebrae e FGV, os pequenos negócios respondem por 30% do PIB (Produto Interno Bruto) brasileiro.
“Independentemente do porte da empresa, o fato é que não existe um modelo de cibersegurança que sirva para todas as organizações. O ideal é que cada uma faça uma avaliação de sua infraestrutura e sistemas e identifique os riscos e vulnerabilidades e adote os procedimentos e ferramentas cabíveis para construir um ambiente seguro”, explica Castanheiro.
De acordo com levantamento realizado pela SafeNet, uma organização enfrenta, em média, 106 ataques cibernéticos por ano, e, a cada três ataques, um consegue transpor as barreiras de proteção, violando a segurança dos dados das empresas. Mas, segundo o profissional de TI, existem práticas que são comuns a todos os negócios e que podem ajudar a sua empresa melhorar a segurança, como treinamento dos colaboradores, migração para a nuvem, realização de backup, adoção de ferramentas de cibersegurança e implementação de uma política de segurança.
“Nos casos de segurança virtual é muito atual a antiga máxima popular de que vale mais a pena prevenir do que remediar. Os prejuízos com ataques virtuais podem ser enormes, envolvendo informações corrompidas, resgate de dados e reputação da empresa. No final das contas, é muito mais barato investir em processos e procedimentos adequados, no que na administração de crises e reparações”, finaliza Castanheiro.
LGPD
Como se não bastassem todos os contratempos operacionais e de crise de imagem causados à empresa vítima de crime virtual, a organização ainda corre o risco de ter a situação piorada pelo não cumprimento da Lei Geral de Proteção de Dados. Isso porque a LGPD prevê penalidades para quem não atua de forma preventiva, devendo inclusive demonstrar documentalmente os procedimentos adotados para garantir a proteção dos dados que possui.
O advogado Danilo Zaninelo explica que, na prática, se forem disponibilizados, sem consentimento, os dados pessoais de um colaborador registrado no sistema, a empresa pode ser multada em até 2% do seu faturamento anual. “Dependendo do caso, essa multa pode chegar a R$ 50 milhões. E a autuações são por infração cometida, ou seja, ele pode ser multiplicado para cada vazamento irregular ocorrido. No fim das contas, adequação preventiva, tanto em relação às ferramentas de proteção contra crimes virtuais quanto sobre a LGPD, demonstra a decisão mais coerente”, afirma Zaninelo.
O profissional destaca que a legislação obriga organizações públicas e privadas a respeitar a privacidade de seus colaboradores, parceiros, clientes, fornecedores e usuários, sendo transparentes no que se refere a captura, tratamento, utilização e eliminação dos dados. De forma geral, toda entidade deve criar uma política para esclarecer a forma como trata dados pessoais, de acordo com as previsões legais.
“O objetivo é proteger os direitos fundamentais de liberdade e de privacidade da pessoa. São muitos os conceitos e ferramentas definidas pela legislação, e que precisam ser interpretados e implementados de forma correta pelas empresas. Assim, elas se resguardam quanto a prejuízos que podem comprometer definitivamente a sua sobrevivência”, finaliza Zaninelo.