Não são apenas os riscos ambientais, tão em alta por esses tempos, que assombram as organizações. A digitalização dos negócios, acelerada pela pandemia de covid-19, alargou a porta de entrada para cibercriminosos, aumentando, com isso, os riscos associados às novas tecnologias. São cada vez mais habituais os ataques perpetrados por sofisticados hackers, que identificam as fragilidades dos sistemas das companhias e de suas cadeias de suprimento. Frequentemente recorrendo a ransomwares — que envolve “sequestro” de bancos de dados e bloqueios de sistemas com criptografia até que um pagamento, comumente em criptomoedas, seja feito —, os criminosos representam uma crescente ameaça, à medida que sua atuação deixa rombos enormes nos cofres das empresas e, em muitos casos, chega a comprometer as operações. A resposta dos líderes corporativos soa intuitiva: direcionar mais investimentos para cibersegurança. Mas a realidade é que as companhias estão um passo atrás dos hackers e, nos últimos anos, o aumento dos gastos por si só não foi capaz de evitar os ataques. 

Um novo estudo da consultoria PwC ilustra bem a conjuntura atual. O levantamento mostra que as ameaças cibernéticas estão se consolidando como uma grande fonte de ansiedade para quase metade (47%) dos CEOs globais, um salto de 14 pontos percentuais em relação à pesquisa do ano passado. Os mais preocupados são os líderes americanos: 69% deles citam os ataques cibernéticos como a maior ameaça ao crescimento das organizações. “Durante a pandemia, temos testemunhado um aumento das fraudes bancárias. A ideia de ter o dinheiro de meus clientes roubado tira o meu sono todas as noites”, comentou Uday Kotak, fundador e CEO do Kotak Mahindra Bank, no relatório.  

No Brasil, um levantamento do grupo Mz, especializado em relações com investidores, mostra que há motivos de sobra para justificar essa inquietação: as notificações referentes a ataques cibernéticos contra empresas brasileiras cresceram 220% no primeiro semestre deste ano em comparação com o mesmo período de 2020. A pesquisa verificou que as companhias de energia elétrica foram as que mais sofreram com atividades de hackers, com seis notificações ao todo. O setor de saúde foi o segundo mais afetado pelas invasões, sendo todas as cinco intimações feitas pelo Grupo Fleury, de laboratórios. Em junho, a companhia divulgou em comunicado de fato relevante que uma tentativa de ataque hacker aos seus sistemas tirou os serviços do ar. A normalização levou mais de uma semana. 

Ameaça global 

A questão é tão urgente que tornou-se um imperativo de segurança nacional. Em março, o anúncio de que a Orion Platform, criada pela SolarWinds e utilizada por órgãos governamentais e multinacionais, havia sido invadida acendeu um alerta internacional sobre a necessidade de proteger não só a própria organização, como toda a sua cadeia. A estimativa é de que 18 mil das 30 mil companhias que utilizavam a Orion Platform tiveram seus dados vazados, incluindo o Departamento de Energia (DoE) e a National Nuclear Security Administration (NNSA), que mantêm o arsenal de armas nucleares dos Estados Unidos.  

Também chamaram a atenção os ataques de ransomware. Em abril, o Departamento de Justiça dos Estados Unidos classificou 2020 como “pior ano de todos os anos” em termos de ataques de ransomware, que não deram trégua no primeiro semestre deste ano. Dois ataques recentes mostram consequências práticas que um colapso operacional pode ter ao atingir um serviço essencial: o do gasoduto Colonial Pipeline, que cortou o fornecimento de combustível para uma grande parte da costa leste dos EUA; e do Superior Tribunal de Justiça (STJ), no Brasil, que levou ao bloqueio dos processos e endereços de e-mails de todo o tribunal. 

Mão de obra escassa 

Em seu estudo, a PwC mostra que a busca por soluções em tecnologia capazes de blindar companhias, fornecedores e clientes injetou bilhões no setor de cibersegurança. Durante a pandemia, 49% dos CEOs começaram a planejar um incremento de 10% em investimentos voltados para a transformação digital.  

No entanto, o que especialistas observam é que o return of investment (ROI) dessas operações tem sido medíocre. Além da inegável habilidade dos criminosos em invadir sistemas, eles citam a falta de mão de obra especializada em cibersegurança como um problema grave, o que culmina na impossibilidade de se implementar tecnologias que já estão disponíveis. “Muitos negócios não têm os funcionários de que precisam, nem mesmo para implementar soluções de cibersegurança que, em alguns casos, já foram pagas”, disse Brad Smith, CEO da Microsoft, em entrevista à CNBC. 

De acordo com David Kennedy, fundador e CEO da empresa de segurança digital TrustedSec, até mesmo companhias da Fortune 100 que estão gastando milhões em novas tecnologias de segurança cibernética não têm as pessoas certas para implementá-las corretamente. “Não dá para simplesmente jogar dinheiro no problema, comprando um monte de novos dispositivos e softwares de segurança sofisticados. Mas é isso o que as empresas frequentemente fazem”, observa. 

A associação internacional de governança em tecnologia, a Information Systems Audit and Control Association (Isaca), em seu relatório State of Cybersecurity 2021, ouviu 3,6 mil profissionais de segurança da informação do mundo inteiro. O trabalho revelou que 61% dos entrevistados acreditam que suas equipes de cibersegurança são menores do que deveriam ser e 55% dizem que há posições não preenchidas na equipe.  

A Microsoft é uma das bigtechs que entraram no novo ciclo de investimentos em cibersegurança, uma resposta à recente onda de ataques hackers. A empresa fundada por Bill Gates anunciou que vai alocar nessa área nada menos do que 20 bilhões de dólares ao longo dos próximos cinco anos, quatro vezes mais do que gastou até agora. Mas, segundo Smith, a soma não será destinada à compra e ao desenvolvimento de novas tecnologias. O objetivo é ajudar as empresas que são clientes da Microsoft a implementar as soluções necessárias. Outras gigantes da tecnologia têm seguido o exemplo. De acordo com o governo americano, existe a necessidade de 500 mil novos profissionais do ramo de cibersegurança. O Google se comprometeu a investir 10 bilhões de dólares nos próximos cinco anos para treinar 100 mil pessoas para o setor. 

Disclosure inadequado 

Os vazamentos e sequestros de dados podem, em última instância, prejudicar a condição financeira e o preço das ações de uma empresa da mesma forma como fazem os desastres naturais e a escassez de componentes na cadeia de suprimentos, como a atual falta de semicondutores. A JBS, por exemplo, desembolsou 11 milhões de dólares em bitcoins para resgatar o seu sistema das mãos de criminosos em maio deste ano e enfrentou uma desvalorização momentânea dos papéis em bolsa. E, para além dos custos de reparação e perda de clientes, receita e reputação, os ataques cibernéticos podem terminar em processos judiciais de acionistas e clientes, aumentos nos prêmios de seguros e maior escrutínio de auditores externos e reguladores. Para avaliar melhor os riscos de ransomware e de vazamentos de dados em empresas da Fortune 500, a agência de rating Moody’s, uma das maiores e mais influentes do mundo, decidiu investir 250 milhões de dólares na BitSight, empresa de classificação de segurança cibernética.  

Também é perceptível a mudança de postura da Securities and Exchange Commission (SEC), regulador do mercado americano, que passou a considerar vulnerabilidades cibernéticas como um sério risco às companhias. O novo posicionamento ficou evidente a partir de processos sancionadores abertos recentemente por causa de disclosures inadequados sobre esse tipo de risco. Embora as empresas tenham que manter controles adequados sobre como divulgam as informações aos reguladores, historicamente há pouca repercussão em termos regulatórios sobre empresas que sofreram ataques cibernéticos. Mas, entre junho e agosto, duas companhias já foram multadas pela SEC por causa de falhas na comunicação com investidores sobre vazamentos de dados.  

A primeira foi a First American Financial Corp., que aceitou um acordo de 500 mil dólares após o regulador identificar que a empresa de serviços imobiliários demorou seis meses para informar ao mercado uma vulnerabilidade em seu sistema. Foram expostos 800 milhões de arquivos de imagem, incluindo números da previdência social e informações financeiras. Em agosto, foi a vez da Pearson PLC. A editora do Reino Unido foi alvo de um processo sancionador no valor de um milhão de dólares por não ter comunicado aos seus investidores sobre o vazamento de dados de milhões de estudantes em 2018. 

“Parece que a SEC, no mínimo, está dizendo que seis meses é um tempo muito longo para que os controles e procedimentos de disclosure de uma companhia aberta sejam colocados em ação”, avalia Stephen Riddick, conselheiro da multinacional de cibersegurança Tenable, em artigo. “Ambas as multas sinalizam uma verdadeira reviravolta que poderia mudar profundamente a maneira como as empresas pensam as ameaças à segurança cibernética, comunicam internamente sobre essas ameaças e revelam violações”, acrescenta. 

Visto que o Brasil registrou 3,2 bilhões de tentativas de ataques de hackers no primeiro trimestre deste ano, de acordo com dados da empresa de segurança Fortinet, o mercado deve caminhar para uma regulação maior sobre o assunto e órgãos como a Comissão de Valores Mobiliários (CVM) podem passar a exigir mais transparência das empresas em relação aos ataques. Enquanto a regulação não avança, resta ao investidor brasileiro monitorar o tema por conta própria. 

Leia também

O frágil cerco ao mercado de criptoativos

Os novos contornos da emergência climática: empresas sob pressão

CEOs como influenciadores digitais