É difícil chegar a um número fechado sobre ataques virtuais a empresas, já que nem todos os casos vêm a público. Há anos, as consultorias tentam encontrar um denominador comum e tirar uma conclusão sobre o potencial de danos provocados por esses incidentes. Recentemente, a Accenture ouviu quase 5 mil executivos de empresas que faturam ao menos 1 bilhão de dólares por ano, em 18 países, incluindo o Brasil. Constatou que os ataques cibernéticos aumentaram em 31% no ano passado, comparando com 2020. A empresa de pesquisa Cybersecurity Ventures, por sua vez, prevê que crimes cibernéticos vão gerar prejuízos anuais de 10,5 trilhões de dólares até 2025. Se os ciberataques fossem um país, seriam a terceira maior economia do planeta.  

A Capital Aberto tem um curso sobre M&A em ativos digitais. Dá uma olhada!

“É um problema real, com efeitos catastróficos ao redor do mundo”, afirma Mark Seifert, sócio e líder global de cibersegurança e privacidade de dados da Brunswick. A consultoria internacional de comunicação corporativa teve trabalho dobrado nos anos de pandemia com empresas vítimas do ransonware, um software que sequestrou dados de diversas companhias e repartições públicas nos últimos anos. Os hackers costumam exigir resgates milionários para que o acesso às informações seja recuperado. 

“O ransonware compromete a continuidade dos negócios, pois atinge cada computador e servidor como um tornado, deixando a empresa sem saída”, diz Seifert. Em junho do ano passado, subsidiárias da JBS nos Estados Unidos, no Canadá e na Austrália tiveram seus servidores invadidos por hackers, o que levou ao fechamento temporário dessas unidades. A empresa pagou um resgate de 11 milhões de dólares aos autores do ataque. Segundo a JBS, a decisão foi tomada para reduzir impactos nas operações e evitar o vazamento de dados.  

Os ataques às grandes empresas capitalizaram os sequestradores. Os grupos hackers se tornaram organizações estruturadas, com um quadro de funcionários composto por experts em tecnologia da informação. O ransonware virou um serviço, facilmente contratável na dark web. As empresas tentam responder à altura, atraindo gente para entrar no submundo da internet e monitorar ameaças, assim como identificar possíveis vazamentos de dados. A dúvida é se essa capacidade de reação é suficiente. 

Em tempos de tecnologia na nuvem, as empresas tendem a deixar brechas de segurança no desenvolvimento de seus sistemas. “Não existe mais aquele processo de ter alguém da área de tecnologia da companhia monitorando, presencialmente, o que o desenvolvedor está fazendo”, explica Armando Amaral, sócio da Deloitte. Para ele, o desenvolvimento de um software seguro não está na governança da maior parte das empresas. “Algumas colocam experts no conselho de administração ou até reportando-se diretamente ao presidente da empresa. Mas em muitas companhias a pessoa com mais conhecimento em tecnologia ainda ocupa um cargo técnico”, diz Amaral. 

O advogado Thiago Sombra, sócio do Mattos Filho, explica que a Lei Geral de Proteção de Dados (LGPD) demanda estruturas de governança para que as empresas possam mitigar os impactos de um ataque virtual. “Além de um plano de resposta a esses incidentes, as empresas precisam de um plano de comunicação bem estruturado. Caso contrário, a ANPD [Autoridade Nacional de Proteção de Dados] poderá iniciar uma investigação. E determinar que a empresa adote medidas adicionais para mitigar riscos e se comunicar melhor com os titulares dos dados”, afirma.  

A LGPD diz que companhias e órgãos públicos são obrigados a notificar os donos dos dados sobre incidentes que possam colocá-los em risco ou provocar dano relevante. Não deixa claro, entretanto, quem deve fazer essa avaliação. Além disso, não existe uma orientação específica das autoridades sobre pagar ou não um resgate de dados. Nos Estados Unidos, tanto o Departamento de Justiça quanto a Securities and Exchange Commission (SEC, a CVM do mercado americano) fornecem diretrizes nesse sentido às empresas atacadas por hackers. “No Brasil, qualquer pagamento de ransonware vai ser declarado no livro da companhia e será objeto de auditoria no futuro”, explica Sombra. 

Na visão do advogado, uma peculiaridade brasileira é que as empresas atacadas por hackers costumam ser vistas como culpadas, e não vítimas. “Nos Estados Unidos, as pessoas sabem que há um crime, e a empresa é tratada como vítima. O FBI vai até a companhia e a auxilia a gerir o incidente, para identificar criminosos. Aqui, a empresa é execrada em público, ainda que não se saiba o que aconteceu”, diz Sombra. 

Por todas essas razões, as companhias precisam atentar à própria reputação ao traçar um plano de segurança cibernética, segundo Mark Seifert. “É necessário [a liderança] pensar além de como recuperar o acesso ao seu computador e enxergar de que forma essa situação vai afetar a confiança dos consumidores. Estamos em um mundo onde as pessoas estão sempre online”, afirma o executivo da Brunswick. E é bom preparar-se: “Os reguladores vão querer fazer de você um exemplo.” 

Matérias relacionadas 

Empresas ainda falham na prevenção a ataques cibernéticos 

Ainda à mercê de hackers

Mesmo com lei, dados ainda são tratados com descaso no Brasil