Campo minado
Ataques cibernéticos expõem falhas de segurança das companhias e preocupam CEOs
Ilustração: Rodrigo Auada

Ilustração: Rodrigo Auada

“Hoje é mais fácil [um criminoso] ganhar dinheiro no mundo digital do que sair armado para assaltar um banco.” A constatação, feita por Fernando Carbone, diretor de investigação cibernética da Kroll, não é exagerada. De acordo com a empresa de pesquisas Cybersecurity Ventures, os crimes cibernéticos continuarão a avançar no mundo e custarão às companhias uma cifra exorbitante — a estimativa é de inimagináveis 6 trilhões de dólares em 2021, o dobro de 2015. O valor engloba prejuízos diversos: perda de produtividade; roubo de propriedade intelectual, dados pessoais e financeiros; ruptura do curso normal dos negócios pós-ataque; investigação forense; restauração e eliminação de dados e sistemas pirateados; e danos em reputação. “Hoje a questão não é mais saber se uma empresa será atacada, mas quando isso vai acontecer”, alerta Patrícia Peck, advogada especialista em direito digital.

A sofisticação e a abrangência dos ataques cibernéticos comprovam que nenhuma empresa está imune. Embora ações direcionadas ou pontuais de hackers — como a que recentemente expôs os dados cadastrais de 29 mil clientes da corretora XP — sejam as mais comuns, ataques coordenados vêm ganhando espaço e estarrecendo o mundo. Basta observar o caso do “wanna cry” (quero chorar, em tradução livre), apelido dado a um ciberataque global que bloqueou, no último mês de maio, o acesso a arquivos e sistemas de empresas e órgãos públicos de cerca de 90 países, entre eles o Brasil. Nesse episódio, os hackers usaram um vírus malicioso do tipo ransomware — do inglês “ransom” (resgate) e “ware” (software). Ele codifica os arquivos, tornando-os “reféns”. Assim, se quiser acessá-los novamente, o dono é obrigado a pagar uma quantia em bitcoins. “O que vimos até agora é só o começo. Os ataques ainda vão evoluir”, afirma Carbone.

Atentas a esse cenário, algumas empresas já tratam a prevenção a ataques cibernéticos como um risco corporativo, que deve ser monitorado não só pelos profissionais de tecnologia de informação (TI), mas também pelos diretores e conselheiros de administração. Por enquanto, contudo, elas são minoria. “No Brasil ainda se aprende bastante com a dor”, observa Carbone. Segundo os especialistas ouvidos pela reportagem, as companhias dos setores financeiro, de saúde, varejo e telecomunicações são as mais suscetíveis a ataques cibernéticos. “A questão da cibersegurança migrou da área de tecnologia para o jurídico e o financeiro e agora preocupa os CEOs”, diz George Little, sócio da consultoria em comunicação Brunswick.

, Campo minado, Capital Aberto

Na Valid, a segurança da informação é um ponto nevrálgico do negócio. A companhia oferece soluções de certificação digital, meios de pagamentos, sistemas de identificação e telecomunicações. O diretor Márcio Nunes diz que a proteção a crimes cibernéticos tem três pilares: soluções de tecnologia, pessoas e processos. “O elo fraco sempre está nas pessoas, e o vilão pode se esconder dentro da própria empresa ou em um fornecedor”, destaca.

De fato, apesar da preocupação com ataques externos, os autores mais comuns de fraudes e incidentes cibernéticos são os próprios funcionários. O relatório global de fraude e risco mais recente da Kroll revela que de cada dez incidentes do gênero relatados no Brasil, seis foram cometidos por atuais ou ex-empregados. Desse grupo, 43% das violações foram protagonizadas por ex-funcionários, 26% por autônomos/temporários, 22% por funcionários juniores e 9% por funcionários de médio ou baixo escalão.

O estudo da Kroll traz à lembrança o caso da Estácio. Em abril, uma reportagem do jornal Valor Econômico noticiou que o ex-CEO da rede de ensino Rogério Melzi seria investigado pela delegacia de repressão a crimes cibernéticos do Rio. A denúncia partiu da própria Estácio, que, numa apuração interna, encontrou indícios de que Melzi participou, em conjunto com dois funcionários da área de TI, da clonagem do computador do atual presidente da companhia, Pedro Thompson. Isso explicaria como o ex-executivo conseguiu acessar — e, posteriormente, tornar públicos — e-mails trocados entre Thompson e o escritório de advocacia Demarest, que davam a entender que o CEO estaria buscando brechas jurídicas para barrar a fusão da Estácio com a Kroton, sob análise do Conselho Administrativo de Defesa Econômica (Cade).

As empresas levam em média 201 dias para identificar uma falha a que estão expostas

Vale destacar que Melzi deixou a companhia em junho de 2016, mas somente depois que os e-mails vazaram para a imprensa a administração descobriu o que aconteceu. A situação evidencia outro ponto fraco das empresas em cibersegurança: a demora na detecção de violação de dados. Joaquim Campos, diretor da área de cibersegurança da IBM, relata que as empresas levam em média 201 dias para identificar uma falha a que estão expostas. Esse tipo de deficiência, avalia, é um sinal de que as companhias ainda não estão suficientemente atentas à segurança cibernética — e a infecção em cadeia pelo “wanna cry” é uma prova disso. “O problema poderia ter sido evitado com uma atualização de sistema disponibilizada pelo Windows meses antes”, afirma Campos.

Impacto no valuation

Para companhias listadas em bolsa ou com intenção de fazer uma operação de fusão ou aquisição (M&A), esse amadurecimento se torna ainda mais importante. Segundo Little, da Brunswick, no exterior, a segurança digital é um dos pontos averiguados nas diligências de M&A. Um estudo da consultoria feito com investidores americanos, europeus e asiáticos mostra que, mesmo após concluída a transação, a avaliação sobre o valor (valuation) da empresa pode ser reduzido se for descoberto que a adquirida teve seus dados violados no passado. “A pior coisa para o investidor é ser pego de surpresa”, observa Tiago Reis, sócio-fundador da Suno Research.

Um dos mais importantes grupos de investimentos do País, a XP teve que lidar com a notícia de que seus dados haviam sido violados poucos meses antes da venda de uma fatia de 49% do capital para o Itaú. O episódio aparentemente não influenciou o valor da transação (de polpudos 6,3 bilhões de reais), mas causou um relativo prejuízo de imagem para a corretora. Em janeiro, a imprensa divulgou que hackers estavam tentando extorquir dinheiro dos sócios da XP, ameaçando expor informações cadastrais de 29 mil clientes, obtidos ao longo de 2013 e 2014 por meio phishing — tipo de fraude que busca “pescar” dados importantes por meio de mensagens falsas.

De cada dez incidentes cibernéticos relatados no Brasil seis foram cometidos por atuais ou ex-empregados

A XP abriu uma investigação interna e descobriu que os hackers conseguiram as informações roubando os dados de acesso ao sistema interno de um funcionário da área comercial da empresa. O susto parece ter servido de lição. Por meio de sua assessoria de imprensa, a corretora informou ter ampliado os investimentos em segurança da informação em mais de dez vezes nos últimos quatro anos e que, após o incidente, reforçou a segurança para acesso a seu sistema interno. Além disso, convocou todos os seus fornecedores de tecnologia a dar mais solidez aos procedimentos de segurança e contratou uma consultoria para fazer uma revisão da estrutura de riscos operacionais, incluindo os tecnológicos.

Na visão da advogada Peck, avanços mais significativos dos controles corporativos devem ocorrer quando o Brasil, a exemplo dos EUA e da Europa, criar uma regulamentação específica para segurança cibernética, que determine, por exemplo, em que hipóteses incidentes do gênero devem ser comunicados a órgãos reguladores e clientes. Ela diz que o País tem apenas regulamentações genéricas em alguns setores, como o financeiro — o Banco Central trata o tema da segurança cibernética sob o chapéu dos riscos operacionais. “Países que quiserem manter o comércio exterior terão que criar leis alinhadas com as regras internacionais para o assunto”, afirma Peck. No Brasil, alguns projetos de lei que regulam a proteção e o tratamento de dados pessoais tramitam no Congresso (PL 5.276/16, PL 330/13 e PL 4.060/12). Num momento tão caótico para o País, é pouco provável que o tema receba a merecida atenção. Ao deixar de discuti-lo, entretanto, o Brasil se torna mais vulnerável a ataques de hackers — e, quando isso acontecer, não vai adiantar chorar.


Para continuar lendo, cadastre-se!
E ganhe acesso gratuito
a 3 conteúdos mensalmente.


Ou assine a partir de R$ 34,40/mês!
Você terá acesso permanente
e ilimitado ao portal, além de descontos
especiais em cursos e webinars.


Você está lendo {{count_online}} de {{limit_online}} matérias gratuitas por mês

Você atingiu o limite de {{limit_online}} matérias gratuitas por mês.

Faça agora uma assinatura e tenha acesso ao melhor conteúdo sobre mercado de capitais


Ja é assinante? Clique aqui

mais
conteúdos

APROVEITE!

Adquira a Assinatura Superior por apenas R$ 0,90 no primeiro mês e tenha acesso ilimitado aos conteúdos no portal e no App.

Use o cupom 90centavos no carrinho.

A partir do 2º mês a parcela será de R$ 48,00.
Você pode cancelar a sua assinatura a qualquer momento.