Os ataques cibernéticos a empresas têm se tornado mais frequentes e devem continuar aumentando, segundo especialistas ouvidos pelo Estadão. Fatores como a busca por inovação e a crescente digitalização das empresas contribuem para que as operações das companhias fiquem mais expostas a ações de criminosos digitais.
"Por um lado, as empresas estão expandindo a digitalização e, por outro, grupos criminosos acompanham esse movimento e monitoram quais são as portas de entrada, as brechas, que podem ser exploradas", diz Eduardo Batista, sócio e líder de Cibersegurança e Privacidade da PwC Brasil. Ele ainda afirma que a pandemia, com o trabalho remoto, também facilitou a execução desse tipo de ataque, já que a segurança é pensada para o ambiente corporativo e não para a casa dos funcionários.
Matheus Jacyntho, diretor associado na área de cibersegurança da ICTS Protiviti, aponta que o maior prejuízo com esses ataques para as empresas é a paralisação das operações. "Temos exemplos de empresas que tiveram as operações interrompidas por muitos dias, causando prejuízo. Fora o custo de mobilizar todos os times para a volta de todos os serviços, o que é muito caro também", diz.
Casos como o da varejista Americanas, que reportou "acesso não autorizado” aos seus sistemas e ficou com suas plataformas de e-commerce indisponíveis por quatro dias, com prejuízo de cerca de R$ 250 milhões, segundo a XP, demonstram quais podem ser as consequências quando os riscos cibernéticos se concretizam. Outros exemplos de ataques que afetaram as operações foram os que atingiram a rede de laboratórios Fleury e as Lojas Renner, no ano passado.
Além do risco de paralisar operações, os ataques cibernéticos trazem um risco reputacional para as empresas. Eduardo Batista, da PwC, diz que a população está mais atenta à cibersegurança, principalmente quando há vazamento de dados. “As empresas não estão mais sozinhas, elas fazem parte de um ecossistema, com parceiros de negócios, fornecedores, investidores, clientes. Se há um incidente cibernético, isso rapidamente é percebido por múltiplos stakeholders (partes interessadas no negócio), com impacto negativo na imagem. E uma quebra de confiança em alguns setores pode ter um impacto grande”, declara.
Outra consequências que as empresas podem enfrentar são as sanções de órgãos reguladores, que podem aplicar multas, como o Procon, o Ministério Público, a Secretaria Nacional do Consumidor (Senacon) e a própria Autoridade Nacional de Proteção de Dados (ANPD), que fiscaliza a Lei Geral de Proteção de Dados. Com o crescimento dos riscos cibernéticos, deve haver maior pressão dos reguladores por transparência e eficiência da defesa cibernética para proteção dos investimentos, dos acionistas e da própria sociedade, segundo Batista.
Importância da governança
O ataque cibernético mais comum é o chamado "ransomware", em que criminosos conseguem entrar nos sistemas da empresas, "sequestram" dados e exigem o pagamento de um resgate para que os dados sejam devolvidos e também para que não sejam divulgados. Os cibercriminosos podem acessar os sistemas da empresa por falhas técnicas, mas, em grande parte das vezes, invadem por meio dos próprios colaboradores, que recebem o chamado “phishing”, quando o usuário clica em um link malicioso acreditando se tratar de um link legítimo.
Por isso, para Matheus Jacyntho, da ICTS Protiviti, os investimentos para mitigação de riscos são muito importantes, mas é necessário também estabelecer uma estrutura robusta de governança. “Em informática temos o que chamamos de PPT: pessoas, processos e tecnologia. As pessoas e a tecnologia só vão andar corretamente se houver processos. Muitas empresas compram um monte de ferramentas, contratam gente, mas esquecem que é preciso ter uma governança mínima de segurança da informação, com processos e políticas estabelecidos. As pessoas esquecem de fazer o básico, que é implementar uma política de classificação de informação, mapear quais dados precisam ser protegidos, treinar colaboradores, ter uma estrutura de cibersegurança", destaca.
Batista concorda que os riscos cibernéticos devem estar integrados às práticas de governança corporativa das empresas. "Esse risco precisa ser mapeado porque os impactos podem ser muito grandes e até irreversíveis. E a mitigação de riscos cibernéticos depende da atuação da liderança das companhias também, ou seja, dos conselhos de administração e da alta administração, dos presidentes. É um tema que precisa estar na pauta de discussão dos riscos corporativos, como prioridade estratégica", diz.
Segundo os especialistas, as empresas precisam ter um mecanismo de governança e gestão de riscos identificando qual é a sua superfície de ataque, ou seja, quais ativos ela tem expostos e que podem ser atacados. E precisam, constantemente, monitorar se existem vulnerabilidades nessa superfície de ataque.
“Não existe uma solução definitiva para os riscos cibernéticos, porque as empresas não conseguem ter a mesma velocidade para se proteger que os atacantes têm em inovar nos golpes”, aponta Jacyntho. “Mas as empresas precisam estar muito atualizadas e sempre monitorando as vulnerabilidade do ambiente. Uma máxima que eu sempre uso com os clientes é: o pior risco é aquele que você não conhece. Vemos que a maturidade de segurança das empresas deslancham após um ataque, o famoso ‘depois que a porta foi arrombada, põe um cadeado’. Mas a gestão e mitigação de riscos cibernéticos consegue prevenir essas dores de cabeça”, conclui.