O impacto dos crimes cibernéticos em tempos de LGPD

Nos últimos anos, os ataques cibernéticos vêm assombrando a vida de organizações em todo o mundo. Diariamente nos deparamos com incidentes devastadores que estão afetando a economia mundial.

Com a chegada do COVID-19, as empresas se deparam com necessidade de se estruturarem para garantir a continuidade de seus negócios ou simplesmente tiveram que fechar as portas. Felizmente a Tecnologia da Informação permitiu que a maioria das organizações conseguissem manter suas atividades e a geração de receita através do home office (trabalho remoto).

Um estudo realizado pelas empresas Mash e Microsoft (Estudo Mash & Microsoft), 73% das empresas da América Latina permitiram que seus colaboradores utilizassem seus dispositivos pessoais para exercer as atividades de trabalho e apenas 27% das empresas afirmaram que seus colaboradores utilizam dispositivos da própria empresa no trabalho remoto. Este dado apresenta que a maioria dos colaboradores utilizam seus computadores pessoais para acessarem a infraestrutura, os sistemas e informações sensíveis do negócio sem nenhum tipo de monitoramento por parte da organização. Com o uso de computadores pessoais que não são gerenciados pela empresa a exposição ao risco cibernético aumento exponencialmente.

A Kaspersky, empresa especializada em segurança digital, identificou um aumento de 330% dos ataques cibernéticos em 2020. E, somente no primeiro trimestre de 2021, mais de 17 milhões de novos malwares (nomenclatura dada para qualquer tipo de vírus cibernético) foram identificados.

https://www.mcafee.com/enterprise/en-us/lp/threats-reports/jun-2021.html

Com o trabalho remoto intensificado, os criminosos cibernéticos intensificaram o uso de técnicas de persuasão através de e-mails maliciosos. Também conhecida como ataque de phishing (pescar), essa técnica permite que os criminosos induzam ao usuário para que acessem links aparentemente nocivos, mas que na verdade é um malware que pode ter diversos objetivos como: acessar remotamente o computador da vítima, executar um vírus para utilizar o computador para mineração de moeda digital (ex. bitcoin), roubar ou sequestrar informações sensíveis.

Nos últimos 12 meses, no mínimo uma vez por semana, nos deparamos com reportagens informando que grandes empresas e órgãos governamentais sofreram ataques cibernéticos onde as informações foram sequestradas. Este tipo de ataque é realizado através de um vírus conhecido como Ransomware que criptografa (técnica de “proteger” informações através de algoritmos matemáticos e acessível somente através de uma chave/senha) os arquivos e exige uma quantia em valor para que a chave seja disponibilizada e os arquivos recuperados. Em 2021, tivemos grandes casos de Ransomware que repercutiu em todo o mundo, como da Colonial Pipeline (que paralisou 47% do abastecimento de gás e óleo nos EUA), STF, STJ, TJ-RS, Honda, JBS, Grupo Moura, HSE, entre muitos outros. Na semana passada, os casos mais comentados foram os ataques ao Tesouro Nacional (dia 07/08) e das Lojas Renner (dia 12/08).

Os ataques de Ransomware estão cada vez mais sofisticados e a cada dia, novos tipos desse vírus surge no mundo do crime cibernético. Somente no primeiro trimestre de 2021, mais 27 mil novos Ransomwares foram descobertos por dia. Além de burlar os sistemas de proteção tradicionais, os criminosos estão realizando dupla extorsão nas suas vítimas. Sendo o pedido de resgate da chave criptográfica para acesso as informações e mais uma quantia para que as informações não sejam expostas na internet.

Assim como os Ransomwares, diversos outros incidentes de segurança assombram o mundo e comprometem o negócio das organizações. A falta de políticas, controles e maturidade de segurança da informação, somados pela falta de gerenciamento de vulnerabilidades em sistemas e infraestrutura de TI, permitam que esses ataques e exposição de dados sensíveis estejam mais presentes.

Com leis de privacidade de dados pessoais como a LGPD e GDPR, o impacto as organizações são ainda maiores, pois resultam em multas (sansões), ações cíveis e afetam a reputação.

E qual o principal objetivo desses ataques? Altas receitas por parte dos criminosos. Diversas empresas que não possuem uma estratégia de se recuperar sobre o impacto dos incidentes de segurança, acabam acatando as exigências dos criminosos.

O pagamento de uma extorsão não é recomendado pois não há garantias que o criminoso cumprirá o solicitado e isto incentivará cada vez mais os criminosos a continuarem cometendo estes crimes em outras vítimas.

Notem que neste artigo são apresentados casos ocorridos em grandes empresas, casos que tiveram grandes repercussões pela mídia. As pequenas e médias empresas são as que mais sofrem com os incidentes de segurança. Isto porque a cultura dos gestores está relacionada que segurança da informação não é investimento e sim um gasto.

A incapacidade de identificar e tratar os riscos e vulnerabilidades, somados pela falta de políticas de segurança concretas e da não conscientização dos colaboradores das organizações, são os principais motivos que permitem que os ataques cibernéticos ocorram.

Os gestores devem entender que estruturar a segurança da informação em sua organização é investimento, atendendo os objetivos de negócio, e não despesa.

Continue lendo