Cibersegurança e proteção de dados em tempos totalmente digitais
Publicado em 25/05/2020
As medidas de restrição à circulação, levaram pessoas e empresas a adotarem de vez as soluções tecnológicas para continuar exercendo suas atividades, mesmo durante a quarentena. Por meio das ferramentas digitais, é possível realizar reuniões virtuais, criar grupos privados e gerenciar tarefas corporativas. Além de dar continuidade às outras tarefas do cotidiano, como estudar, fazer compras, praticar exercícios, só que tudo isso no ambiente on-line.
A Catho Educação, divulgou que no período entre 21 de março e 6 de abril, houve um aumento de 68% nas matrículas para cursos de ensino a distância ou semipresenciais. Já nas semanas entre 3 e 20 de março, a plataforma registrou um crescimento de 44% na procura por cursos na modalidade EaD.
A Associação Brasileira de E-Commerce (ABComm), afirma que o setor vem registrando altas importantes na média de compras por diárias, desde o início das recomendações de isolamento social. Ao longo de abril, este crescimento acumulado foi de quase 40%. A entidade estima ainda que 80 mil novas lojas on-line tenham sido lançadas desde março, enquanto o número de clientes com ao menos uma compra pela internet cresceu em quase 1 milhão.
Para superar os desafios da pandemia, congressos e eventos presenciais foram transformados em eventos virtuais. A Campus Party 2020 já anunciou que será 100% on-line e gratuita e a transmissão acontecerá, simultaneamente, através dos perfis oficiais do evento em plataformas como Facebook, Twitter e Instagram.
Saiba mais: EAD obrigatório: a pandemia revolucionará métodos?
Por outro lado, esse aumento no uso das redes, expôs a importância da cibersegurança e da proteção de dados, pois toda pessoa e empresa conectada à internet corre o risco de sofrer um ataque. Esses ataques impactam comunidades, organizações e países.
Recentemente, acompanhamos o caso do Zoom Meetings, programa de videoconferências que ficou popular durante a quarentena. A plataforma se tornou uma alternativa para a realização de reuniões de negócios, encontros de trabalho e até mesmo aulas.
No entanto, falhas de segurança no programa foram apontadas por especialistas. As brechas no sistema permitiram que estranhos invadissem salas para atrapalhar reuniões e houve até a disseminação de malwares para os computadores dos participantes.
Segundo o recente relatório “Como o Covid-19 mudou a forma das pessoas trabalharem”, da Kapersky, dois terços (67%) dos profissionais brasileiros que estão trabalhando em casa ainda não receberam nenhum treinamento ou orientação de cibersegurança para protegê-lo de perigos on-line. 40% dos entrevistados no Brasil disseram ter recebido e-mails de phising relacionados à Covid-19.
A empresa explica que as ameaças contidas pela cibersegurança assumem três formas:
- Crime virtual, que inclui agentes individuais ou grupos que atacam sistemas para obter ganhos financeiros;
- Guerra cibernética, que costuma envolver coleta de informações e tem motivação política;
- Terror virtual, que tem como objetivo minar sistemas eletrônicos e causar pânico ou medo.
Entre os métodos comuns usados pelos invasores para controlar computadores ou redes estão os vírus, worms, spyware e cavalos de Troia. Os vírus e worms são capazes de se replicar e danificar arquivos ou sistemas, enquanto o spyware e os cavalos de Troia são usados para coletar dados clandestinamente.
“A importância da cibersegurança nunca se fez tão evidente como na atual situação, que gerou uma rápida mudança de comportamento nos hábitos de consumo da população e a desorganizada adaptação de diversos modelos de negócio ao ambiente on-line. Com o despreparo da maioria da população e das empresas, abriu-se um campo fértil para que criminosos pratiquem seus ataques automatizados”, comenta Luiza Sato, responsável pela área de Proteção de Dados, Direito Digital e Propriedade Intelectual do escritório ASBZ Advogados.
“A cibersegurança é vital neste momento, pois é ela que garantirá a continuidade de muitos negócios daqui para o futuro. Sabe-se que este “novo normal” ainda pode perdurar por algum tempo e, desta forma, novas abordagens hacker também estão acontecendo em paralelo para explorar a atual situação. Por isso, as empresas precisam criar mecanismos e políticas para mitigarem as ações perniciosas”, avalia Hugo Felipe, head de tecnologia da Neotix Transformação Digital.
“Hoje em dia os golpes virtuais acontecem em uma escala muito maior que no mundo real. Até mesmo pela praticidade e ganho de escala, os criminosos acabam optando pelo meio virtual para conseguir ganhos financeiros com a aplicação de golpes e fraudes eletrônicas. É importante que o cidadão proteja adequadamente seus dados pessoais e não os compartilhe em qualquer local que seja solicitado. Também é essencial tomar cuidado com os sites acessados, sempre verificando se o endereço é o oficial da empresa/organização. Outro cuidado é instalar somente aplicativos oficiais em seus equipamentos. Do lado das empresas que capturam essas informações, é essencial a proteção adequada desses dados”, opina Sandro Süffert, CEO da Apura Cybersecurity Intelligence.
Maturidade das empresas brasileiras em cibersegurança
Segundo dados coletados pela Fortinet,através de sua plataforma que coleta e analisa incidentes de segurança cibernética em todo o mundo, o Brasil sofreu mais de 1,6 bilhão de tentativas de ataques cibernéticos no primeiro trimestre do ano, de um total de 9,7 bilhões da América Latina.
De acordo com a empresa, houve um aumento de 131% na incidência de vírus em março em comparação ao mesmo mês de 2019. Os ataques hackers crescem à medida que a pandemia de Covid-19 se alastra. Foram registrados ataques até contra laboratórios de testes.
Para Hugo Felipe, houve uma evolução das empresas brasileiras em relação a cibersegurança e proteção de dados nos últimos anos, porém ainda há uma baixa abordagem sobre o tema e pouco incentivo das empresas em atingir um nível de excelência na proteção de dados dos usuários.
“Novas ferramentas, metodologias e soluções emergiram. A própria computação na nuvem trouxe boas práticas com relação a segurança e proteção dos dados. Porém, a pessoa que ocupa o cargo estratégico dentro das companhias ligado a essa área é a principal figura neste universo. Encontramos exemplos de executivos estupefatos com outras atividades que não sejam a de assegurar a proteção da informação, e isso não é uma exclusividade de pequenas ou médias empresas”, analisa.
“Alguns setores estão com maior nível de maturidade que outros. Segmento financeiro, infraestruturas críticas, defesa e forças da lei se destacam no Brasil. Grandes varejistas, que são impactados diretamente por fraudes e golpes de cibercriminosos também começam a se preparar de forma mais estruturada. Outros setores estão um pouco mais abaixo em relação à maturidade de cibersegurança, mas começam a olhar com mais cuidado com o advento da LGPD”, comenta Sandro Süffert.
Hugo Felipe acredita que temos este cenário, por tratar-se de um país emergente que atrai a atenção de multinacionais que enxergam no mercado nacional, um grande potencial de expansão.
“Essas multinacionais investem uma fatia considerável do seu capital aqui. Porém, a ausência de profissionais qualificados, somada a uma cultura um pouco diferente dessas multinacionais, culminam em ações que nem sempre possuem o intuito de construir uma solidez salvaguardada para essas bases aqui estabelecidas. Isso faz do Brasil um prato cheio para os ataques.”, comenta Hugo Felipe.
Um outro ponto levantado por Hugo é ausência de políticas públicas que trazem o assunto à tona para a população. Ele diz que o Brasil vem numa crescente do IDH, que nos últimos anos parte da população saiu da pobreza extrema e teve contato com dispositivos tecnológicos que podem facilitar em muito a vida. Entretanto, diz que se a segurança não for um item priorizado, poderá trazer um ônus considerável.
“O Brasil está entre os 5 países com maior número de ataques virtuais. Em minha opinião, o país é bastante propício para tal atividade, por uma série de fatores. Dentre eles, podemos destacar o fato de, por ter uma população numerosa, os dados trafegados são riquíssimos, tanto em número quanto em quantidade, fazendo com que a atividade possa ser muito lucrativa. Ainda, podemos citar a insuficiência de legislação em vigor forte que cubra o tema e a necessidade de uma autoridade especializada e focada em combater os ataques”, analisa Luiza Sato.
Sandro Süffert cita três vertentes, que segundo ele, contribuem para a alta incidência de ataques no país: financeiro, criatividade e a língua.
“Nosso setor financeiro talvez seja o mais avançado do mundo em relação à tecnologia. Precisamos nos preparar para o cenário econômico que vivíamos. Com um ambiente tecnológico muito evoluído e conectado, acabam surgindo brechas a serem exploradas por criminosos também. Outro fator é a criatividade do brasileiro. Somos um povo realmente criativo, e os criminosos acabam usando essa criatividade para o lado ruim também. Podemos citar também a questão da língua. Poucos países falam português e o Brasil é o maior país de língua portuguesa. Então, os golpes que hoje muitas vezes são persistentes e avançados (APT – Advanced Persistent Threat) precisam focar e direcionar suas ações para um público alvo. Aí o Brasil acaba sendo um grande foco das ameaças de língua portuguesa”, analisa.
LGPD e Cibersegurança
Quando fazemos qualquer cadastro para comprar um produto na internet, disponibilizamos dados de maneira automática: nome completo, CPF, telefone, e-mail, perfil em rede social e endereço residencial. Esse conjunto de informações vira um banco de dados para que empresas informe aos seus clientes sobre lançamentos e promoções, por exemplo.
Os dados são itens super valiosos usados pela área de inteligência da empresa, para conhecer o perfil dos clientes e direcionar produtos específicos. O mesmo acontece com as informações de investimentos, balancetes financeiros e planejamentos de negócios das empresas e governos. A Lei Geral de Proteção de Dados Pessoais (LGPD) que entra em vigor em 14 de agosto, com as sanções previstas para agosto de 2021, será importante para o avanço de análises sobre cibersegurança.
Para se adaptar à LGPD, empresas terão que contratar profissionais de segurança para proteger dados, fazer relatórios do vazamento de informações, entre outras funções. Qualquer empresa que incluir informações de seus clientes em sua base vai precisar seguir alguns requisitos de proteção dessas informações.
Luiza Sato acredita que o Brasil evoluirá muito nessa questão, assim que a Lei Geral de Proteção de Dados (LGPD) estiver finalmente em vigor e sendo aplicada de forma técnica e rígida pela Autoridade Nacional de Proteção de Dados (ANPD).
“A ANPD deverá, dentre suas várias funções, estabelecer cada vez mais a cultura da proteção de dados no Brasil, que inclui os cuidados com a cibersegurança. Dentro das empresas, uma série de medidas poderão ser tomadas, tais como: agendar treinamentos contínuos de conscientização em segurança cibernética para todos os colaboradores; criar procedimentos para que os colaboradores tirem suas dúvidas e comuniquem incidentes de segurança da informação; criar políticas de proteção de dados; adotar medidas técnicas para a devida proteção de dados, incluindo a proteção por senha, criptografia e backups; garantir que os sistemas sejam sempre atualizados com as últimas versões, são algumas delas” – Luiza Sato
“Alguns setores como defesa e forças da lei, até por segurança estar diretamente ligada ao seu negócio, estão com um nível de maturidade mais avançado. Outras empresas e organizações governamentais estão um pouco atrás. Um grande problema é que muitas vezes o orçamento de segurança cibernética acaba sendo um pedaço do orçamento de tecnologia. Na hora de priorizar os investimentos acaba perdendo força. Mas com a proximidade da chegada da LGPD, estamos vendo uma preocupação maior nesse sentido”, afirma Sandro Süffert.
“O poder público vem editando normas que tratam da segurança cibernética. Dois claros e recentes exemplos são a Lei Geral de Proteção de Dados (LGPD) que entrará em vigor em breve e o Decreto nº 10.222/2020 que aprova a Estratégia Nacional de Segurança Cibernética. Existe, dentre alguns órgãos, muita preocupação com a segurança da informação, como podemos observar com as diversas medidas adotadas pelo Ministério Público do Distrito Federal no sentido de impedir empresas de atuar de forma abusiva no tratamento de dados pessoais, e a Anvisa publicando instruindo seus funcionários a não utilizar determinada plataforma de videoconferência que não continha as devidas medidas de segurança. Entretanto, há ainda o atraso em uma série de medidas, como a operação da ANPD, órgão técnico que agregaria demasiadamente no tratamento do assunto, que hoje só existe no papel”, avalia Luiza Sato.
A LGPD e seus impactos nos negócios foram o tema da matéria de capa da edição 23 da revista EBS. A matéria pode ser conferida na íntegra na versão on-line da revista.
Mudança de cultura
Segundo a pesquisa TIC Domicílios, que apura dados sobre conexão à internet nas residências do país, o número de brasileiros que usam a internet continua crescendo: subiu de 67% para 70% da população, o que equivale a 126,9 milhões de pessoas. 97% usou o celular como dispositivo de acesso à internet. São número que expõe a necessidade de um investimento em cultura de cibesergurança no país para garantir a proteção de usuários e empresas.
“Primeiramente, este tipo de mudança deve começar pelas pessoas, mas as empresas também são parte importante na mudança. Como começar pelas pessoas? Com investimento massivo em desenvolvimento do capital intelectual, formação de mão de obra qualificada e redução da carga tributária em equipamentos que garantam e possuam fortes regras de segurança tecnológica para elas”, opina Hugo Felipe.
Para o especialista, as empresas são parte importante nesse processo e devem, de alguma forma, ser obrigadas pelas instituições governamentais a direcionar parte do investimento, por exemplo, em publicidade, para o tema segurança.
“Atualmente, você encontra empresas de telecomunicações vendendo banda larga mais rápida, ausência de franquia e custo zero na instalação. Porém, você não encontra essas mesmas empresas falando ou tampouco preocupadas com a senha do acesso a sua rede Wi-Fi. Eu já tive em minha residência mais de um tipo de banda larga e, em todas elas, o técnico nunca me informou sobre a importância de se ter uma senha forte tanto para acesso à rede Wi-Fi, quanto para o acesso ao painel do roteador, que distribui internet pela casa e é a principal porta de entrada para os equipamentos que usam internet dos lares”, comenta Hugo Felipe.
“Os indivíduos são o elo mais fraco na cadeia da segurança cibernética, seja por clicarem em links suspeitos, divulgarem de forma inocente dados confidenciais a terceiros e utilizarem dispositivos que não contenham as devidas medidas de segurança. Com o devido entendimento da importância do assunto, uma série de ataques pode ser evitado, mediante a adoção de procedimentos simples, tais como a criação de senhas não óbvias, atualização de sistemas, detecção de atividades suspeitas, dentre outros. Dentre os ensinamentos que a pandemia conseguiu nos passar é o de que a nossa proteção é algo absolutamente necessário. O cuidado com medidas de cibersegurança fará com que os indivíduos não tenham seus dados divulgados, evitando problemas pessoais graves, inclusive de reputação e financeiros, perdas para a empresa em que trabalha (que podem até custar o seu emprego), dentre outros aborrecimentos”, opina Luiza Sato.
“Um cidadão consciente dos riscos que está enfrentando, certamente tomará as decisões e se protegerá de forma mais adequada, em relação a alguém que não conhece nada sobre o assunto. Portanto, tanto quando agir como cidadão ou durante sua atuação profissional, certamente ele estará menos suscetível aos riscos e ataques cibernéticos” – Sandro Süffert.
É preciso investimento constante em equipamentos e pessoas
As ameaças virtuais se multiplicam na mesma medida que os avanços tecnológicos. Por isso, as empresas precisam investir cada vez mais em medidas de cibersegurança para garantir a proteção de dados dos usuários e sistemas.
“Como qualquer outra medida dentro de uma empresa, a segurança cibernética deve começar pelo básico. É preciso verificar se a infraestrutura de tecnologia da informação é segura e contém sistemas atualizados. Na situação de quarentena dos colaboradores, deverá ser solicitado que eles façam o mesmo na utilização de seus dispositivos domésticos. Também é preciso treinar os colaboradores para que adotem procedimentos no sentido de melhorar a segurança da informação. Ainda, é necessário revisar planos de resposta a incidentes de segurança e de continuidade de negócio. Além disso, hoje torna-se indispensável a contratação de advogado que assista a empresa tanto a seguir as normas já aplicáveis, como adaptar as atividades de tratamento de dados pessoais à Lei Geral de Proteção de Dados que entrará em vigor em breve”, lembra Luiza Sato.
De acordo com Hugo Felipe, os investimentos devem acontecer na reciclagem do parque tecnológico, utilizar equipamentos up-to-date com o que há de mais avançado em segurança aliado com software atualizado e buscar implementar novas camadas de segurança bem avaliadas no mercado.
“É importante aprimorar o processo de detecção dos incidentes. Tanto detecção dentro da rede corporativa da empresa, quanto sobre o que acontece do lado de fora, onde a empresa não tem qualquer gerência ou visibilidade. Isso é possível por meio de soluções de Inteligência de Ameaças e Inteligência em Fontes Abertas (Threat Intell e Open Source Intelligence – em inglês). As grandes empresas acabam se protegendo com os meios de proteção convencionais, que são possíveis de serem ultrapassados pelos cibercriminosos. Por isso, torna-se necessário mais investimentos na detecção desses incidentes. Problemas de cibersegurança todos estão suscetíveis a ter. O importante é detectá-los e reagir da forma mais ágil possível”, opina Sandro Süffert.
Hugo Felipe, avalia que o setor financeiro possui um modelo de excelência em se tratando de defesa cibernética, porém há uma discrepância muito grande se comparada a outros setores da economia.
“Os outros setores da economia, ainda estão aprendendo muita coisa e o que mais chama a atenção é que o setor financeiro, sabendo e entendendo dessa dificuldade toda dos demais, ainda faz pouco, não entendendo que, se compartilhar parte do seu aprendizado e das suas ações, fatalmente converterá também em menos prejuízo para eles. Em 2019, a McKinsey, empresa de consultoria empresarial americana, divulgou que 80% das empresas brasileiras ainda estão só começando com o marketing digital e isso nos diz muita coisa, pois isso mostra que muitas empresas ainda não têm ou não dão importância a era digital. Dessa forma, subentende-se que até que essas empresas formem profissionais, criem cultura, entendam a importância no investimento de capital em segurança e consigam adquirir uma couraça de defesa cibernética, veremos discrepância entre os setores”, analisa Hugo Felipe.
“Hoje segurança cibernética deve ser entendida como área meio das empresas, deve permear os processos de negócio e servir de alicerce para as companhias. Assim, os negócios tornam-se duradouros e menos impactados negativamente pelos ataques e golpes virtuais”, comenta Sandro Süffert.
Tendências para a cibersegurança
Em tempos de transformação digital, a cibersergurança precisa ser adotada rapidamente, principalmente diante das novas e crescentes ameaças cibernéticas que surgem na mesma proporção. Saber o que pode ser tendência, é importante para que as empresas possam antecipar e melhor se preparar para o que está por vir.
“Vejo como próximas tendências a maior preocupação com privacidade, ainda mais com a iminência da vigência da LGPD; a responsabilização pessoal de indivíduos que trabalhem com a segurança da informação de uma empresa; o maior número de ataques cibernéticos com o aumento na utilização de ferramentas on-line (como para a condução de reuniões); e o incremento nos cuidados com o planejamento das atividades que envolvam o tráfego de dados on-line”, afirma Luiza Sato.
Hugo Felipe analisa que a tecnologia mudou muito nos últimos 20 anos e hoje podemos contar com grandes provedores de segurança nas nuvens e isso ajudará muito as empresas rumo a transformação digital. “No passado, as organizações faziam um largo investimento no que chamamos de On Premise, que é a alocação física do equipamento em sua estrutura e isso demandava muito tempo. Hoje, temos soluções Cloud (nas nuvens), onde um único profissional pode contratar o serviço por um baixo custo e que varia conforme o uso, torná-lo disponível em instantes, incrementar camadas de segurança, restringir o acesso a um determinado recurso da sua empresa por hierarquia, criar estratégias sob demanda, inclusive por geolocalização, e tudo isso com poucos cliques. Como a concorrência dos serviços nas nuvens são concorridos porque este é o futuro, as empresas Cloud, por padrão, possuem fortes políticas de segurança, políticas essas de gerenciáveis de forma intuitiva e simples. A tendência é que a segurança em si também migre gradualmente para a nuvem, onde há uma elevada gama de soluções sendo aprimoradas e uma delas merece destaque: IA (inteligência artificial). A IA auxiliará fortemente nessa toada que é a segurança”, aposta.
Para Sandro Süffert, da mesma forma que os cibercriminosos criam novos ataques e explorações diariamente, as ferramentas de proteção, detecção e reação evoluem em paralelo para se adequar à nova realidade. “Novas tecnologias e soluções surgem constantemente, mas entendemos que o grande foco para o futuro é a evolução das soluções de detecção, já que incidentes de cibersegurança acontecem em todas as empresas, o que às vezes falta é visibilidade sobre isso. É importante salientar também que hoje existem empresas nacionais investindo nesse tema e já somos referência em algumas soluções”, afirma.
Leia também sobre cibersegurança:
