Crime cibernético

As empresas não estão preparadas

A falta de conhecimento está alimentando a onda de crimes cibernéticos, mas existem medidas pragmáticas que as organizações podem tomar.

Escondida em um edifício de escritórios no centro de Londres, encontra-se uma sala dedicada a encontrar falhas nas defesas cibernéticas das organizações.  Existem muitas salas como essa. Mas apenas algumas são operadas por pessoas boas.

Na parede, uma grande tela ilustra os principais vírus de computador e onde no mundo eles estão causando estragos. Outra dá uma visão da dark web  - o reino oculto da internet que a maioria das pessoas nem mesmo sabem que existe - e exibe mensagens de uma sala de bate-papo onde hackers anônimos se reúnem para se vangloriar de seus ataques.

Instalações como essa são cada vez mais importantes, porque as apostas são muito altas.  No hackeamento da Sony PlayStation de 2011,[1] cerca de 77 milhões de contas de usuários foram comprometidas No entanto, até mesmo esse ocorrido foi ofuscado por um ao Yahoo[2] que perdeu dados pessoais de 500 milhões de pessoas em 2014 - um fato que só foi divulgado em setembro de 2016.
Esses grandes números podem, por vezes, não ter um significado, mas na dark web, endereços de e-mail e senhas são muito valorizados.  Pessoas reutilizam senhas para diversas contas, incluindo serviços bancários on-line. E enquanto a tecnologia blockchain pode um dia achar uma solução, o roubo de Bitcoin[3] no valor de $ 72 milhões de uma bolsa de Hong Kong em agosto 2016 demonstra que ela ainda não é infalível.

Na verdade, a moeda é a preferência de pagamento padrão para extorsão cibernética.  É um problema que está atualmente disseminado na região da ASEAN e da América Latina com serviços financeiros particularmente afetados.  Os resultados vêm do último Relatório Empresarial Internacional da Grant Thornton, uma pesquisa trimestral de 2.500 líderes empresariais em 37 economias em todo o mundo.

Perda de reputação

O que também é visível no Relatório é que a ameaça cibernética já não se limita a adolescentes operando a partir de seus quartos.  O custo total de ataques cibernéticos para as empresas ao longo dos últimos 12 meses é estimado em US $ 279 bilhões,[4] um aumento de 6% nos últimos 12 meses - é uma enorme indústria global.

Uma estatística preocupante é que a perda financeira não é nem mesmo o maior problema.  A perda de reputação, a quantidade de tempo de gestão que consome, a consequente perda de clientes e os custos para implantar defesas melhores no local são classificados como mais importante do que a perda direta do faturamento.

O diretor do FBI, James Comey, destacou a extensão do problema em 2014, declarando ao 60 Minutes[5] “Há dois tipos de grandes empresas nos Estados Unidos. Há aquelas que foram hackeadas e aquelas que não sabem que foram hackeadas.“  
O foco de Comey era em pirataria patrocinada pelo Estado, explicando que alguns países são “extremamente agressivos e generalizados” em seus esforços para invadir sistemas para roubar informações de que beneficiariam suas indústrias e seu crescimento econômico.

A mensagem é clara - se você administra uma empresa dinâmica, ser obsessivamente preocupado com a segurança não é um sinal de paranoia.  Alguém, em algum lugar, quer pegar você. Há ‘hacktivistas’ perseguindo o que eles veem como uma agenda ética, hackers que trabalham para o crime organizado, hackers e terroristas patrocinados pelo Estado.  É apenas uma questão de tempo até que a sua organização se torne um alvo - se não já é.

Resistência realista

Como as organizações começam a combater tais ameaças?  O objetivo fundamental é alcançar a resistência realista, que é onde a sala cibernética de Londres entra. O principal testador de invasão da Grant Thornton do Reino Unido, Nick Smith, é o que se chama de hacker ético - um especialista em computador e rede que tenta sistematicamente invadir um sistema de computador ou rede em nome de seus proprietários para encontrar vulnerabilidades na segurança que um hacker mal-intencionado poderia explorar.

Smith diz:  “O nosso trabalho não é tornar a sua rede inacessível - isso é simplesmente impossível.  Nós temos habilidades, mas não temos um grupo muito grande de pessoas e milhões de dólares para gastar, e é contra isso que você está lidando, às vezes.  Sempre haverá pessoas com novos métodos para atacar as organizações também “Vamos partir para a ofensiva para encontrar todos os defeitos e falhas que podemos.  E então vamos escrever um relatório e oferecer recomendações sobre como ficar o mais seguro possível.  As organizações precisam de uma resposta pragmática à ameaça.

“A prevenção é muito melhor do que lidar com os efeitos de um ataque cibernético.  Você prefere gastar tempo em suas defesas cibernéticas ou em negociações tensas com chantagistas?“

Erro humano

Comey destacou a dimensão do desafio quando disse ao 60 Minutes:  “A internet é como o estacionamento mais perigoso imaginável.  Se você estivesse atravessando ela tarde da noite, todo o seu senso de perigo seria aumentado.  Você saberia onde estaria indo.  Você andaria rapidamente.  Você iria procurar um lugar claro.  Mas as pessoas estão andando nesse famoso estacionamento durante todo o dia, sem se dar conta de quais anexos eles estão abrindo, os sites que eles estão visitando.  E isso torna as coisas mais fáceis para os caras maus.”
A metáfora de Comey é apoiada por uma pesquisa.  O Relatório de Índice de Inteligência de Segurança Cibernética da IBM de 2014[6] observou que o erro humano está envolvido em 95% dos incidentes de segurança.  É uma falta de previsão que foi destacada em um experimento recente realizado pela Grant Thornton Ireland. Para chamar a atenção, ele fez com que um determinado número de cartões de memória fosse descartado em torno de Dublin.  Dentro de minutos, os cartões tinham sido pegos e estavam sendo usados por funcionários desavisados.

A facilidade com que um hacker mal-intencionado poderia ter acesso a uma rede desta forma é algo que Manu Sharma, chefe de cibersegurança e resistência da Grant Thornton UK, está bem familiarizado.  Ele diz:  “Estamos desenvolvendo um centro avançado de segurança.  A partir desta sala, realizamos exercícios de testes de vulnerabilidade em nossos clientes. Nós também simulamos diferentes cenários com o cliente e mostramos a eles o que poderia acontecer em um ataque cibernético.  
“Nem todo mundo percebe o quão facilmente os dispositivos móveis e redes podem ser comprometidos e os riscos são enormes.  Isso não é mais um problema somente dos Chefes de Tecnologia.”
A cibersegurança precisa estar na agenda de todo os gerentes e precisa ser abordada por toda a empresa.  Quanto mais as empresas postergam em dar uma resposta, mais a ameaça cresce.  As organizações precisam agir agora.

Para saber mais sobre como criar uma ciber-resistência para o seu negócio, Clique aqui.

 

[4]O Relatório Comercial Internacional da Grant Thornton, publicado em 1992, inicialmente em nove países europeus, agora fornece informações a respeito das visões e expectativas de mais de 10.000 empresas por ano em 37 economias. Os custos cibernéticos são calculados usando números IBR e dados do PIB do Banco mundial, além de estimativas de receitas de negócios mundiais.

 

Receba nossas informações: