Brasil precisa amadurecer quando o assunto é ciberataque

cibernéticos

Ao menos 150 países foram afetados pelo mega-ciberataque que se iniciou na última sexta-feira (12) e deixou 200 mil vítimas, principalmente empresas. A ação, que se espalhou por meio de uma falha do Windows, é resultado de um vírus “ransomware” e exige resgate para desbloquear o acesso a arquivos e o retorno do funcionamento do sistema operacional.

cyber
Aviso surge na tela dos computadores afetados. Hackers pedem US$ 300 em bitcoins para restaurar arquivos e recuperar sistema

Os hackers pedem US$ 300 (cerca de R$ 950) em bitcoins por computador para que os internautas tenham seus dados de volta, com pagamento a ser feito até uma data limite. Mas o site NoMoreRansom, que combate esse tipo de vírus, alega que o retorno do funcionamento não é garantido e desaconselha o pagamento de resgate.

Empresas e serviços afetados

A Telefónica, na Espanha, teve a rede interna hackeada e os funcionários foram orientados a desligar seus computadores. Os sistemas da seguradora espanhola Mapfre e do banco BBVA foram igualmente afetados.

No Reino Unido, ao menos 16 hospitais públicos enfrentaram problemas após um ataque análogo contra seus sistemas de tecnologia. O bloqueio de computadores impediu o acesso a prontuários e provocou o redirecionamento de ambulâncias.

O Brasil também não escapou. Dentre as companhias afetadas estão a sede brasileira da Telefônica/Vivo, em São Paulo, além do Tribunal de Justiça de São Paulo, o Tribunal Regional do Trabalho de São Paulo e o Ministério Público do Estado de São Paulo.

Há relatos de ataques cibernéticos ainda na Rússia, no Japão, na Turquia, nas Filipinas e na Alemanha.

Vírus pode se espalhar ainda mais

Embora a variante de ransomware tenha sido inofensiva em alguns casos, a equipe de cyber security e investigações da Kroll alerta que uma pequena alteração no código do malware poderia reativá-lo. Assim, é importante reduzir o risco preparando-se para futuros ataques inevitáveis semelhantes. Especialmente pequenas e médias empresas, que por não possuir muitos recursos em TI, estão particularmente vulneráveis. Uma vez na rede, o malware tem a capacidade de se espalhar rapidamente.  Diante disso, algumas dicas práticas devem ser lembradas.

  • Pode haver circunstâncias específicas que exigem o uso de versões antigas de sistemas operacionais, mas agora é a hora de revisitar o tópico;
  • Permitir que ocorram atualizações de sistema é uma defesa importante contra o ransomware WannaCry. Como indicador da gravidade da ameaça, a Microsoft lançou até mesmo uma revisão de segurança para o antigo sistema Windows XP, por exemplo;
  • Organizações que não têm planos de backup e recuperação bem planejados também estão vulneráveis. A gerência deve estar atenta para garantir que todos os arquivos importantes sejam copiados de maneira a impedir que um ransomware ataque os arquivos primários e os backups.

Novo ataque cibernético

Vinculado ao vírus Wannacry, o novo ataque cibernético mundial aconteceu ontem (17) e afetou milhares de computadores. Os especialistas ainda desconhecem o alcance do chamado Adylkuzz, também utilizado para roubar moedas virtuais (bitcoins), mas alegam que pode ter sido maior que o WannaCry.

Conhecer e gerenciar riscos

O tema da segurança cibernética está no topo das questões que irão determinar a reputação e o valor financeiro das empresas ao redor do mundo. É o que aponta uma pesquisa patrocinada pela empresa global de consultoria FTI Consulting e feita pela Economist Intelligence Unit, mostrando que ataques cibernéticos representam um grande fator de risco e são responsáveis de forma mais significativa por crises corporativas.

De acordo com 53% dos executivos entrevistados, os ciberataques tiveram o maior impacto na reputação de suas empresas em 2016, e 36% disseram que nos próximos três anos os riscos cibernéticos terão mais influência nas crises corporativas do que as reformas políticas, desigualdade social ou manifestações.

Com um crescente número de ameaças, conhecer e gerenciar bem os riscos de segurança cibernética é uma das grandes preocupações dos líderes de empresas. “Gerenciar uma crise por causa de ataques cibernéticos está se tornando um dos maiores desafios enfrentados por governos e pelo setor privado, ao lado de esforços crescentes que estão sendo desempenhados para proteger dados, ativos e marcas”, afirma Cynthia Catlett, diretora-gerente na área de Prática de Investigações e Riscos Globais da FTI.

Embora a área de compliance seja importante para mapear os riscos aos quais a empresa está exposta, ela não é suficiente. “Conformidade não é sinônimo de segurança na área de TI. Especialistas em segurança da informação precisam também saber falar a linguagem dos negócios para passar as informações relevantes para a alta gestão”, diz.

Para a especialista, o nível de maturidade das empresas brasileiras para essa questão ainda é pouco avançado. “O Brasil está dando seus primeiros passos com relação à segurança das comunicações de companhias, tanto públicas como privadas. O Centro de Defesa Cibernética — previsto na Estratégia Nacional de Defesa e criado no âmbito do Ministério da Defesa em 2010 – continua afetado pela falta de recursos financeiros. Temos uma vulnerabilidade que é evidente”, afirma.

Incluir o assunto da segurança da informação na agenda dos conselhos de administração também é um desafio. De acordo com o levantamento, os executivos apontaram para a necessidade do conselho desempenhar um papel maior. “O que muitos empresários querem ver hoje é que membros do conselho se responsabilizem e assumam um papel de liderança ao tratar dessa questão. Para isso, os conselheiros devem identificar a relevância da segurança da informação para o seu negócio para que se possa discutir esse tema e tomar as medidas necessárias para combater os ataques e criar soluções fortes para a ameaça virtual”, ressalta.

Segundo Cynthia, a segurança cibernética não é apenas sinônimo de ameaça, mas também de oportunidade. Torna-se cada vez mais relevante por estar inserida em discussões sobre sistemas, políticas e táticas. “Executivos de grandes empresas globais reportam que este é o maior risco no mundo corporativo hoje. Existe assim uma grande oportunidade para se investir em infraestrutura e talento na área de TI e segurança cibernética, para continuar estimulando discussões e aumentar a cooperação entre governos, empresas do setor privado e instituições acadêmicas que apoiem e desenvolvam a futura geração de experts em segurança cibernética”, destaca.

Enquanto isso, no Brasil…

Os incidentes cibernéticos cresceram 38% no mundo e no Brasil subiram 274%, de acordo com o Centro de Pesquisa e Desenvolvimento em Telecomunicações (CPqD). Um estudo da mesma instituição aponta que 6,6% de todos os crimes cibernéticos financeiros no mundo acontecem aqui e que o Brasil ocupa a oitava posição dentre os países com maior atividade maliciosa no mundo, além de ser o quinto país com maior tráfego de e-mails maliciosos.

Entretanto, apenas três em cada dez empresas brasileiras reconhecem ameaças cibernéticas como algo que possam impactar suas atividades. Um reflexo desse comportamento pode ser observado no mercado de seguros. De acordo com a Ernest&Young, as empresas compram seguro para proteger seus ativos, no entanto contabilizando apenas 30% dos ativos que são tangíveis, mas deixam 70% que são intangíveis ao risco.

Especialista em risco cibernético da JLT Brasil, Marta Helena Schuh lembra que as empresas estão acostumadas a proteger seus ativos físicos com apólices de seguro, mas na era na qual vivemos os ativos digitais são tão valiosos quanto. “O seguro de riscos cibernéticos é uma ferramenta para auxiliar as empresas com perdas indiretas decorrentes de ataques como o de hoje. Quando um evento como esse ocorre o seguro vem justamente ampará-los para mitigar ao máximo as perdas recorrentes destes eventos – sejam em pagamento do resgate, as perdas de receita, dano à reputação ou até mesmo em restauração de dados”, declara.

O ciberataque demonstra que todos os setores podem sofrer impactos diante de um evento. “Numa era de hiperconectividade, toda e qualquer indústria possui exposição ao risco diante da utilização de tecnologia em suas operações e que podem resultar na paralisação de suas atividades”, afirma Marta. “Os impactos de um ataque estão muito além de uma perda financeira, consequente da transferência de valores (como neste caso, os valores de regaste de ramsomware). Uma cadeia de perdas precisa ser considerada – desde a perda de receita pela interrupção de serviços prestados, custos de consultoria de investigação forense, possíveis danos causados a terceiros que envolvem custos jurídicos e indenizações; impacto sobre a imagem e reputação da empresa e até mesmo a queda no valor da ação caso a empresa possua capital aberto.”

Gustavo Galrão, superintendente de Financial Lines& Liability da Argo Seguros e membro da Comissão de Linhas Financeiras da Federação Nacional de Seguros Gerais (Fenseg), reitera que entre os motivos mais relevantes para o Brasil estar nesta realidade no Brasil estão a baixa conscientização sobre a importância do gerenciamento de riscos, a baixa conhecimento dos produtos de seguros disponíveis e a baixa cultura do brasileiro em relação à proteção e transferência de risco através da contratação de seguros.

Ele lembra ainda que a FenSeg, em conjunto com as seguradoras membros, monitoram e tomam ações em prol do desenvolvimento do mercado segurador como um todo. “O tema relacionado a riscos cibernéticos é frequentemente discutido em comissões, grupos de trabalho e em eventos patrocinados pela instituição. A recente notícia do ciberataque só confirma a já antiga preocupação e nos mantém motivados a continuar a jornada de disseminação de conhecimento e desenvolvimento deste importante mercado no Brasil.”

Falta de obrigatoriedade

Embora os ataques cibernéticos a empresas brasileiras tenham ganhado destaque na imprensa e mais relevância aos olhos dos gestores das empresas de diversos setores, a busca por ações de gerenciamento de riscos e, por consequência, de seguros, ainda é pequena em comparação a mercados mais robustos, como o dos Estados Unidos, por exemplo.

De acordo com a segunda edição do Benchmark de Gestão de Riscos da Marsh, somente 27% das empresas latino-americanas tem programas de cibersegurança em operação. Na maioria delas (32%), esse processo ainda está se desenvolvendo, ou seja, ainda há um longo caminho a ser percorrido.

Um dos fatores que pode explicar essa incipiência é a falta de obrigatoriedade das empresas brasileiras em reportar ataques às autoridades do país. “No exterior, quando há um processo semelhante, a empresa precisa comunicar a invasão, por aqui, não temos essa obrigação. Por isso, é necessário levar em consideração que a falta de uma lei de proteção aos dados pode criar um vácuo de exposição a essas organizações, independente do segmento de atuação”, declara Carlos Santiago, líder da Prática de Gestão de Riscos da Marsh.

No entanto, esse processo não é tão simples. É necessário quantificar o tamanho dos danos em que a organização está exposta, para, assim, conseguir desenvolver ações eficazes para mitigar um risco que tem um potencial de prejuízos incalculável. Esse assunto envolve gestão de informação, de senhas, papéis, procedimentos, backup de dados. “São coisas muito importantes, que não podem ficar em risco. As empresas precisam mapear essas ameaças, entender o que pode acontecer e quais impactos pode ter para, assim, traçar uma prevenção ou solução”, diz ele.

“O processo de contratação de um seguro tem um processo longo, por isso ainda não conseguimos mensurar um aumento, mas é possível afirmar que desde o incidente, não temos feito mais nada além de fazer contatos e reuniões com clientes interessados em mitigar os seus riscos cibernéticos. De certa forma, a procura tem aumentado, incluindo algumas negociações que começaram antes do ataque e tem se concretizado nesta semana.”

Novos produtos

Dois novos produtos voltados aos riscos cibernéticos devem chegar ao Brasil ainda este ano. O primeiro deles será apresentado em junho pela thinkseg, que firmou uma parceria com um player global. O segundo, com previsão de lançamento para agosto, será desenvolvido pela Allianz.

Com informações do G1 e do Estadão

L.S.
Revista Apólice

One Comment - Escreva um comentário

Adicionar novo comentário

 

NEWSLETTER