Ataques cibernéticos custam mais para as empresas brasileiras

• 0

Um estudo divulgado em julho pela IBM Security e pelo Ponemon Institute mostra que ataques cibernéticos custam, em média, US$ 1,35 milhão por empresa no Brasil, 19% a mais do que no ano passado. Em outro estudo global, a norte-americana mostra que 36,2% dos custos de um vazamento de dados estão ligados à perda de negócios e clientes.

O problema está na estratégia de investimentos das empresas aponta o diretor de cibersegurança da Escola de Negócios do MIT (Instituto de Tecnologia de Massachusetts), Stuart Madnick.

Ele afirma que de 70% a 90% dos ataques virtuais acontecem intencionalmente — quando as empresas não investem em segurança dos dados e mantêm as “portas abertas” para invasão. “Algumas companhias resolvem o crime, mas continuam cometendo os mesmos erros de antes, enquanto outras mudam e se tornam 10 vezes mais seguras”, explica o especialista.

Pesquisador de cibersegurança desde a década de 1970, Madnick está estudando o ecossistema tecnológico do Brasil desde o início deste ano, quando passou a atuar como consultor do conselho de tecnologia do C6 Bank, banco digital lançado em agosto no Brasil. “Quero conhecer a cultura de segurança dos brasileiros”, diz ele.

Leia, a seguir, entrevista feita com ele:

Quais os impactos financeiros e de credibilidade de um ciberataque?

O impacto financeiro direto nas empresas dos EUA é bem grande: US$ 200 milhões, que incluem multa e custos para fazer os computadores funcionarem de novo. Os impactos em credibilidade, por sua vez, não têm resposta certa. Eu posso citar alguns exemplos. Nos EUA, a varejista Target sofreu roubo de dados há cinco anos e foi exposta na TV e nos jornais — o que prejudicou sua reputação. Além disso, o valor da empresa caiu muito na bolsa.

A credibilidade de uma empresa que ninguém conhece, por outro lado, não cai porque ninguém sabe do caso. Se um ciberataque acontecer no processo produtivo de um negócio, a empresa também pode resolver o problema de maneira silenciosa para manter sua reputação.

Acredito que há diferentes maneiras de lidar com o ciberataque. Nos EUA, por exemplo, a Johnson & Johnson teve um problema com o Tylenol, mas resolveu a questão tirando todos os medicamentos das lojas. A companhia, no final, aumentou sua reputação porque resolveu o caso rapidamente, arcando com os próprios custos. Ou seja, dependendo de como uma empresa lida com um ataque virtual, ela pode até ganhar credibilidade, ao invés de perder.

Empresas que já sofreram ataques são mais seguras porque se protegem mais?

As companhias lidam com o ataque de forma diferente. Algumas resolvem o crime, mas  continuam cometendo os mesmos erros de antes, enquanto outras mudam e se tornam 10 vezes mais seguras. Em geral, as empresas de finanças são as que investem mais em segurança porque é lá onde está o dinheiro. Logo, elas são as que mais sofrem ataques também.

Quanto tempo as companhias levam para se recuperar de um ataque virtual?

Não há pesquisa que aponte um tempo para isso. A Samsung vendeu uma Smart TV ligada à internet em 2012 que poderia ser facilmente atacada, mas as vendas não foram reduzidas. As pessoas não ligam muito para segurança e não pensam na vulnerabilidade do produto.

Minha sensação é que os ciberataques não são consequências preocupantes porque a média de pessoas que sofre crime é muito pequena. Ainda não vivenciamos um cyber Pearl Harbor ou um cyber 11 de setembro. Quando isso acontecer, as coisas vão mudar.

Em seu artigo, você diz que as reações de empresas dos segmentos de indústria, tecnologia e saúde aos ciberataques não são significativos. Por quê?

A indústria é um dos setores que está mais vulnerável a ataques porque os profissionais não acham que os computadores são o core do negócio. O setor de saúde também. Com o aumento de crime, a atenção cresce. Na Inglaterra, por exemplo, um hospital deixou de funcionar quando os computadores pararam de funcionar. As pessoas só focam em ciberataques depois que sofrem a invasão. As cidades estão sendo atacadas e, como os governos prestam pouca atenção nisso, estão sofrendo muito.

5- Os riscos para um ciberataque diferem de um país para outro?

Sim. Alguns países mais pobres sofrem menos porque não são o alvo dos criminosos. Nos ricos, há mais risco porque o interesse é maior. Há diferentes níveis de ataque durante um crime. Às vezes, um país não é o foco da invasão, mas serve para testes e para um hacker conhecer a tecnologia. A Ucrânia, a título de comparação, é utilizada para testes de armas.

Existe diferença, em termos de riscos, de uma empresa pequena de uma grande?

As empresas pequenas são mais vulneráveis, mas são as menos invadidas porque não são interessantes para os hackers. Elas geralmente têm poucas pessoas e poucos dados. Em contrapartida, os ataques vão mais para as grandes companhias e ocorrem também pelas portas fundos. Ou seja, pelos fornecedores que possuem os dados dessas organizações, em um caso chamado the supply chain risk (o risco da cadeia de negócio). Isso acontece bastante e, neste caso, afeta as pequenas empresas.

As startups estão em uma situação desvantajosa de risco porque possuem os mesmos problemas das pequenas empresas, como falta de recursos financeiros para investimento em segurança, mas têm rapidez para produzir soluções. Em resumo, elas acabam sendo muito atrativas para os criminosos.

O progresso tecnológico favorece a prática de crimes cibernéticos? Como podemos nos proteger?

As pessoas boas estão ficando mais experientes em tecnologia, no entanto, as ruins também estão ganhando prática. Ou seja, os ataques estão avançando na mesma proporção que a segurança. E para piorar, os profissionais geralmente compartilham suas estratégias de proteção na internet —  o que os criminosos não fazem. Os hackers não ficam sozinhos em frente ao computador. Eles atuam dentro de uma organização global. Por isso, o número de ataques está crescendo ano a ano.

Pesquisas apontam que de 70% a 90% dos ataques acontecem intencionalmente — como quando uma pessoa deixa a casa aberta e é assaltada. As empresas estão deixando a porta aberta mais do que o normal. Minha pesquisa mostra que atualizar a cultura organizacional é a mudança mais vantajosa aos negócios. Organizar um evento de 30 minutos sobre segurança não é suficiente. Não é mudar os computadores. É fazer a equipe pensar diferente.