Ameaças cibernéticas ganham cada dia mais as páginas de jornais, discussões em redes sociais e até mesmo rodas de conversas. O que é um ransomware? Estamos seguros no mundo cibernético? Qual é o nível de segurança dos meus dispositivos? As dúvidas se estendem ao mundo corporativo e deixam o board em alerta.
Estudo recente da EY (Ernst & Young) mostra que empresas brasileiras ainda estão perigosamente expostas a riscos cibernéticos. Prova disso foram os dois mega ataques globais dos últimos meses, protagonizados por WannaCry e Petya, que também chegaram por aqui. Dois exemplos de organizações atingidas foram o TJ-SP e o Hospital do Câncer de Barretos, que tiveram atividades interrompidas. Mas quais os principais empecilhos para de fato as instituições serem efetivas em segurança da informação?
Segundo a pesquisa, que ouviu mais de 1,7 mil executivos “c-levels”, restrições orçamentárias são desafio para mais de 70% dos líderes das áreas de segurança da informação e TI em todo o mundo, incluindo o Brasil. O relatório mostra também que mais da metade das empresas brasileiras não possui um programa de inteligência ou alguma proteção informal contra ameaças cibernéticas.
Rene Martinez, sócio-líder da área de Riscos da EY, comenta que o nível de prontidão das companhias brasileiras claramente é muito baixo, mas que essa questão de sequestro de dados e informações em ambientes de negócios vem de muito tempo. “A diferença é que não tinha tanta divulgação. Temos uma cultura de ação por consequência”, afirma, em entrevista ao IT Forum 365.
Esses incidentes, aliados a outras formas de conscientização protagonizadas por consultorias como a EY, têm intensificado o interesse das organizações em relação à segurança. Essa é a percepção de Martinez, que prevê impactos na próxima edição do estudo. “Com base nesses resultados, vai ser bem interessante rodar a próxima pesquisa. Gostamos muito da forma como as respostas do Brasil vieram. Transparentes e interessantes. Essa falta de prontidão e os investimentos menores em relação a mercados mais maduros tornam o Brasil mais vulnerável.”
O fato é que as equipes de TI já estão de sobreaviso. Mas agora a preocupação está avançando para um outro nível. Martinez conta que a EY coordena um programa trimestral de encontro de boards independentes, com membros do conselho companhias abertas, de grandes empresas familiares, instituições financeiras etc. A dinâmica do encontro conta traz tema proposto pela EY para “provocar” os participantes com determinado tema. Na última edição, há cerca de um mês, o assunto proposto foi robotização.
“O interessante é que a conversa foi toda para segurança. Eles entendem que robôs vão garantir agilidade, mas e a segurança? Esse tema tomou 70% da reunião. A proposta era de agilidade de operação e eles vieram com abordagem de segurança”, diz Martinez.
A pesquisa mostra que restrições orçamentárias são empecilhos comuns para os executivos do setor, mas Martinez cita um desafio externo particular do Brasil: a complexidade. “Por mais que tenha sistemas maduros, a mudança de negócios em função de atendimento local gera novidades mesmo em ambientes com sistemas maduros, que é onde acontecem as brechas“, detalha.
Ou seja, a empresa pode ter um sistema formatado para determinada linha, mas de repente precisa implementar uma nota fiscal paulista, ou a eletrônica. “É um outro ambiente. Que tipo de segurança deve tomar?”
“Aí vem outra mudança tributária, que acontece com frequência no Brasil. Como você consegue adequar esse dinamismo de negócio? Nosso nível de complexidade é muito maior do que em países maduros”.
Mas afinal, o que foi o Petya, ou NotPetya? Claudio Silotto, diretor de cibersegurança da EY, explica que esta ação também foi ataque global que se fez passar por um ranswomware tradicional. No entanto, após análise mais detalhada, pesquisadores entenderam que o objetivo dele era diferente.
“Não era ter um benefício financeiro, como o WannaCry tinha, mas sim atacar alguns alvos, sem um modelo bem maduro para pedir esse resgate. Não era uma maneira amigável para o usuário fazer o pagamento, não tinha mecanismos bem montados para esse resgate. O objetivo era muito mais destrutivo do que resgate”, explica Silotto.
O fato, segundo Silotto, mostra a variedade de estratégias dos atacantes. “Começamos a ver cada vez mais ataques sofisticados e completos, que usam novos mecanismos, como inteligência artificial.”
Para o especialista, o ideal é se preocupar com três pontos. Melhorar a percepção, adequar defesas e defender de maneira rápida e assertiva.
Mas eis a questão do ransomware: pagar ou não pagar o resgate dos dados? A recomendação de Silotto é não pagar. “Você não tem garantia nenhuma de que irá receber”, finaliza.
