Os ataques cibernéticos têm se tornado cada vez mais comuns contra as empresas no Brasil e ao redor do mundo. Apesar do perigo iminente, muitas estão despreparadas para enfrentar invasões. Pesquisa recente da Federação das Indústrias do Estado de São Paulo (Fiesp) aponta que 36,2% dos ciberataques são bem-sucedidos. Dentro desse percentual, 74% deixaram as operações indisponíveis. O levantamento aponta ainda que houve tentativa de extorsão com pedido de dinheiro para normalizar os serviços em 68,4% desses casos.
“Os ataques cibernéticos possuem como objetivo principal obter o pagamento de um resgate, diretamente da organização atingida”, alerta Alexander Coelho, advogado especializado em Proteção de Dados e sócio da Godke Advogados.
Ele explica ainda que grupos criminosos especializados em golpes cibernéticos fazem uma diligência prévia na empresa para identificar a sua situação financeira e o respectivo ramo de atuação. “Quanto maior for a organização ou mais sensíveis forem os dados por ela processados, maior tende a ser o pedido de resgate.”
O advogado Luiz Fernando Plastino, especialista em Propriedade Intelectual, Privacidade e Proteção de Dados do escritório Barcellos Tucunduva, ressalta que existem três principais tipos de ataques de acordo com a forma como o agente mal-intencionado busca acesso aos sistemas da vítima. Nessa lista, estão a exploração de vulnerabilidades de softwares (incluindo aqui os vírus e malware), engenharia social (phishing) e atuação de agentes internos, como funcionários infiltrados.
“Às vezes, pode haver mais de uma dessas situações juntas. Por exemplo, um atacante pode contatar e convencer ou extorquir um empregado para lhe dar acesso a um servidor da empresa, combinando engenharia social e agente interno”, detalha Plastino.
Segundo ele, não usar senhas adequadas nem múltiplos fatores de autenticação também facilita um ataque, pois, se alguém descobre essas senhas, fica difícil impedir que essa pessoa tenha acesso ao sistema.
Medidas para neutralizar ataques
Apesar de não existir nenhum sistema de tecnologia completamente seguro, os especialistas explicam que os riscos podem ser reduzidos mediante adoção de medidas e controles de segurança adequados. Para ele, também é um passo importante as empresas se envolverem na construção de um programa de governança em privacidade e resguardo de dados pessoais adequado à Lei Geral de Proteção de Dados Pessoais (LGPD).
Entre as medidas necessárias, estão a manutenção dos sistemas e aplicações sempre atualizados, revisão das configurações de segurança para garantir que não sejam permitidas conexões com endereços externos desconhecidos e implementação de políticas de senhas fortes, além do reforço de práticas de conscientização dentro das organizações.
“As empresas devem realizar, com frequência, testes de penetração e varreduras de vulnerabilidades para identificar pontos fracos da sua operação e implementar as correções necessárias para eliminar, ou ao menos mitigar, os respectivos riscos”, orienta Coelho.
Plastino reforça que é fundamental manter os sistemas atualizados e com antivírus ou anti-malware para evitar a exploração de vulnerabilidades conhecidas. “Também é importante difundir conhecimento sobre as principais formas de engenharia social e criar uma cultura de segurança para que ninguém seja enganado por agentes maliciosos.”
O advogado também sugere que as empresas estabeleçam controles de segurança sem depender da confiança em alguns empregados para garantir o devido funcionamento. “Nesse caso, é necessário estabelecer gestão de credenciais e monitoramento de comportamento anormal de rede”, completa.