Ataques cibernéticos? O que é e como se proteger dessa ameaça

Vivemos a era da transformação digital, e diariamente, vemos uma série de notícias sobre empresas que estão sendo invadidas por crackers.

Falando em crackers, você sabe o que isso significa? Os crackers são um tipo de hacker, que utiliza técnicas de engenharia social, para invasões de dados ilícitas. A cada dia essas técnicas são aperfeiçoadas para as ações de violação. 

Mas como as empresas podem se proteger de tamanha exposição? Como se tornar uma empresa segura e trabalhar com a certeza de que os dados não serão expostos? Como podemos garantir a continuidade do negócio, sem a insegurança de ser invadido a qualquer momento? 

São muitas perguntas em aberto, e de fato não é possível ainda responder à todas elas. Mas existem maneiras de minimizar os dados e proteger-se. 

Acompanhe esse artigo para conhecer algumas formas de proteção.

Seguro cibernético pelo mundo e no Brasil

Como disse anteriormente, nem tudo está perdido. Existe uma forma de reduzir os prejuízos em caso de invasões. A melhor e mais eficiente maneira é através do seguro cibernético.

O seguro cibernético existe desde 1997 nos EUA, quando então foi criado por um corretor de seguros chamado Steven Haase - CEO da Insuretrust em Atlanta. Steven sentiu a necessidade de proteger as empresas de tecnologia, e para isso, procurou entre mais de trinta seguradoras até encontrar a AIG, que se propôs a criar este tipo de seguro, tão específico para a época. 

No Brasil, o essa modalidade de seguro chegou em 2012, oriundo da mesma seguradora pioneira.

Atualmente, algumas companhias tem o seguro cibernético no rol de seus serviços, mas ao mesmo tempo, são pouquíssimos os profissionais especialistas nesta área. 

Os americanos estão no topo do número de apólices de seguros, em comparação com o restante do mundo, totalizando cerca de 90% do mercado.

Engenharias sociais utilizadas nos ataques cibernéticos

A utilização de métodos de engenharia social é muito comum nos ataques cibernéticos. Podemos identificar facilmente através de casos reais, que ocorreram com empresas mundialmente conhecidas, como o e-commerce Netshoes, o gigante Google, Facebook, a empresa financeira Banco Inter, entre outras. Todas elas já sofreram ataques cibernéticos, e tiveram como consequência, multas exorbitantes.

A partir de agosto de 2020, essas multas passarão a ser de no mínimo 2% sobre o faturamento, podendo chegar até R$ 50 milhões.

Conhecendo as engenharias sociais:

Conheça agora alguns tipos de engenharias sociais e seus respectivos ataques cibernéticos.

• Baiting: Utilizado como "isca". O hacker deixa um dispositivo infectado com malware, que pode ser através de um pen drive ou um CD, para que o indivíduo curioso verifique o conteúdo e infecte o computador.

• Phishing, Vishing, Smishing: Chegam através de fontes confiáveis de e-mail, telefone, mensagem no Facebook ou Pop-Up. São comunicações fraudulentas que a vítima pensa ser legítima.

• Spear Phishing: É um Phishing mais sofisticado, pois personaliza sua abordagem, com foco em vítimas específicas para o golpe. O hacker filtra um público selecionado. 

• Pretexting: Os hackers criam situações falsas, fingindo ser uma pessoa de confiança da vítima, para coagi-la a obter acesso a informações e sistemas críticos. Utilizam nessa engenharia, também o Phishing e Vishing como estratégia.

• Scareware: É uma técnica utilizada para deixar a vítima pensando que o seu computador está infectado por um vírus. Ele sugere um "download" e que pague por um software antivírus para removê-lo.

• Watering Hole Attack: O hacker invade uma empresa específica. Para isso, usa como estratégia de invasão, infectar com malware os sites utilizados pela empresa. Seu objetivo principal é atingir o computador de um funcionário alvo, para obter o acesso à rede no local de trabalho dessa pessoa.

• Quid Pro Quo: O hacker oferece algo à vítima em troca das informações sensíveis. Pode ser através de uma ligação ou e-mail. O hacker se passa por um funcionário que está com dificuldades de acesso. Quando recebe os códigos de acesso possibilita que desabilite programas vitais e instale malwares.

• Honey Trap/Honey Pot: A vítima é atraída a se envolver em uma relação amorosa, mas acaba sendo chantageada ou difamada.

• Tailgating/Piggybacking: Trata-se de uma técnica física, utilizada para chegar em locais seguros e realizar a obtenção de ativos valiosos e informações confidenciais.

Analisando essas engenharias, podemos observar o quanto as empresas encontram-se vulneráveis hoje em dia, pois independentemente dos crackers, algum funcionário ingênuo quanto ao tema, pode cair em alguma dessas armadilhas. 

Outro fator importante é que como seres humanos, todos somos passíveis a erros, e muitas vezes, a empresa só toma conhecimento, após meses de já ter sido infectado, ou seja, o ataque cibernético já se encontra dentro da empresa, e está literalmente espionando os dados do seu negócio.

Uma análise sobre os custos com segurança cibernética

Pensando nos riscos que sua empresa pode estar exposta, você saberia mensurar qual poderia ser o prejuízo caso ocorresse um ataque cibernético que prejudicasse ou causasse danos a imagem do seu negócio?

Os custos com segurança cibernética no Brasil, no ano de 2017 foi de aproximadamente 4,72 milhões de reais. Estima-se que este custo chegará em 6 trilhões em 2020! 

Se pararmos para avaliar onde estão os maiores índices de prejuízo dentro das empresas após um ataque cibernético, podemos notar que 30% está concentrado nos danos à reputação e marca da empresa. 

Observe o quadro abaixo:

Observando esse cenário, podemos refletir que mesmo com toda a segurança cibernética e estando adequado a LGPD, ainda não conseguimos evitar um ataque cibernético. Estamos aptos às consequências e prejuízos financeiros que possam levar a empresa, muitas vezes com danos irreparáveis.

Segundo dados publicados na Revista istoé Dinheiro, o Brasil lidera a lista de países com mais corporações (66,7%) que pretendem aumentar o número de funcionários e consultores para a proteção de ambientes virtuais, segundo outro estudo, o Cyberthreat Defense Report 2019, feito com 1.200 profissionais de segurança em TI de 17 países. Bem à frente do segundo colocado, o Japão (46,7%). 

No campo dos seguros cibernéticos, porém, ocorre o oposto. Nos Estados Unidos, há pelo menos 75 seguradoras trabalhando produtos segmentados – isso se forem consideradas apenas as que têm prêmios a partir de US$ 1 milhão. No Brasil há somente sete marcas atuando no segmento de soluções para ataques virtuais.

Seguro para proteção digital e cibernética

Através de uma apólice de seguros, a empresa consegue cobrir as multas e regulatórios da GDPR, da LGPD, além de responsabilidade civil na mídia e internet. 

O seguro também oferece coberturas que reembolsam os custos com violação da privacidade, lucros cessantes pelos danos causados para a reputação e também os danos ao sistema que pode ser violado, além de pagamento por extorsão, que poderá ocorrer através de um ataque de um hacker. 

Veja na figura abaixo como funciona o processo de um ataque cibernético:

Através do seguro cibernético, a empresa tem uma solução financeira para reduzir seus prejuízos, podendo minimizar o risco em caso de ataque cibernético.

Levante a mão aquela empresa que hoje em dia não depende da tecnologia para gerenciar seus negócios e informações. Muito raro! Portanto, estamos todos no mesmo barco.

Bônus: Boas práticas para sua empresa

Uma série de boas práticas podem ser levadas em conta no dia a dia da empresa, numa tentativa de prevenção contra os danos causados por ataques cibernéticos. Confira algumas que separei pra você:

• Antes que seja tarde, tenha uma rotina de controle preventivo. Pode parecer que isso seja um custo a mais, mas na verdade custam menos para a empresa no caso de um ataque;

• Faça backups na nuvem de sua preferência. No caso de um ataque, sua empresa pode facilmente recuperar os arquivos mais importantes;

• Procure ter os dados de sua empresa de forma segmentada, oferecendo acesso apenas às pessoas específicas daquele segmento. Seja rígido e controle esses acessos para evitar prejuízos no futuro em caso de ataque cibernético.

• Educação acima de tudo! Vale a pena treinar e educar os seus funcionários para que atuem de forma segura nos ambientes virtuais e sigam as regras de utilização das tecnologias.

Fique atento, pois pretendo escrever mais artigos falando sobre os ataques cibernéticos e trazendo ainda mais curiosidades pra você nessa área. 

Minha ideia é compartilhar o conhecimento que venho adquirindo ao longo dos anos, para que você entenda de uma vez por todas a necessidade de garantir a segurança da sua startup ou empresa, para que não venham a sofrer com um ataque cibernético. 

Um abraço e até o próximo artigo!

Dionice de Almeida | CEO NV Seguros Digitais