O Brasil vem ganhando cada vez mais posições no ranking mundial de sequestro digital – uma modalidade de ataque que criptografa os dados de computadores, servidores ou dispositivos, tornando-os acessíveis somente após o pagamento de um “resgate”.

De acordo com um levantamento apurado pela companhia de auditoria e consultoria BDO Brazil, a cibersegurança ocupa cada vez mais a agenda de prioridades dos executivos – 80% das corporações ampliaram em 22% o orçamento destinado a ações envolvendo segurança cibernética. Houve ainda um salto de 45% para 63% na elaboração de planos de resposta em relação aos crimes de violação digital.

Toni Hebert, diretor de Risk Advisory Service/IT da BDO Brazil, conversou com AméricaEconomia e desenhou o cenário de cibersegurança no país. Para o executivo, o Brasil ainda está engatinhando em certas questões – tanto por falta de legislação quanto pela pouca iniciativa das empresas, uma vez que não existe uma obrigatoriedade em apresentar um plano de segurança de dados e declarar quando são atacadas.

AméricaEconomia – O Brasil vem ganhando posições no ranking mundial do sequestro digital. O que torna as empresas brasileiras tão vulneráveis a essas situações?

Nos Estados Unidos, já é obrigatório que as grandes empresas – aquelas que estão na bolsa de valores, por exemplo – apresentem um plano de segurança da informação. No Brasil, isso ainda não acontece

Toni Hebert – O Brasil tem uma exposição considerável em relação a isso. Não que estejamos atrasados, mas acaba sendo uma questão cultural. Mais do que isso, faltam leis claras em relação à proteção de dados. É preciso que órgãos reguladores e entidades façam uma cobrança maior com as empresas com relação aos dados. O Brasil é um país emergente. Temos muitas companhias de pequeno e médio porte, e essas empresas são mais atacadas porque seus controles de tecnologia, segurança e processos estão em constante mudança. Dessa forma, acabam sendo, e podemos dizer isso da grande maioria, um pouco imaturas.

AE – É necessária também a implementação de mudanças na legislação para coibir essas práticas?

TH – Existe um projeto de lei a respeito em tramitação, e estamos torcendo muito para que seja aprovado até meados de 2018. As leis que temos hoje são muito amplas, genéricas e pouco assertivas em relação a ataques e crimes digitais. As maiores referências são o Marco Civil da Internet e a chamada Lei Carolina Dieckmann, que basicamente criminalizam o uso indevido do computador como uma ameaça para fazer um ataque. O problema é que muitas vertentes ficam em aberto. Por exemplo: no sequestro de dados é muito difícil você responsabilizar quem de fato está fazendo um ataque.

Sob a ótica de compliance, o Brasil ainda está um pouco atrasado em relação a normas e exigências que as empresas devem ter para se proteger no âmbito digital. Estamos falando de controles de segurança da informação exigidos pelo governo, como já acontece de forma muito forte na Europa, com uma nova lei aprovada por lá, e nos Estados Unidos, com leis que vêm diretamente do gabinete do presidente. Há uma tendência de que o Brasil vá para esse patamar, mas essa transição ainda é um pouco lenta, como todo caminho. Em toda transição existem algumas pedras e buracos, e é aí que vemos os ataques.

AE – O país está realmente atrasado em relação a práticas de prevenção? O que falta? A solução está na melhoria dos controles internos ou isso envolve também uma questão cultural?

TH – Há um pouco da questão cultural do Brasil. O brasileiro costuma deixar tudo para a última hora. As empresas, como não têm a obrigatoriedade de fazer esses investimentos, acabam seguindo esse mesmo caminho. Isso não quer dizer que as empresas não estejam investindo em segurança ou em questões tecnológicas: até existe o investimento, e hoje temos por aqui diversos representantes de grandes marcas de equipamentos robustos que funcionam na Europa e nos Estados Unidos. A questão é que não basta ter só o equipamento, ou importar o plano de proteção e o sistema. A questão envolve as pessoas de todas as áreas. Nesse ponto o Brasil ainda está engatinhando, por falta de obrigatoriedade.

Nos Estados Unidos, já é obrigatório que as grandes empresas – por exemplo, as que estão na Bolsa de Valores, as empresas de seguros, as que têm uma base cadastral de dados sensíveis de seus clientes – apresentem o plano de segurança da informação para as entidades reguladoras. No Brasil isso ainda não acontece, e as empresas não estão caminhando na velocidade que deveriam em relação a esse assunto.

AE – Existe algum grupo de empresas mais sujeito aos crimes digitais, em relação ao porte ou segmento de atuação?

TH – Acredito que a exposição a crimes digitais não esteja ligada a um setor específico. Alguns setores, pela sua natureza de trabalho, possuem mais segurança – as instituições financeiras, por exemplo, por tratar diretamente com informações sigilosas. Essas instituições têm uma cultura de proteção maior do que outras empresas. Porém, como vemos pelo mundo todo, os ataques afetam todas as áreas: indústrias, terceiro setor, universidades, comércio etc. Acredito que é “livre” essa exposição ao ataque.

AE – Quais são as consequências mais comuns desses ataques?

TH – A principal perda é da reputação. Como no Brasil ainda não existe essa obrigatoriedade, as companhias não vão divulgar se foram impactadas ou não. Imagine descobrir que o seu convênio médico ou o seu hospital, responsáveis por armazenar todo o seu histórico clínico, foi atacado e que os dados estão na mão de uma pessoa mal-intencionada. Imediatamente você pensa em não confiar mais neste fornecedor, e ele perde a credibilidade.

Há também a consequência financeira. O impacto financeiro pode vir de várias formas. A primeira e mais simples é a pessoa entrar no sistema e roubar dinheiro ou uma informação confidencial da sua empresa e querer vender essa informação. Na maioria dos ataques, tanto para quem ataca quanto para a empresa, a questão defendida é a financeira, porque o atacante vai atrás do dinheiro. Passamos do tempo em que o criminoso digital invadia para se divertir. Hoje são poucos os casos desse tipo. 

AE – Você pode relatar casos mais emblemáticos que revelam a fragilidade brasileira nessa área?

TH – Não tenho dúvida de que devem ter havido vários casos, mas não são declarados publicamente. Nós sabemos, por exemplo, que o chamado ataque WannaCry, que aconteceu recentemente, foi uma explosão generalizada, e algumas empresas brasileiras abriram essa informação. As companhias revelaram que sofreram em parte, mas não falaram efetivamente quais foram os danos ou o tamanho do impacto. Isso aconteceu tanto com empresas públicas quanto com companhias privadas, como hospitais. Não temos no Brasil uma declaração formal de empresas falando sobre o quanto foram atacadas.

AE – E na América Latina?

TH – Os outros países da América Latina devem estar no mesmo ritmo que o Brasil. Quando vemos esse tipo de informação ser declarada e formalizada, isso vem dos Estados Unidos e da Europa. Novamente, porque aqui não existe uma obrigatoriedade para dar essas informações, então as empresas se retraem. No Brasil, temos clientes de diversos setores, cujos nomes não podemos divulgar, que sofreram ataques e nos procuraram.

AE – Quais as ações de curto, médio e longo prazos que as corporações podem adotar para a sua segurança cibernética?

TH – No curto, médio e longo prazos a solução é a mesma. É preciso criar uma cultura dentro da organização, baseada em processos, pessoas e sistemas. Esses são os três pilares que as companhias têm que adotar para trabalhar no tema. Quando se fala de pessoas, estamos falando de conscientização dos colaboradores. É importante que seja feita uma conscientização na parte de segurança: trabalhar os controles internos, segurança da informação, TI, monitoramento e sistemas. Também é necessário o investimento em ferramentas de segurança, como softwares antivírus e antimalware. É importante haver uma evolução constante. No curto prazo, sua adoção e implementação, e no médio e longo prazos o crescimento e o amadurecimento desses três pilares.

É extremamente necessário, dentro da organização, que exista engajamento e envolvimento direto da alta administração. Algumas ações têm que partir diretamente dessa esfera, como divulgações e comunicados internos. A alta administração precisa estar envolvida nas reuniões e demonstrar preocupação. É dela que deve partir o exemplo de seguir os controles. Somente assim todos vão fazer isso também. Outra vez: processos, pessoas e sistemas.