Em 2020, o relatório anual CrowdStrike Falcon OverWatch abordou as crescentes ameaças cibernéticas que as organizações enfrentavam ao adotar práticas de trabalho em casa para se adaptar às restrições impostas pela crise da Covid-19. Doze meses se passaram e pouco foi oferecido em termos de indulto para os defensores, tendo como saldo um ano marcado por alguns dos ataques cibernéticos mais significativos e generalizados que o mundo já viu.
Mas a "brincadeira" parece estar apenas no começo. Afinal, tanto o eCrime quanto os adversários de intrusão direcionada chegaram a 2021 com novas formas de agir e extorquir, especialmente as empresas. E não por coincidência, na edição 2021, o Falcon OverWatch trouxe tendências nas habilidades do adversário, bem como orientações sobre estratégias de defesa, mostrando que ainda há muito o que se debater no ramo, especialmente no Brasil.
O País foi o alvo principal dos ataques de sequestros digitais (ransomware) registrados no primeiro trimestre de 2021 em toda a América Latina. Entre janeiro e março de 2021, foram mais de 3,2 bilhões de tentativas contra companhias nacionais, parte de um total de sete bilhões de golpes do tipo registrados no geral, de acordo com dados da Fortinet.
No ano passado, de acordo com uma pesquisa global realizada pela Sophos, 37,5% das companhias brasileiras foram alvo de pelo menos um golpe, com uma média de pagamentos entregues aos criminosos de US$ 571 mil (cerca de R$ 3 milhões na cotação atual). O número é três vezes maior do que o número registrado globalmente, que é de US$ 170,4 mil (quase R$ 897 mil).
No Brasil, a lista de empresas com incidentes em 2021 tem aumentado, incluindo episódios recentes em outubro envolvendo marcas conhecidas, como iFood, Atento, Porto Seguro e CVC, em um cenário que nos leva de volta à pergunta do título: qual a razão das empresas sofrerem tantos ataques? Por que os atacantes seguem sendo bem-sucedidos?
São dois questionamentos que apontam para uma mesma reflexão: se seu negócio está sentado na tecnologia, mas não há planejamento de segurança, é porque se assume os riscos? A verdade é que nem sempre as empresas entendem que investir em segurança é uma forma de mitigar riscos de ataques ou amenizar os danos.
Desta forma, na lógica do "existo, logo posso ser atacado", é importante considerar primeiro o quanto o negócio de invasões é lucrativo para os hackers. O "atacante" não precisa liberar orçamento, não tem questões burocráticas e não divide seu tempo buscando soluções para ações de outros. Ele também não está preocupado em convencer o mercado de sua relevância. Desta forma, parece muito difícil aos profissionais de segurança atingir o mesmo lugar dos atacantes, não é mesmo?
Por isso, a principal arma de combate é a consolidação de uma cultura de segurança que não pode depender do tamanho da empresa ou de um único diretor – uma vez que as grandes marcas, em geral, já possuem maior conscientização. O fato é que também as pequenas e médias empresas precisam assumir seus lugares neste duelo contra os hackers.
Pesquisas apontam que justamente as pequenas e médias já respondem por quase 37% dos ataques, especialmente quando falamos em ransomware (que é um tipo de malware para restrição do acesso ao sistema infectado, cobrando quantias financeiras para se restabelecer o sistema). E qual o impacto para esse nicho de mercado em caso de um ataque?
Claro que ataques direcionados às grandes empresas rendem muito mais, porém a fragilidade das pequenas empresas, sem uma cultura de segurança, e, desta forma, mais vulneráveis aos ataques gerais por ransomware (que não discrimina suas vítimas), coloca o setor no radar dos criminosos, com chances de simplesmente desaparecerem de um dia para o outro. Por que falo isso? Pensemos no impacto de um ataque a uma empresa de médio ou grande porte. Claro que é devastador, mas a capacidade de recuperação costuma ser maior e mais rápida. Agora qual o impacto para uma empresa pequena que pode ter que voltar à estaca zero?
E infelizmente essas empresas estão aprendendo muito mais pela dor do que pela maturidade.
Então, a principal saída é falar sobre riscos e entender que segurança não se resume a contratar ferramentas e fazer a proteção. A cibersegurança é multicamadas, é um processo de muitos pilares.
Quando falamos em obsolescência, por exemplo, para empresas que ainda não são 100% cloud, estamos falando em um dos maiores riscos. Mesmo assim tem quem se questione se não deva abrir uma loja nova, ao invés de gastar dinheiro para trocar a infraestrutura. Então, o desafio para conter os ataques é traduzir para os executivos, e para as outras pessoas do negócio, que existem muitas maneiras de se investir em segurança, incluindo formas de estar preparado para agir rapidamente e mitigar danos, se necessário.
Jeferson Propheta, country manager da CrowdStrike Brasil.
