Em meio à pandemia do novo coronavírus, as empresas se viram forçadas a migrar para o modelo de home office, e seus profissionais, que antes trabalhavam por trás de toda a camada de segurança do escritório, como firewall e antivírus, agora estão trabalhando direto de casa, com um nível de segurança inferior ao ambiente corporativo. O resultado: ataques cibernéticos em massa. Segundo a Kaspersky, entre fevereiro e abril, ataques direcionados a ferramentas que permitem acesso remoto aumentaram 333%.
"A vulnerabilidade das empresas ficou ainda maior devido ao acesso remoto dos sistemas via home office. As pessoas, muitas vezes, trabalham com um computador e também compartilham o uso do aparelho com outras pessoas da casa. Todo esse movimento se torna um risco para as redes das organizações", explica Caio Telles, CEO da BugHunt, primeira plataforma brasileira de Bug Bounty, programa de recompensa por identificação de falhas. "O crescimento do trabalho remoto permite que servidores estejam configurados incorretamente, atraindo cibercriminosos e facilitando invasões", alerta.
Esse movimento refletiu na plataforma, que, em seis meses, conta com a participação de mais de 2.000 especialistas em segurança e já identificou mais de 350 vulnerabilidades em empresas brasileiras. Com o objetivo de democratizar o acesso à segurança e promover a união entre organizações e profissionais de segurança, a BugHunt acompanha de perto as falhas e vulnerabilidades de sistemas e soluções ao reunir especialistas em busca de reconhecimento e instituições comprometidas com a segurança da informação e privacidade de seus clientes.
Durante a pandemia, as vulnerabilidades mais encontradas pelos especialistas na plataforma foram falhas que expõem dados de usuários. "Isso é alarmante, tendo em vista a vigência da nova Lei Geral de Proteção de Dados (LGPD), que poderá acarretar multas milionárias a empresas que tenham dados de clientes vazados", destaca Telles.
Nesse período, a BugHunt também observou um aumento no interesse por programas de Bug Bounty, tanto por especialistas, quanto por empresas. "As empresas estão interessadas pois foram forçadas a operar de forma online, o que traz a necessidade de identificar e tratar bugs em sistemas", explica o executivo. "Já o especialista enxergou esse momento como uma possibilidade de aumentar o conhecimento na área de segurança, complementar a renda e utilizar uma plataforma nacional de recompensas", completa.
A partir da ferramenta, as empresas interessadas podem abrir programas em duas modalidades: pública e privada. Na primeira, o programa fica disponível para qualquer participante da ferramenta. Na segunda, a companhia pode escolher profissionais na lista dos dez melhores hackers da BugHunt. "Nos dois serviços, gerenciamos a definição de escopo e recompensa, a escolha de especialistas, a avaliação e triagem de relatórios e a verificação e correção de falhas nos serviços", explica Telles.
Os especialistas cadastrados identificam bugs em sistemas, aplicativos, websites e dispositivos físicos, como totens e máquinas de cartão. A empresa que contratou o serviço avalia os relatórios de vulnerabilidades enviados pela comunidade e, se aprovados, o pesquisador recebe sua recompensa. Um especialista pode ganhar até R$ 10.000,00 pela descoberta de cada vulnerabilidade.
O foco é identificar falhas que possam representar riscos às empresas, como vazamento de dados, que impacta na LGPD; invasão; ataques por ransomware; ou outro risco que traga prejuízo financeiro, operacional ou de imagem. Em média, as companhias levam 196 dias para perceber que foram atacadas. Com a BugHunt, os especialistas identificam falhas e enviam relatórios às instituições em poucos minutos.
Segundo Telles, no Brasil, terceiro país que mais sofre tentativas de ataques virtuais no mundo, os cibercriminosos se diferem de hackers de outros países pois, além do entendimento técnico, possuem conhecimento das regras de negócios, além de muita criatividade. "Eles encontram não apenas vulnerabilidades técnicas, mas também falhas de processos das empresas", pontua.
Por essas razões, a cibersegurança se faz cada vez mais necessária. "É preciso simplificar sistemas e integrar cibersegurança e testes nos processos de desenvolvimento. Além disso, é primordial conscientizar os colaboradores com o objetivo de criar uma cultura de segurança", explica. "Agora, com mais pessoas trabalhando em casa, também é essencial que as empresas adotem medidas para proteger seus funcionários remotos, além de seus dispositivos e redes domésticas", completa.
Com mudanças recorrentes no setor de segurança e novas vulnerabilidades todos os dias, o programa de Bug Bounty permite que as empresas tenham seus sistemas testados de forma contínua, garantindo um tempo menor entre a descoberta da vulnerabilidade, a identificação da falha no sistema e a correção do bug.
Para Telles, a segurança cibernética é uma responsabilidade em todos os setores, e vai além das equipes de TI. "Hoje em dia, contar apenas com serviços corporativos para proteção dos ativos de uma companhia não é suficiente", alerta. "A segurança da informação antes era algo acessível apenas para grandes empresas, e o programa de Bug Bounty nos auxilia com a apresentação de uma metodologia ágil e contínua, que reduz riscos e protege clientes e marcas, principalmente agora, com o trabalho remoto", conclui.
Com planos de expansão em todo o país, a plataforma da BugHunt tem registrado cerca de 300 novos especialistas por mês. Segundo o executivo, investir na comunidade e disponibilizar os pesquisadores ao setor é algo que gera valor para as instituições e para o mercado de segurança da informação. "Não podemos impedir violações de dados, reduzir crimes cibernéticos e proteger a privacidade sem a ajuda de profissionais e da comunidade", finaliza.
BugHunt, primeira plataforma brasileira de Bug Bounty, já identificou mais de 350 falhas do tipo em empresas brasileiras nos primeiros 6 meses de isolamento social; empresa conta com mais de 2.000 profissionais de segurança da informação.
[…] Pandemia acentua falhas em proteção de privacidade dos usuários […]