O comportamento dos consumidores, de forma geral, sofreu uma completa alteração nos últimos dois anos por conta da pandemia do coronavírus. As restrições de locomoção (lockdown) obrigaram pessoas a ajustar seu modo de vida e ir às comprar pela internet, sem sair de casa. Com isso, o segmento de comércio eletrônico (e-Commerce) teve um crescimento inesperado e muito expressivo em pouco tempo.
Com a alta demanda, surgiram também os problemas, principalmente com a segurança cibernética, que representa uma ameaça para todos os tipos de negócios via comércio eletrônico. Os diversos dados pessoais e bancários fornecidos pelos clientes para efetuar uma compra entraram na mira dos cibercriminosos, exigindo das empresas maior atenção com a segurança da informação e os diversos tipos de ameaças.
A Cybersecurity Ventures, em matéria publicada pela Cybercrime Magazine, em novembro de 2020, calculou que globalmente as ameaças cibernéticas resultariam em danos no valor de US$ 6 trilhões apenas em 2021 e teriam um crescimento de 15% por ano nos próximos cinco anos, chegando a US$ 10,5 trilhões até 2025.
Segundo o relatório The Global Risks Report 2022, do Word Economic Forum, entre os riscos globais, que podem causar impacto negativo para vários países ou indústrias, seis estão relacionados à segurança cibernética que, direta ou indiretamente, afetam os negócios via e-Commerce.
Riscos e vulnerabilidades
Como todos sabem, ciberataques podem causar inúmeros danos às empresas, desde perdas financeiras, comprometimento da reputação, vazamento de segredos comerciais e de dados pessoais, até riscos à continuidade do negócio.
Nos últimos anos, um dos ataques mais frequentes e populares tem sido para roubo de informações de cartão de crédito e dados pessoais em sites de comércio eletrônico, os chamados E-skimming Attacks. Os invasores obtêm acesso ao site da empresa por meio de uma tentativa bem-sucedida de phishing, ataque de força bruta, cross-site scripting (XSS) ou comprometimento de terceiros e, em seguida, capturam em tempo real as informações de pagamento que os compradores inserem no site.
Outras ameaças recorrentes são os ataques ao ponto de venda, quando os cibercriminosos carregam um malware no sistema da loja (point-of-sale – PoS), que possibilita o roubo de dados de caixas registradoras por meio de keyloggers e raspadores de RAM, por exemplo; os ataques de negação de serviço – DoS (Denial of Service) e DDoS (Distributed Denial of Service) – por meio de mecanismos com múltiplas solicitações, excedendo a capacidade do site em manter seus recursos e, consequentemente, impedindo o acesso ao negócio da empresa; além do temido Ransonware, que utiliza uma abordagem direcionada para assumir o controle do site, sistemas ou redes da vítima, criptografando e bloqueando os dados, a fim de cobrar altas somas em dinheiro como resgate.
Proteger os negócios
É importante ressaltar que os cibercriminosos buscam falhas para invadir um sistema, portanto, é fundamental adotar medidas que dificultem ao máximo os ataques, a fim de mitigar os riscos. Utilizar protocolos seguros e atualizados é o primeiro passo, pois versões obsoletas de tais protocolos são vulneráveis a diversas falhas de segurança. Manter um gerenciamento de patches adequado e softwares com versões mais recentes, incluindo sistemas operacionais, é outra medida fundamental. A falta de patches de segurança pode levar a uma violação de conformidade com regulamentos. Também é recomendado o uso de senhas fortes e seguras, com autenticação multifator preferencialmente, assim como o uso de dispositivos e soluções como firewalls, WAP, VPN, antivírus, IPS etc., que ajudam na proteção de dados.
Quanto mais obstáculos forem adicionados, maior a chance de o cibercriminoso buscar outro sistema menos protegido. Nesse sentido, utilizar criptografia em dados sigilosos e críticos, inclusive durante a realização de transações financeiras, pode ser um diferencial. Além disso, é interessante contar com uma solução robusta de hospedagem em nuvem, que ofereça uma estrutura adequada voltada para a segurança da informação, e também realizar backups regulares, de preferência replicados em locais distintos, para facilitar a recuperação dos dados, caso eles sejam perdidos ou roubados.
Vale lembrar que essas boas práticas de segurança contra ataques deve ser constante e exige um gerenciamento de vulnerabilidades com execuções periódicas de varreduras (scans) e testes de intrusão (pentest), mantendo um monitoramento para detecção de tentativas de invasão. Além disso, é preciso estar pronto para responder a eventuais ataques com um Plano de Respostas bem definido e testado regularmente.
Não se pode esquecer, ainda, dos cuidados com vazamentos internos. Ter um gerenciamento de acessos adequado, removendo usuários desnecessários da plataforma, fornecendo acesso limitado e criando perfis segregados com acesso mínimo são medidas que ajudam a prevenir eventuais ocorrências. Tais ações podem ser acompanhadas por um programa de conscientização para os colaboradores e terceiros, com técnicas adequadas aos padrões de boas práticas de mercado.
Finalmente, é fundamental ter uma atenção especial aos regulamentos e leis de proteção de dados pessoais de cada país, como a LGPD no Brasil e GDPR nos países da União Europeia. Segmentar a rede, mantendo os dados críticos dos clientes separados de outras informações da empresa é uma medida preventiva e necessária.
Para as empresas que buscam maior proteção, existe a possibilidade de contratar um seguro de responsabilidade cibernética ou seguro de violação de dados, com cobertura para quaisquer ações judiciais decorrentes de violação, roubo ou perda de dados. Independentemente da configuração de segurança a ser adotada, o importante é que as soluções sejam adequadas a cada tipo de negócio, a partir de uma avaliação de riscos e identificação de eventuais prioridades para implementar tais ações.
Felipe Duarte, gerente sênior de Tecnologia da Informação da Grant Thornton Brasil.
