Especialistas explicam como cidadãos e empresas viram vítimas de ilegalidades no ambiente virtual e quais ferramentas reduzem riscos e amenizam prejuízos
Quais são os riscos cibernéticos aos quais pessoas físicas e jurídicas estão expostas? Segundo especialistas, até quem não é digital corre risco — direto ou indireto. Por exemplo: um aposentado que utiliza o celular apenas para fazer ligações e não tem aplicativos de mensagens instalados, ou sequer acessa e-mail, pode ir ao banco para sacar o dinheiro da aposentadoria e não conseguir. O motivo? A instituição financeira ter travado as operações por estar sob ataque cibernético. Outro exemplo: uma usina hidrelétrica abrir as comportas e as águas invadirem alguma comunidade indígena próxima também devido a uma invasão hacker maliciosa.
Os dois casos hipotéticos citados por Claudio Macedo, fundador da Bluecyber, focada em seguros e assistências para proteção digital pessoal e familiar, iniciam a conversa do episódio desta semana do “Tá Seguro?”, videocast disponível no canal do YouTube do InfoMoney e nas principais plataformas de áudio.
Passando das hipóteses para situações reais, Macedo relembra também casos notórios de ataques virtuais que viraram notícia mundo afora, como o resort e cassino MGM, em Las Vegas, que há poucos meses teve suas operações afetadas após invasão em seus sistemas. Houve interrupção no check-in do hotel e nas máquinas caça-níqueis, apenas para citar alguns dos problemas relatados.
Outro caso aconteceu há alguns anos com a rede varejista norte-americana Target. “A Target quase quebrou porque vazaram os dados de aproximadamente 40 milhões de cartões de crédito e houve uma fuga de clientes (…). Eles tinham uma apólice de seguro, pelo que eu li, de 150 milhões de dólares e não deu. Tiveram que botar dinheiro do bolso. Só de reemissão de cartão de crédito, ou seja, para reemitir 47 milhões de plásticos foram 19 milhões de dólares”, ressalta Macedo.
Como os ataques acontecem?
De acordo com João Brasio, diretor executivo da consultoria Elytron Security, existem basicamente duas formas de sofrer um ataque cibernético:
- Por meio de engenharia social, que concentra a maioria dos casos e faz uso de uma espécie de “guerra psicológica”: alguém entra em contato com você, pelo WhatsApp ou por e-mail, tentando se passar por alguém ou por uma empresa fazendo pressão, muitas vezes com viés financeiro (tomar uma multa, por exemplo) para você baixar um arquivo ou instalar um software. “Todos nós já recebemos um e-mail dizendo que o token do banco tal tá desatualizado, sendo que muitas vezes a gente nem tem conta naquele banco”, exemplifica Brasio. Esses e-mails são disparados para milhões de pessoas e a expectativa é que 1% execute essa ação e seja atingido.
- Por meio de vulnerabilidades: falhas tecnológicas que “deixam portas abertas”, seja por falha do fabricante ou porque os dispositivos não foram atualizados pelo usuário. “A gente não gosta muito da hora que vê aquela telinha de atualizar o sistema operacional do computador ou celular porque vai apagar tudo, vai reiniciar, vai demorar, só que a gente tem que fazer. Muitas vezes essas atualizações não estão trazendo benefícios que a gente consegue ver, um design novo, uma funcionalidade nova, o que de fato esses fabricantes estão trazendo são ferramentas para que essas portas sejam fechadas”, complementa Brasio.
Quem é responsável pela proteção?
O diretor da Elytron ressalta que é importante entender quem é o detentor da informação para identificar quem é o responsável por assegurar a integridade e a confidencialidade de que o dado não será alterado ou vazado. No caso de informações bancárias e financeiras, por exemplo, cabe aos membros da família seguir boas práticas (por meio de boas senhas) para evitar vazamentos ou uso por criminosos.
“Porém a gente está na mão de outras empresas, redes sociais, servidores, de sites de ingresso que a gente compra pra ir ao cinema. Nesses casos, são essas empresas que estão sob a responsabilidade de ter a guarda e a preservação da informação. Há um limite sobre até quando nós podemos assegurar para que não sejamos vítimas de um ataque cibernético e tem um momento onde a fronteira não tá mais nas nossas mãos”, observa.
O advogado Rony Vainzof, sócio do VLK Advogados e especialista em segurança cibernética, destaca o crescimento da conscientização a respeito do conceito de “julgamento cibernético”. Traduzindo: da mesma forma que no ambiente físico fomos ensinados pelos nossos pais a sempre ter cuidado ao andar na rua, não falar com estranhos, guardar bem a chave de casa, é importante desenvolver cuidados semelhantes com a segurança de dispositivos como o celular, prestar atenção “por onde caminha” no ambiente virtual.
“Ter certeza de que aquele site é o site daquela empresa mesmo, para não ser fraudado; avaliar onde vai disponibilizar seus dados pessoais e que tipo de dado pessoal você vai disponibilizar; se aquilo tem uma coleta excessiva de dado pessoal mesmo ou não. Temos que substituir aquele ‘não li e concordo’”, comenta Vainzof. Ele faz referência à prática de muitos usuários de aderirem aos contratos disponibilizados por serviços e ferramentas sem ler, confiando que não haverá nenhum problema – já que todo mundo aderiu dessa mesma forma.
Segundo o advogado, a tendência é cada vez mais as empresas de fornecedoras de serviços e aplicativos trabalharem com o consumidor o “letramento digital”, ensinando-o a entender todas as funcionalidades, além de aderirem ao conceito de “security by design”: quando hardwares e softwares têm seus próprios mecanismos de segurança. Dessa forma, conseguem automaticamente alertar o usuário quando o antivírus está desatualizado – e já fornecem a atualização em um só clique, ou informam quando o arquivo baixado não é lícito, só para citar alguns exemplos.
Como se proteger?
Os especialistas citam várias formas de os cidadãos e as empresas se protegerem de ataques cibernéticos. Uma delas é por meio do seguro. Macedo explica que essa solução pode atender os clientes de diferentes formas, uma vez que as necessidades variam conforme o perfil:
- Pessoa Física e PMEs: o foco principal é fornecer serviços de help desk, uma vez que esse público está mais preocupado em resolver situações simples relacionados à tecnologia, como problemas para acessar o e-mail ou para acessar jogos online no Xbox ou no PlayStation. “Uma empresa grande não precisa, porque já tem lá a sua equipe de segurança para ajudar os funcionários. Só que as pequenas e médias empresas e as famílias não têm isso: quem vai ajudar é o cara do bairro que, às vezes, não pode atender de madrugada”, observa Macedo. Outra necessidade é por sistemas e antivírus mais “robustos” que podem ser fornecidos pela seguradora, além de auxílio para responder a incidentes e a eventuais coberturas para indenizações – como roubo de identidade em rede social, por exemplo, no qual o seguro cobre os custos com a recuperação do perfil.
- Grandes Empresas: o foco principal é no prejuízo financeiro, seja por conta de lucros cessantes (o faturamento que a empresa não terá por paralização na operação devido a algum ataque) ou por responsabilidade civil por danos a terceiros, geralmente causados por vazamento de dados sensíveis de clientes. O auxílio na resposta aos incidentes também é uma necessidade que pode ser suprida com o fornecimento, pela seguradora, de especialistas.
De acordo com Vainzof, a Lei Geral de Proteção de Dados (LGPD), que define regras justamente para o tratamento de dados sensíveis dos indivíduos, contribuiu para as empresas reforçarem a segurança cibernética e melhorarem a sua maturidade para lidar com problemas do tipo – incluindo a transparência com os consumidores afetados por algum ataque.
Segundo os especialistas, em um mundo onde a inteligência artificial avança a cada dia, vale redobrar a atenção para não expor acidentalmente dados sensíveis na internet – como o número do celular em postagens, além de manter em dia todas as ferramentas de segurança disponíveis. Eles também recomendam cursos e cartilhas como as do Comitê Gestor da Internet no Brasil e do CERT.br.