Na última quinta-feira, 19, a Lojas Renner sofreu um ataque cibernético que derrubou parte de seu sistema e deixou o site da companhia fora do ar. No mesmo dia, em um comunicado, a companhia esclareceu que “prontamente acionou seus protocolos de controle e segurança para bloquear o ataque e minimizar eventuais impactos.” A varejista também garantiu que seus principais bancos de dados estavam preservados e que faz uso de tecnologias e padrões rígidos de segurança. O pesadelo da Renner teve fim no domingo, 22, quando o aplicativo e o e-commerce da empresa já haviam sido reestabelecidos.
Ainda na sexta-feira, 20, o Procon-SP teria notificado a empresa pedindo explicações sobre o ataque sofrido. Segundo informações do mercado, o ato criminoso teria sido um ransonware, também conhecido como sequestro digital, em que os dados são capturados em troca de um resgate. Em junho, a JBS USA, subsidiária da brasileira JBS nos Estados Unidos, confirmou ter sido vítima de um ataque como esse e pagou o equivalente a US$ 11 milhões em resposta a ação criminosa. O caso da Renner gerou repercussão, inclusive, entre outras empresas que se solidarizaram com a companhia.
Bruno Telles, COO da BugHunt, e Fellipe Guimarães, CEO da Codeby, explicam como funcionam as invasões aos sistemas de empresas e que riscos eles podem gerar
Em uma live do portal InfoMoney, na sexta-feira, 20, Marcelo Pimentel, CEO da Marisa, ressaltou sua repulsa com o caso e afirmou “não é uma fragilidade deles”, se referindo às lojas Renner. Ataques de grande repercussão, como o da Renner e JBS, ilustram um problema que se intensificou nos últimos meses. Segundo dados levantados pela Comissão de Valores Mobiliários (CVM), agência regulada pelo Ministério da Economia, os ataques cibernéticos contra empresas brasileiras cresceram 220% no primeiro semestre deste ano, na comparação com o mesmo período de 2020. Já segundo um relatório recente da Gartner, globalmente, o prejuízo financeiro com ataques cibernéticos pode chegar até US$ 50 bilhões em 2023.
Para profissionais que atuam com cibersegurança, a aumento dos ataques está relacionado com a digitalização acelerada. “Acreditamos que o aumento expressivo esteja diretamente relacionado a ‘digitalização forçada’ que as empresas foram obrigadas a passar por conta da pandemia. Muitas empresas migraram seus serviços às pressas por conta da necessidade e com isso muitas vulnerabilidades e vertentes de ataques foram criadas”, aponta Bruno Telles, COO da BugHunt, plataforma brasileira de Bug Bounty, programa de recompensa por identificação de falhas.
Sequestro digital
Mas, afinal, o que são e como funcionam os chamados sequestros digitais? “Sequestro digital é o termo popularmente utilizado para falar sobre a invasão de hackers através de brechas na segurança no acesso à rede ou ao servidor da empresa e também através de e-mail ou pendrive infectado”, explica Fellipe Guimarães, CEO da Codeby, startup de desenvolvimento web e e-commerce. Na prática, por meio de softwares maliciosos os criminosos criptografam arquivos e informações das vítimas e solicitam um valor para resgate. Este tipo de ataque, geralmente, impossibilita o acesso a arquivos e informações e deixa os sistemas inoperantes.
Os danos que podem ser causados por ataques como esse vão desde o prejuízo financeiro até danos sérios a reputação das empresas. “Entre as principais motivações de ataques estão causar dano real, que possa comprometer diretamente os recursos da empresa; vandalismo comercial, tendo em vista interferir na produção e na linha de frente; e o vandalismo de reputação, quando as falhas da empresa vêm à tona e ela pode ficar desacreditada no mercado e entre os clientes, impactando diretamente no valor da marca”, analisa o CEO da Codeby.
Além disso, no caso de vazamento de dados sensíveis dos consumidores, a Lei Geral de Proteção de Dados (LGPD) responsabiliza as empresas que não garantirem a segurança dessas informações. As companhias podem sofrer sanções administrativas, como a divulgação pública da infração. Ainda neste mês de agosto, entram em vigor também multas que podem chegar até R$ 50 milhões por infração.
Entre as maneiras de tentar evitar ataques estão uma série de medidas de cibersegurança que incluem manter sistemas ativos atualizados, implementar proteção de endpoints até o uso de programas de recompensas, em que as empresas podem contar com auxílio de comunidades de cibersegurança para testar seus sistemas e serviços. “Tudo isso deve ser implementado através de políticas de segurança e normas complementares. Além disso, também é necessária a execução constante de ações para conscientização dos colaboradores quanto à segurança das informações e riscos cibernéticos”, defende o COO da BugHunt.
Fonte: Meio&Mensagem
Por: Taís Farias
*Crédito da foto no topo: iStock