Riscos Cibernéticos: Como Se Proteger?
Visão Geral
O mundo está se tornando cada vez mais conectado e digitalizado e, com isso, novas transformações estão redefinindo todos os setores do mercado. Atualmente, existem mais de 12 bilhões de dispositivos conectados à Internet e, a previsão é de que esse número triplique até 2020.
De acordo com o relatório divulgado pela Conferência das Nações Unidas sobre Comércio e Desenvolvimento (UNCTAD, na sigla em inglês), o Brasil possui mais de 50% da população conectada à Internet e ocupa o quarto lugar no ranking mundial de usuários, ficando atrás apenas dos EUA, Índia e China.
Como consequência dessa inovação, as oportunidades para os criminosos aumentam e o risco cibernético aparece entre os dez principais a serem enfrentados por uma empresa, segundo a Pesquisa Global em Gerenciamento de Riscos da Aon.
Em geral, os ataques cibernéticos incluem: roubo de informações estratégicas, vazamento de dados de clientes e fornecedores e até interrupção das atividades.
Análise
Tipos de riscos cibernéticos
O que antes era apenas um problema que podia ser consertado pelo setor de TI, hoje, o risco cibernético, deve fazer parte do planejamento de risco de qualquer empresa, independente do porte ou setor, e ser visto como uma necessidade real para evitar prejuízos.
Dependendo da intenção do criminoso, existem diferentes tipos de ataques cibernéticos. Confira os principais:
- Ransomware
Tem o objetivo de sequestrar o computador, bloqueando seus acessos ao sistema da sua máquina e cobrando um valor de resgate para liberar o acesso. Para evita-lo, é importante ter backups do sistema, que garantem a recuperação de dados, se necessário.
- Phishing
É um dos ataques cibernéticos mais comuns e recorrentes, no qual o criminoso coloca uma “isca” na Internet para capturar usuários descuidados e, depois, roubar dados, como senhas de banco, fotos e informações pessoais. Por isso, muito cuidado ao abrir algum e-mail duvidoso!
- Scareware
Também conhecido como software de engano, o scareware pode aparecer como notificações legítimas de empresas de antivírus, alegando que o computador foi infectado e necessita de um novo software. Porém, ao baixar o novo programa, as informações pessoais e senhas são roubadas.
Caso a notificação não seja de um antivírus que você tenha instalado no seu computador, não clique em nada e desligue seu computador.
- DNS Cache Poisoning
É o envenenamento do protocolo de DNS da máquina. Essa técnica pode ser utilizada para direcionar usuários de um site para outro criminoso, que pode conter conteúdo malicioso.
Ataques Cibernéticos: Petya x Wannacry
Nos últimos anos, milhares de computadores no mundo inteiro foram infectados, causando os maiores ataques já vistos: Petya e Wannacry.
O Wannacry foi responsável por transformar boa parte do mundo (mais de 150 países) em caos, em maio de 2017. Trata-se de um ransomware, que busca computadores vulneráveis que tenham o Windows Server 2003 instalado sem o último patch, ou seja, os criminosos se infiltram pelo código remoto do sistema operacional, “sequestram” os arquivos das máquinas e pedem dinheiro (ou bitcoins) para devolver os arquivos.
Após o ataque, a Microsoft lançou patches de atualizações do sistema para evitar e prevenir invasões como o Wannacry. No entanto, muitas máquinas de instituições públicas e empresas antigas têm um atraso muito grande entre uma atualização e outra.
Já o Petya foi um ataque cibernético, disseminado via e-mail, em escala menor do que o Wannacry, mas que também deixou máquinas inoperantes em bancos, empresas e instituições no mundo inteiro.
A principal diferença entre os dois ataques é que o Wannacry só criptografava arquivos e o Petya conseguia também criptografar alguns setores importantes do disco rígido, impedindo a inicialização do sistema. Isso também dificultava na hora de pedir o regaste, visto que, muitas vezes a vítima tinha dificuldades em executar o pagamento, já que o computador não funcionava.
Esses dois ataques obrigaram governos e empresas a adotarem táticas de defesa contra os crimes cibernéticos, que incluem treinamento de funcionários, gerenciamento de riscos e atualização periódica dos sistemas operacionais.
Como se prevenir dos Ataques Cibernéticos?
Conforme os ataques cibernéticos ameaçam as máquinas do mundo inteiro, a conscientização sobre a gravidade desse risco aumenta e, diante da impossibilidade de se proteger totalmente de ataques e códigos maliciosos, as empresas precisam tomar alguns cuidados para lidar mais adequadamente com as consequências em casos de violações.
O primeiro passo para reduzir o risco cibernético é conscientizar todos os funcionários, independentemente do nível hierárquico, da importância das normas de segurança de informação dentro da empresa. Dentre todas as ações, o desenvolvimento da educação organizacional é o que tem o melhor custo-benefício.
O próximo passo é desenvolver um plano de resposta a incidentes, no qual são definidas as responsabilidades de cada um durante a ocorrência de um ataque cibernético. É fundamental compreender que nesses casos, toda a empresa será afetada e não só o setor de Tecnologia da Informação (TI), por isso, os funcionários precisam trabalhar de maneira integrada.
Seguro Cibernético
Para lidar com as consequências de um cyber attack é importante implementar um Seguro Cibernético e revisá-lo periodicamente. Em alguns casos, as apólices de seguros atuais possuem coberturas relacionadas, mas apenas a apólice de Risco Cibernético prevê situações específicas de ataques e vazamentos de informações.
“O Seguro de Responsabilidade Civil, por exemplo, cobre danos pessoais e materiais, mas não a perda financeira. O Seguro de Erros e Omissões, muitas vezes, contém exclusões para vazamentos de dados. O Seguro Patrimonial cobre apenas bens tangíveis, logo, exclui dados. E o Seguro contra Crime tem cobertura apenas para ação de funcionários e restrita a valores, títulos e propriedades tangíveis”, explica Adriano Almeida, diretor de Produtos Financeiros da Aon Brasil.
Por isso, a melhor opção é a contratação de um seguro específico, que possa compreender a extensão da cobertura e pensar na segurança cibernética de forma holística, avaliando todas as vulnerabilidades para garantir a proteção total dos sistemas.
A seguradora tem a responsabilidade de assumir o risco, trazendo uma série de especialistas para cuidar dos problemas. Se houver alguma invasão, ela deverá disponibilizar especialistas, consultores jurídicos e gestores de crise. Ou seja, com o seguro, as empresas têm à disposição uma ampla oferta de serviços que elas não possuiriam por conta própria.
Conforme o risco cibernético vai se tornando mais conhecido, empresas buscam ações preventivas e planos reativos para lidar com os ataques. “O papel das corretoras, consultorias e empresas de TI é atuar na conscientização sobre a prevenção e suporte em casos de ataques. Gerenciar de forma eficaz exige segurança da informação e líderes de risco trabalhando em conjunto”, avalia Jesus Gonzalez, vice-presidente de Risco Cibernético da Aon.
Fontes
Aon – Pesquisa Global em Gerenciamento de Riscos da Aon 2017