Pesquisa mostra que 60% dos ataques cibernéticos miram empresas de menor porte, que estão menos preparadas para evitar fraudes
por Alejandro Raposo*
“Sequestramos as informações de todos os seus clientes e pagamentos. Se quiser tê-las de volta, pague R$ 50.000,00. Se não, tudo será apagado”
Essa mensagem apareceu sem aviso prévio no computador de uma rede varejista há algum tempo. Nenhuma medida de contenção ou correção era capaz de desprogramar a criptografia feita pelo hacker. Como não havia dinheiro para o resgate, a promessa foi cumprida. À companhia, coube lidar com o prejuízo das inestimáveis perdas financeiras, já que o último backup dos dados havia sido feito mais de um ano antes.
A história - verídica - contém algumas dicas importantes: estamos falando de R$ 50 mil, então, o caso ocorreu no Brasil. A falta de dinheiro para o resgate indica que a empresa não era grande a ponto de ter recursos em caixa ou crédito suficiente para um empréstimo desse valor. Para resumir a história, a vítima era uma pequena companhia do interior, que nunca tinha aparecido no jornal ou feito algo que “chamasse a atenção” de cibercriminosos.
O exemplo deixa claro que passou o tempo em que segurança da informação era uma ameaça somente para grandes marcas. Um estudo divulgado recentemente pela Federação das Indústrias do Estado de São Paulo (Fiesp) corrobora o que vemos no mercado todos os dias: 59% dos ataques cibernéticos registrados no Brasil miram as finanças das empresas, sendo que mais de 60% ocorrem em indústrias de pequeno e médio porte, menos preparadas para impedir as fraudes. Enquanto 96,4% apostam na instalação de antivírus para prevenir ameaças virtuais, 40,1% investem em aplicação de normas internas e apenas 21,2% oferecem treinamento aos funcionários diretamente ligados com o uso da internet.
Pequenas e médias empresas ignoram o potencial custo de uma falsa economia em soluções de segurança da informação. O risco de ataque hacker não é restrito a lojas virtuais: basta que algum computador esteja conectado com a internet e não tenha as proteções como antivírus, firewall, criptografia, backup ou prevenção à perda de dados (DLP), para que a ação de invasores seja facilitada. E com cada vez mais dispositivos conectados à rede corporativa - aqui cito computadores da empresa e até smartphones e tablets de funcionários - maior também o perigo.
Dados de mercado mostram que a perda decorrente de ataques cibernéticos chega a ser 150 vezes maior do que um investimento preventivo. Funciona do mesmo jeito que nós, pessoas físicas, lidamos com seguro de carro: até dá vontade de economizar quando as contas estão mais apertadas, mas sabemos que, se tomarmos essa decisão, o custo de uma batida ou de um roubo fica inúmeras vezes maior.
A loja de varejo vítima do sequestro de informações era bem pequena, então sua história não saiu na mídia. Mas, quando acontece alguma coisa do tipo, não há distinção de porte: pequena, média ou grande, choram todas. E uma vez que se sabe que para hackers tamanho não é documento, a escolha de não investir em segurança da informação por “ser pequeno demais” cai por terra. Vira uma decisão totalmente consciente dos riscos, como a de não pagar o seguro do carro.
* Alejandro Raposo é vice-presidente de Vendas da Symantec para América Latina