Cada violação de dados no Brasil custou mais de R$ 5 milhões na média, diz IBM
28 de maio de 2021Para especialistas, não é preciso ter medo na navegação, mas atenção. Dados bancários são um dos grandes alvos de cibercriminosos
Ao mesmo tempo em que o cotidiano e as relações se tornam cada vez mais digitais, os cibercrimes e a violação de dados consomem energia, tempo e dinheiro de empresários e de pessoas físicas também.
No quesito impacto nas finanças, aliás, o custo médio global de violações registradas entre agosto de 2019 e abril do ano passado, ou seja, nove meses, foi de quase 3,86 milhões de dólares, conforme a 15ª edição do relatório anual do Ponemon Institute, publicada pela IBM Security, que ouviu 524 organizações de 17 países e regiões distintas. No Brasil, o custo médio da violação de dados é de R$ 5,88 milhões (cerca de US$ 1,12 milhão) e vem crescendo: registrou um aumento de 10,5% em relação ao ano anterior, que era de R$ 5,32 milhões.
De tão sério, o assunto ganhou data comemorativa. No dia 28 de janeiro é celebrado, no mundo, o Dia Internacional da Proteção de Dados. “Medo, nunca, mas, atenção, sempre”, alertou Andréa Thomé, diretora de Soluções de Cybersecurity da Everis.
“Sejamos críticos e atentos o tempo todo. Nossos dados são uns de nossos bem maiores”, completou a gerente de Segurança da Informação do Banco Safra, Paula Rodrigues.
O conselho das profissionais foi dado durante uma live promovida pelo Banco Safra, transmitida pelos canais da instituição. Em pauta, a proteção dos dados bancários, um dos grandes alvos de cibercriminosos.
Conforme Sandro Süffert, fundador e diretor da Apura Cybersecurity Intelligence – uma das maiores empresas de inteligência cibernética do Brasil –, nos últimos 12 meses, dados de órgãos, sites de e-commerce, de mídia social e de telecomunicações vazaram no país.
Sandro também participou da live e, segundo ele, existe um processo de enriquecimento do crime organizado a partir dos dados roubados.
“Com o processo de digitalização crescente e maximizado ainda mais pela pandemia (da Covid-19), há uma necessidade de troca de informação e não necessariamente se tem os cuidados para garantir a integridade dos dados. É um problema global e realidade no país”, alertou.
Lilian Rodas, do Banco Safra, lembrou, também, que os dados sozinhos não podem ser usados para uma fraude bancária, por exemplo, mas “se consegue usar essa informação para fazer uma engenharia social e capturar as informações sensíveis, como a senha, o número de cartão”.
“Você acha que está falando com um banco e aí você passa todas as informações”, alertou.
Navegando bem abaixo da superfície, os ambientes da deep e dark web mantêm um ecossistema mundial, em que os dados são trocados ou vendidos. É o famoso mercado alternativo, que se beneficia da compra e das fraudes usando esses dados.
A apropriação de dados acontece na fragilidade. As plataformas guardam informações, mas podem ocorrer brechas. O ataque exige conhecimento do atacante (o popular hacker) e, além disso, conhecimento de que essas vulnerabilidades existem.
Às vezes, se levam meses e até anos para o levantamento de todas as informações. Funcionários com acesso aos dados, usando de má-fé, são responsáveis, também, por uma parcela de roubos, mas, em menor escala.
“O vazamento pode ser motivado por ‘n’ autores. Vivemos a era digital e, ao mesmo tempo, vivemos a guerra cibernética envolvendo uma série de fraquezas do ambiente tecnológico que pode ser explorada”, destaca Andréa.
Independente do atacante, normalmente os agentes estudam o comportamento do usuário, a exemplo do famoso hacker Kevin Mitnick, que começou sua “carreira” encontrando primeiro no lixo e depois nos computadores de grandes empresas as informações que precisava para invadir o ambiente.
Sites oferecendo prêmios, dinheiro de leilões, e-mail sobre alguma herança, na maioria absoluta das vezes, são armadilhas, conforme apresentaram os debatedores da live.
“É importante que a população entenda que quanto mais fácil pareça aquele ganho, maior risco. É importante saber se as informações são íntegras, antes de embarcar nessa situação”, disse Paula.
LGPD veio para ajudar
Aprovada em 2018 e valendo no Brasil desde então, a Lei Geral de Proteção de Dados (LGPD) colocou o país ao lado de mais de 100 nações, estabelecendo limites e condições sobre a coleta, a preservação e o tratamento das informações pessoais.
O documento facilitou a defesa das empresas e de usuários comuns que, como a Lei estabelece, podem registrar o furto de informações nas delegacias da Polícia Civil. A partir disso, uma investigação para apurar o crime tem início.
Mas, lembraram os debatedores, evitar chegar a esse ponto ainda é o melhor caminho.
“Na área da segurança a gente sempre fala que é importante você também ser uma barreira para evitar que esses dados sejam fornecidos assim, caindo no colo de alguém que não tem boa intenção”, ressalta Sandro.
“Sempre tem um jogo de gato e rato, uma situação de brechas. Com a LGPD, você tem um impacto grande no faturamento de dados, o que, dependendo do valor, pode ser vida ou morte, no caso de dados das empresas”.
Além de respaldo, a Lei empodera. “Ela [a Lei] nos dá o poder de questionamento. Hoje, se nos perguntam o número do CPF para um desconto num medicamento, por exemplo, a gente pergunta: por que você precisa do CPF?”, completa Paula.
E se os meus dados vazaram?
Mas, e se mesmo fazendo a lição de casa, seus dados vazaram? “Não entre em pânico. Se vazou o número de telefone, vão te ligar. Se vazou um número de telefone residencial, vão te ligar também. Vai ser preciso ir gerenciando a situação”, explica Andréa.
Há ainda outros procedimentos a serem feitos, entre eles, a troca das senhas principais de acesso aos sites mais utilizados e dos bancos que se tem contas e, claro, o registro do crime na Polícia.
O prejuízo para as empresas pode ser um pouco maior, por isso, se elas forem vítimas de violação de dados, é importante que tornem o assunto público, comuniquem seus reguladores e, especialmente, seus clientes, para que nenhuma euforia por conta disso seja criada.
Além disso, ter uma ação preventiva faz a diferença. Mas, como? No caso de pessoa física, vale, por exemplo, evitar exposição demais na rede social.
Tudo o que é compartilhado pode ser usado a favor dos atacantes. Suprimir a informação de nomes e grau de parentesco, bem como a identidade das instituições onde estuda ou estudou e empresas onde trabalha ou trabalhou, é prudente. Usar com moderação, é o mais indicado.
Para as empresas, os passos precisam ser mais robustos. “A tecnologia está à nossa disposição. São mais de 1.200 players de segurança. De fato, o Brasil tem opções e está preparado neste sentido, mas não exatamente em realizações”, aponta Andréa.
Se custar muito ao plano financeiro da empresa, vale apostar em outras frentes, como ficar atento às experiências de invasões internacionais e monitorar o avanço delas entre os países.
“Não pense que vai acontecer só na China ou nos Estados Unidos. É ideal fortalecer as defesas dos ambientes internos de segurança, o que melhora a resiliência frente aos ataques.”
Conheça 10 maneiras de proteger seus dados
1 – Não digite senha, e-mail ou telefone em qualquer site. Desconfie primeiro.
2 – Perceba falhas em sites que se mostram oficiais. Procure erros na logomarca, nas cores e até na escrita.
3 – Se perguntarem seu CPF ou outro dado pessoal em algum estabelecimento, questione o motivo e só revele a informação caso se sinta confortável.
4 – Não abra um e-mail enviado por um endereço desconhecido.
5 – Não baixe arquivos de sites estranhos.
6 – Use uma senha forte + uma confirmação de que é você mesmo (se possível, aposte na biometria).
7 – Desconfie do que chega até você de maneira muito sedutora (promoções, produtos muito baratos, herança, saque de dinheiro).
8 – O golpe pode envolver a família: atacantes usam informações de parentes, como nome e grau de proximidade, para, se passando por eles, pedir número de documentos e senhas.
9 – Trate do tema no ambiente familiar, orientando, especialmente as crianças, jovens e idosos.
10 – Use a tecnologia a seu favor, se informando sempre sobre o tema da segurança de dados.
Entrevista com Daniela Costa – VP da Arcserve LATAM – sobre Proteção de dados e soluções de backup
Arcserve UDP leva segurança e disponibilidade de dados para a Faitec Tecnologia
O que George Clooney tem a ensinar sobre segurança e proteção de dados?
Cadastre-se para receber o IDNews e acompanhe o melhor conteúdo do Brasil sobre Identificação Digital! Aqui!