No início deste mês, a British Airways, a maior companhia aérea do Reino Unido, relatou que 380 mil transações realizadas em seu aplicativo móvel foram comprometidas, levando os líderes do setor e especialistas em segurança cibernética a alertar consumidores e empresas sobre a ameaça de ataques. O executivo-chefe da companhia declarou que a ofensiva foi sofisticada, maliciosa e criminosa. Os arquivos violados continham dados de clientes, como nomes, endereços físicos e de e e-mail, números de cartões e as suas respectivas datas de validade.
Sabemos que as empresas estão desenvolvendo estratégias baseadas em tecnologias na internet para facilitar a comunicação com os seus clientes, ampliar a oferta de serviços e reduzir os custos operacionais. O que não temos certeza é sobre o quanto essas inciativas são concebidas levando em consideração riscos cibernéticos que podem comprometer o sucesso do negócio. De acordo com uma pesquisa recente realizada pela Marsh & McLennan, foram violados mais de sete bilhões de registros nos últimos oito anos. Estima-se que os prejuízos de US$ 1,7 bilhão em 2015 subam para mais de US$ 6,8 bilhões anuais até 2020.
Por aqui, o custo médio total de violação de dados foi de US$ 1,24 milhão em 2017, segundo um relatório emitido recentemente pela IBM, em parceria com o Instituto Ponemon. Além disso, a pesquisa também indica que os prejuízos decorrentes desses ataques, dos quais o Brasil é vítima frequente, crescem a cada ano.
No início de setembro, o Ministério Público do Distrito Federal e Territórios (MPDFT) abriu um inquérito para apurar um suposto vazamento de dados de dois milhões de clientes da cadeia de lojas de varejo C&A, relacionados ao programa de compras com vale-presente. A empresa afirmou que foi vítima de um ataque cibernético, mas que, tão logo identificado o problema, o plano de contingência foi acionado, e as autoridades competentes, notificadas. Embora tenha confirmado o ciberataque, a C&A negou qualquer vazamento de informações contidas em cartões de pagamento.
Proteção obrigatória
Em outubro de 2016, a Uber foi vítima de uma violação de 50 milhões de registros de clientes e dados de sete milhões de motoristas. O incidente só foi revelado pela mídia em novembro de 2017, pouco tempo depois que o novo CEO assumiu o controle da empresa e solicitou uma investigação interna. A conta do vazamento chegou, e a Uber acaba de firmar um acordo de US$ 148 milhões para todos os 50 Estados norte-americanos e o Distrito de Colúmbia. Além da indenização, o termo do contrato prevê a adoção de uma série de iniciativas, como estabelecer um Escritório de Segurança (Security Office, no termo em inglês) que se reporta diretamente ao Conselho Administrativo, adotar melhores práticas e cumprir a legislação vigente de proteção de informações de consumidores, bem como notificar periodicamente eventuais imprevistos.
É inegável que a inovação propicia diferencial competitivo nesse mercado cada vez mais acirrado. Mas é preciso balancear os riscos gerados pela adoção de tecnologias digitais, principalmente quando dados sensíveis fazem parte do modelo de negócio.
As ameaças estão se tornando mais frequentes e sofisticadas e, por isso, exigem uma postura de enfrentamento cibernético por meio da adoção de programas estruturados de defesa e proteção.
Dentre as soluções recomendadas pela Embratel para minimizar riscos de violação de dados, destacam-se:
– Serviços de consultoria que visam delinear os requisitos de segurança do projeto, minimizando riscos de violação de dados;
– Alocação e gerenciamento de firewalls de última tecnologia, com funcionalidades de controle da aplicação, prevenção de vazamento de dados e detecção e bloqueio de invasões;
– Solução de SIEM (gerenciamento e correlacionamento de eventos de segurança) com recursos cognitivos, que possibilitam analisar incidentes e comportamentos anômalos na rede;
– Análise de vulnerabilidades nas aplicações e elementos de infraestrutura de TI;
– Testes de invasão que simulam ataques não autorizados, que podem identificar e corrigir previamente brechas de segurança em aplicações que possam ser exploradas por cyber criminosos, antes que sejam colocadas no mercado.