Trabalho em casa abre brecha para criminalidade cibernética
Trabalhar de casa provou ser eficaz na luta contra o coronavírus. Por outro lado, é uma verdadeira benção para os vírus informáticos, pois multiplica os pontos de entrada nos sistemas das empresas. Empresas que ainda estão mal equipadas para se proteger dos cibercriminosos.
No final de setembro, o gigante da relojoaria Swatch Group foi alvo de hackers. A brecha: um executivo de alto nível teria conectado uma chave USB infectada em um computador profissional nos Estados Unidos, causando um efeito dominó, de acordo com informações da agência AWP.
O grupo alega que “tudo está agora sob controle” e que nenhum resgate teve que ser pago. Entretanto, o ataque cibernético perturbou significativamente as atividades do relojoeiro número um mundial, afetando até mesmo a produção da fábrica Omega, a marca mais afetada do grupo. Os problemas de acesso à Internet dentro da empresa também persistiram por pelo menos um mês, de acordo com fontes internas.
Os hackers raramente são pegos. A peculiaridade de um ataque de piratas é que ele é geralmente detectado vários meses após os fatos. “Em média, uma empresa leva entre 200 e 400 dias para detectar a presença de software malicioso em seu sistema”, diz Solange Ghernaouti, especialista em segurança cibernética. Muitas vezes são os clientes ou parceiros que primeiro alertam a empresa alvo.
Emblemático, o caso do famoso grupo relojoeiro não é, no entanto, um caso isolado. Em maio, a empresa aérea britânica EasyJet teve os dados de nove milhões de clientes roubados. No início de outubro, os hackers conseguiram se apropriar indevidamente dos salários dos funcionários de várias universidades de língua alemã. O construtor ferroviário Stadler Rail recebeu um pedido de resgate de 6 milhões de francos, vítima de um software malicioso que torna os dados reféns.
Em um mundo cada vez mais conectado, o número de ataques cibernéticos está aumentando exponencialmente. Eles são capazes de paralisar completamente uma empresa, que fica sem e-mails, sem telefones, sem sistemas de gerenciamento, entrega, pagamento ou reserva. As consequências podem ser desastrosas. Na Noruega, por exemplo, a gigante do alumínio Norsk Hydro foi obrigada a desconectar seus diversos locais e fábricas. As perdas foram estimadas em 30 milhões de francos.
Pico de ataques durante lockdown
Quando a primeira onda de coronavírus começou a causar estragos em todo o mundo, muitas empresas mudaram para o home office quase da noite para o dia. Incentivado pelos governos, o movimento ajudou a diminuir o número de casos de Covid-19, mas também criou novas brechas na segurança dos computadores, nas quais os hackers se infiltraram rapidamente.
Os números são reveladores. Durante o semi-confinamento em meados de abril, quando quase metade das pessoas que trabalhavam na Suíça trabalhavam de casa, o Centro Nacional de Segurança Cibernética (NCSC, antigo Melani) registrouLink externo um número crescente de incidentes, quase 400 por semana em comparação com pouco mais de 100 no início do ano.
Solange Ghernaouti, professora da Universidade de Lausanne e especialista internacional em cibersegurança, não se surpreende com estes números: “O teletrabalho aumenta os pontos de entrada no sistema de TI de uma empresa, mas também a atratividade dos fluxos para os hackers, porque mais informações estratégicas estão em circulação”.
Instalado com pressa, o home office nem sempre tem sido pensado de forma segura. O uso de computadores pessoais, conexões não seguras, fraquezas na autentificação para acessar o sistema interno são todos entradas que os hackers não hesitarão em forçar. Mas também há riscos físicos mais elevados, como roubo de equipamentos ou deixar escapar informações estratégicas, capturadas por olhos ou ouvidos indiscretos.
A Suíça não é mais vulnerável do que seus vizinhos nem está melhor equipada para evitar ataques informáticos, diz Solange Ghernaouti. “Os cibercriminosos vêem oportunidades em todos os lugares”. Segurança é acima de tudo uma questão de cultura e educação, insiste a especialista, mas segurança não é algo que possa ser construído em um dia. “As empresas maiores, que já permitiam o teletrabalho ou tinham funcionários nômades, estavam obviamente melhor armadas do que as PMEs, que tinham que fazer uma mudança apressada para o home office”, diz ela.
Renunciar para se proteger
Quando se trata de segurança cibernética, facilidade não significa segurança. “Se você usa software simples e gratuito como o Zoom para fazer videoconferências, você ganha o quanto paga”, diz Solange Ghernaouti, “em outras palavras, você não tem nenhuma segurança”. Proteger-se às vezes significa renunciar. “Estar seguro significa fechar, restringir. Para combater uma pandemia, você se confina, você usa uma máscara. Para combater vírus de computador e ataques cibernéticos, você tem que abrir mão de certas práticas que não são seguras e antecipar”, diz ela.
A gestão de risco envolve a conscientização dos funcionários e chefes de empresa e a formação dos mais jovens. Solange Ghernaouti acredita que a cibersegurança deve ser parte integrante da formação em informática nas escolas. Ela apela para o estabelecimento de políticas de segurança a longo prazo: “O maior problema é que sempre reagimos em uma emergência, como os bombeiros. Não antecipamos suficientemente as restrições e necessidades de segurança, não somos pró-ativos o suficiente, não temos uma visão de longo prazo. Vão passar décadas até que isso se torne uma realidade”.
Mostrar mais
Regras e custos do “home office” continuam em debate
Stéphane Koch, vice-presidente da Immuniweb, uma empresa suíça especializada em segurança cibernética, coloca seu dedo em outro problema: a legislação suíça não está adaptada à era completamente digital. “Na União Europeia, uma empresa com quebra de segurança está sujeita a uma multa, que é equivalente a uma proporção de seu faturamento. Na Suíça, as empresas não são legalmente responsáveis o suficiente para assumir as consequências de uma segurança informática laxista”, explica o especialista.
Um ataque de computador pode ser fatal
O desafio da proteção efetiva contra a pirataria não é o menos importante, uma vez que o custo total do crime cibernético representa aproximadamente 1% do produto interno bruto dos países, como aponta Solange Ghernaouti. Nos casos mais dramáticos, um ataque pode levar à falência de uma empresa. Stéphane Koch cita o exemplo de uma empresa francesa que teve que fechar após um ataque contra o presidente. “Alguém fingiu ser o chefe da empresa e conseguiu obter 1,6 milhões de euros pagos no exterior”, conta. Um ano depois, a empresa entrou em falência e 44 funcionários perderam seus empregos.
Além do impacto financeiro, é também a reputação de uma empresa que está em jogo. As empresas relutam frequentemente em falar sobre incidentes cibernéticos por medo de danos à imagem. É por isso que na Suíça não há números precisos sobre o impacto econômico de tais ataques. O governo está examinando a possibilidade de introduzir uma obrigação de apresentação de relatórios nesta área. Espera-se que tome uma decisão de princípio até o final do ano.
Medidas de higiene… digital
A pandemia nos ensinou a aplicar medidas rigorosas de higiene para eliminar o vírus. Será que também nos ensinará a adotar uma melhor higiene digital para proteger nossos dados? Stéphane Koch duvida disso. Ele teme que muitas empresas estejam mais preocupadas com sua sobrevivência do que em investir em segurança cibernética. “As pequenas lojas podem ser tentadas a criar um site para continuar vendendo suas mercadorias, sem se preocupar com a segurança”, observa.
Uma questão mais fundamental é se o digital é a resposta para tudo. Não, diz Solange Ghernaouti. “Ele resolverá parte do problema ligado à pandemia. Mas à medida que avançamos para uma maior digitalização, estamos também enfraquecendo a economia e a infraestrutura”.
A moral da história para o especialista em segurança cibernética: “Sem medidas de segurança eficazes, há algumas coisas que você não deveria fazer online!”
Adaptação: Fernando Hirschy
Adaptação: Fernando Hirschy
Certificação JTI para a SWI swissinfo.ch
Mostrar mais: Certificação JTI para a SWI swissinfo.ch
Participe da discussão