Na segunda-feira (5), a Equifax divulgou que os gastos relacionados ao roubo dados sofrido em setembro de 2017 em um ataque virtual chegaram a US$ 439 milhões. Os criminosos roubaram informações pessoais de consumidores, incluindo dados bancários. Em entrevista a MONEY REPORT, Edgar D’Andrea, sócio da PwC Brasil e especialista em segurança da informação, fala sobre as medidas para evitar, ou ao menos dificultar, esses tipo de crime.

Que tipos de falhas podem abrir brechas a ataques como o sofrido pela Equifax?

Esse foi um ataque bastante volumoso e de muito impacto para a Equifax, uma das maiores empresas de crédito dos Estados Unidos. Alguém encontrou uma “porta aberta” na infraestrutura da tecnologia e a explorou usando uma técnica virgem – que nunca havia sido usada anteriormente. O que pode ter aberto a brecha podem ter sido falta de manutenção do sistema de segurança ou não entendimento interno de cyber segurança, base que mantém dados em sigilo.

Segundo pesquisa recente da PwC, 66% das empresas brasileiras sofreram ataques cibernéticos com perdas de até R$ 1 milhão, ainda que elas estejam investindo em segurança da informação. Como a segurança destes dados pode ser feita de forma efetiva?

É preciso ter uma capacidade de gestão de correções de falhas na infraestrutura sempre atualizada, fechando essas portas virtuais antes que alguém entre. Isso é muito difícil, pois muitas vezes essa gestão de equipamentos para correções não acompanha a velocidade de quem explora estas falhas. Outra coisa que pode ser feita é o mapeamento da tecnologia utilizada e ter sempre a versão mais recente das correções de falhas. Também pode-se fazer uma gestão de inteligência de ameaças, ou seja, a empresa monitora ataques ocorridos em outros lugares e verifica se estão sendo exploradas vulnerabilidades em sistemas semelhantes ao dela. Por fim, outra questão importante é a analise comportamental; ou seja, saber qual o comportamento normal do sistema, identificando por onde entram e saem as informações, e em que quantidade. Isso, se não chega a impedir o ataque, ajuda a bloqueá-los antes que atinja níveis críticos.

O que os hackers querem com este tipo de ataque? Quais possíveis vantagens eles podem ter além do roubo direto?

Usando o caso da Equifax como exemplo, o atacante tinha o interesse de roubar a informação de indivíduos que possuíam contas na empresa. Nome, CPF, dados de conta bancária, CNH, RG, endereço residencial, créditos, o poder de compra, ou seja, um perfil completo. O hacker pode vender essas informações em mercados negros da internet para grupos de fraude, que abrem contas e fazem empréstimos em outros bancos sem que a pessoa saiba que a identidade e a qualidade credora está sendo utilizada indevidamente.

As empresas estão mais preparadas contra ataques?

As empresas estão mais preparadas para ataques virtuais. Só uso de antivírus, por exemplo, barra um bom percentual das invasões. Mas existem outras formas de violação, como links maldosos enviados por e-mail (spams), malwares e phishing (softwares de roubo de dados). Por um lado, os ataques diminuíram, pois há filtros mais inteligentes; por outro, os ataques direcionados e, como o caso da Equifax, estão cada vez mais poderosos. Usando a empresa como exemplo, o hacker que a atacou planejou, estudou, obteve informações e conseguiu navegar na infraestrutura básica da empresa, ganhou poder na navegação como se fosse um usuário autorizado e, com isso, vazou as informações. Também há a preocupação com os ransomware (software nocivo que restringe o sistema e cobra resgate para seu restabelecimento), que são mais amplos e podem atingir qualquer empresa ou pessoa.

Apesar da preocupação com a segurança, os delitos à economia das empresas cresceram nos últimos dois anos. 53% ante 28% na América Latina; 54% ante 37% na América do Norte; e 62% ante 57% na África. Por quê?

Quando estamos falando de delitos das organizações, eles não são necessariamente feitos por hackers. Podem ser de pessoas comuns que têm ou tiveram acesso à companhia, e em algum momento, podem usar maldosamente o sistema por serem internos. O perfil mais comum é formado por funcionários descontentes ou pessoas de má índole já inseridos no sistema, que pensam poder navegar sem serem detectadas. Outro fator é que estes tipos de delitos estão sendo mais identificados pelas empresas, que poderia não acontecer anteriormente, seja por denúncia ou trocas de informações no mercado, que permitem que as empresas se atentem aos delitos cometidos.