- A insegurança cibernética foi apontada como o quarto maior risco global pelo Fórum Econômico Mundial em Davos
- Empresas listadas na B3 obtiveram uma pontuação média de 49% no nível de maturidade (Cyber Score)
- Especialistas apontam que países como Estados Unidos e China têm legislações mais rígidas sobre a cibersegurança das empresas
Quando até a terceira maior empresa de tecnologia do mundo demonstra preocupação com a cibersegurança, isso significa que o tema pode ser ainda mais delicado do que muitos imaginam. Nesta semana, o Google (GOGL34) anunciou o primeiro centro de engenharia e pesquisa sobre o assunto na América Latina, que deve ser inaugurado em 2026 no Instituto de Pesquisas Tecnológicas (IPT) da USP. A cautela tem justificativa: os ataques hackers devem causar um impacto de US$ 10,5 trilhões até o ano que vem na economia global, avalia a Cybersecurity Ventures.
Mas a discussão não vem de agora. Para se ter uma ideia, no último 19 de julho, a então pouco conhecida CrowdStrike (C2RW34) nem chegou a passar por um ataque hacker, mas a atualização do seu sistema de segurança paralisou as operações de diferentes companhias e setores ao redor do mundo. Um mês após o apagão cibernético, os reflexos ainda fazem preço: as ações acumularam uma queda de 22% e seu valor de mercado saiu de US$ 83 bilhões para US$ 66 bilhões.
Leia também
A insegurança digital tem marcado presença nos relatórios de riscos globais elaborados pelo Fórum Econômico Mundial (WEF, na sigla em inglês) nos últimos anos. Na pesquisa de 2023-2024, apresentada em Davos em janeiro, a sua gravidade ficou atrás somente de desinformação e fake news, dos eventos climáticos extremos e da polarização política. Na percepção das 1,5 mil lideranças econômicas e empresariais consultadas, as novas ferramentas e capacidades tecnológicas devem facilitar os caminhos para o crime cibernético ao longo desta década. “Oferecendo um fluxo de receitas cada vez mais de baixo risco e baixo custo para o crime organizado”, diz o WEF.
Em outro relatório, sobre a perspectiva global de segurança digital em 2024, o fórum ainda aponta que mais da metade das empresas de capital aberto (52%) acredita que a falta de recursos e de competências é o maior desafio para construir uma resiliência cibernética — cultura corporativa que engloba práticas a fim de identificar, responder e se recuperar de um ataque digital. A constatação preocupa, visto que dificilmente um incidente do tipo compromete somente a reputação empresarial, como também informações e finanças de parceiros, clientes e investidores.
Publicidade
Invista em oportunidades que combinam com seus objetivos. Faça seu cadastro na Ágora Investimentos
A segurança das empresas abertas no Brasil contra ataques hackers
Um olhar mais local não reduz a importância do assunto. Em relação às melhores práticas e políticas de segurança digital, a 1ª Pesquisa Setorial em Cibersegurança, feita pela Associação Brasileira das Empresas de Capital Aberto (Abrasca) junto à Security Design Lab (SDL), chegou a uma média de 49% no nível de maturidade (Cyber Score) entre as 109 companhias listadas na B3 (B3SA3) participantes.
“O estudo também busca mapear alertas para as companhias e auxiliar o Poder Legislativo no debate para possíveis normatizações”, frisa Thiago do Val, consultor jurídico da Abrasca. Na última edição, de 2023, o levantamento mostrou que, embora 68% das empresas contem com planos de restauração a possíveis ataques, 42% afirmam não possuir um plano de resposta a incidentes cibernéticos e 46% não possuem um comitê de segurança para identificar, avaliar e monitorar riscos. A associação está recolhendo respostas para a pesquisa de 2024 até 31 de outubro.
O consultor jurídico da Abrasca explica que, conforme a tecnologia evolui, as vulnerabilidade nas empresas vão continuar existindo. No entanto, Val defende que as companhias de capital aberto estão cada vez mais conscientes dos impactos materiais dos ataques cibernéticos, buscando medidas para mitigar esse risco. O que não significa que recentemente as empresas listadas não tenham sido alvo de hackers.
Em junho, por exemplo, a Vivara (VIVA3) passou por uma tentativa de invasão ransomware. “A suspensão do funcionamento de parte dos sistemas foi realizada de forma preventiva e por protocolo de segurança, não tendo causado impactos significativos nas operações ou na experiência dos clientes”, disse a rede de joalherias em fato relevante, que só foi comunicado à Comissão de Valores Mobiliários (CVM) um mês depois da ocorrência e sem dar mais detalhes.
A MetalFrio (FRIO3) também reportou em julho um incidente cibernético. No dia 15 daquele mês, a fornecedora de soluções de refrigeração informou que o fato gerou a indisponibilidade de parte de seus sistemas no Brasil e em sua unidade no México. “A companhia prontamente acionou seus protocolos de controle e segurança para bloquear e minimizar eventuais impactos, tendo preventivamente isolado seus sistemas”, frisa o comunicado, acrescentando que “não identificou o vazamento de quaisquer dados de clientes, fornecedores ou de dados pessoais tratados”. Do dia em que o incidente foi divulgado até a publicação desta reportagem, não houve qualquer atualização espontânea pela MetalFrio na CVM sobre o caso, enquanto seus papéis acumulam uma queda de 8,3%.
Pandemia, digitalização acelerada e vulnerabilidade cibernética
Entre meados de 2020 e 2021, ataques hackers em empresas de capital aberto passaram a estampar os noticiários com constância. Isso porque o isolamento social demandado pela pandemia da covid-19 forçou uma rápida digitalização por parte das empresas, além da atuação remota, expondo-as a mais vulnerabilidades cibernéticas.
Publicidade
Foram pelo menos cinco incidentes cibernéticos que comprometeram temporariamente as operações das seguintes empresas do Ibovespa: Natura (NTCO3), JBS (JBSS3), Fleury (FLRY3), Lojas Renner (LREN3) e CVC (CVCB3). O E-Investidor tentou contato com as companhias citadas, mas nenhuma quis comentar sobre os ataques sofridos até o fechamento desta reportagem.
- “R$ 200 mil em dívidas e depressão”: histórias de viciados em apostas online
Entre os casos acima, a Natura sofreu um abalo financeiro significativo com o ataque ransomware à sua então recém-adquirida subsidiária, a Avon, afetando suas operações entre 9 e 26 de junho de 2020. Houve impacto na ordem de R$ 450 milhões nas vendas daquele trimestre, que fechou com um prejuízo de R$ 392 milhões.
No relatório de sustentabilidade referente àquele ano, a empresa do setor de cosméticos informou que possuía uma gestão estruturada para o mapeamento e tratamento de riscos de segurança da informação, com redundância de dados e rotinas de backup, entre outras práticas. No documento de 2023, a Natura informou que cada unidade do negócio tinha um conselho cibernético exclusivo, supervisionado por um diretor de Segurança da Informação. Treinamentos sobre cibersegurança, junto a exercícios de incidentes, passaram a ser obrigatórios aos funcionários.
Outro ataque com ransomware ocorreu contra a JBS, em junho de 2021. A companhia repassou US$ 11 milhões em bitcoins aos cibercriminosos a fim de retomar as operações das suas unidades nos Estados Unidos, no Canadá e na Austrália, que ficaram temporariamente paralisadas. Embora os executivos tenham argumentado que fizeram “a coisa certa para os clientes”, especialistas na área desaconselham o pagamento de resgates. Para o Security Researcher na ESET América Latina, Daniel Barbosa, a resolução tomada pela JBS alimenta esse tipo de “modelo de negócios” e não garante que os dados sejam recuperados e não ficarão expostos. “Fora que o hacker pode voltar a invadir a mesma vulnerabilidade, pois ele conhece o caminho.”
Nem o ataque hacker tampouco o pagamento do resgate refletiu negativamente no desempenho da gigante de alimentos na Bolsa de Valores. As ações chegaram a cair 4% um mês depois do ocorrido, mas logo passaram por recuperação (veja o gráfico abaixo). Em relação ao balanço financeiro da JBS no trimestre em que ocorreu o incidente, a Genial Investimentos classificou na época que o evento teve “impacto mínimo” e destacou que os resultados do segundo trimestre de 2021 superaram as expectativas dos seus analistas.
Em agosto daquele ano, sites e aplicativos das Lojas Renner e do Fleury também passaram por ciberataques, mas logo conseguiram retomar suas atividades. Em outubro, foi a vez da CVC ser vítima de um ataque hacker, deixando as centrais do atendimento telefônico indisponíveis e sistemas operacionais comprometidos. Ao contrário da Natura e da JBS, as ações dessas companhias mantiveram uma tendência de queda nos pregões ao longo dos meses seguintes. Clique na seta para conferir o carrossel de gráficos abaixo:
Publicidade
CVM deveria ter normas cibernéticas mais duras?
Os governos correm contra o tempo para criar leis e normas que efetivamente reforçam a segurança da informação às suas populações. Por outro lado, ainda mais velozes, hackers escalam a capacidade das suas ferramentas em fazer vítimas no ecossistema digital.
No Brasil, os artigos 154 e 155 do Código Penal tipificam os crimes praticados na internet. Há ainda leis específicas: em 2014 o Marco Civil da Internet foi promulgado e a Lei Geral de Proteção de Dados Pessoais (LGPD) entrou em vigor em 2020. Hoje, no Senado, o Marco legal da Inteligência Artificial (Projeto de Lei n° 2338) é debatido pela Comissão Temporária Interna, enquanto a Subcomissão Permanente de Defesa Cibernética estuda a criação de uma agência governamental. Vale frisar que legislações sobre a cibersegurança foram regulamentadas em lugares como Austrália, China, Estados Unidos e Reino Unido.
Na avaliação do CEO da FS Security, Alberto Leite, um cenário parecido é observado sob o ponto de vista da regulação do mercado de capitais. Ele defende que a CVM deveria se espelhar nas práticas adotadas por outros órgãos reguladores. “Para que haja maior transparência nos casos de ciberataques e vazamento de dados, além da responsabilização tanto dos administradores quanto dos planos apresentados para esse tipo de situação”, afirma.
Em julho de 2023, a Securities and Exchange Commission (SEC, na sigla em inglês), também chamada de “CVM americana”, adotou um regramento sobre segurança cibernética. Em caso de incidentes do tipo, as empresas abertas devem fazer a comunicação em até quatro dias úteis, descrevendo os aspectos materiais da natureza, o escopo e o momento de ocorrência, bem como seu impacto. Apesar do nível de detalhamento, a companhia não precisa divulgar informações específicas ou técnicas sobre a resposta planejada ou de seus sistemas de proteção.
“A SEC é muito rígida em relação ao reporte e à transparência a fim de garantir que os investidores realmente saibam onde estão colocando seu dinheiro. Ele pode ter o entendimento de que o grau de maturidade daquela empresa não é adequado, que uma invasão vai impactar seus investimentos”, explica. Para Leite, a reguladora brasileira deveria se inspirar ainda em exigências da vizinha do continente, que demanda das suas emissoras informações anuais sobre suas práticas de gestão, estratégia e governança de riscos cibernéticos, bem como a supervisão do tema pelo Conselho de Administração.
Publicidade
A Autoridade Europeia dos Valores Mobiliários e dos Mercados (ESMA, na sigla em inglês) é outra reguladora que vai ser mais criteriosa sobre o assunto. A partir do ano que vem, as suas prioridades estratégicas de supervisão devem se concentrar nos riscos cibernéticos e na resiliência digital, juntamente com o ESG (sigla em inglês que se refere a ações voltadas para o meio ambiente, questões sociais e governança). A mudança ocorrerá juntamente com o início da vigência da Lei de Resiliência Operacional Digital, ou DORA, uma regulamentação da União Europeia (UE) ao setor de serviços financeiros sobre o gerenciamento de riscos de tecnologia da informação e comunicação.
- Donos e herdeiros aceleram doação de imóveis em vida para evitar briga e imposto; entenda como fazer
Daniel Barbosa, da ESET, considera que a exigência de maiores detalhes dos impactos de ataques hackers às empresas são insumos para que o ordenamento jurídico consiga evoluir na regulamentação da cibersegurança no Brasil, à medida que as tecnologias avançam em um ritmo ainda mais acelerado. Ele frisa que a transparência permite o entendimento de possíveis responsabilizações das empresas, bem como de compensação a terceiros que eventualmente sejam atingidos. “Cada vez mais esses eventos estão conectados. Os incidentes cibernéticos não costumam ter efeitos isolados.”
Alberto Leite, da FS Security, segue a mesma linha de raciocínio e defende que a CVM deveria ser tão crítica com a cibersegurança quanto a reguladora é em relação a uma fraude financeira. “Ela deveria cobrar um determinado nível de maturidade das emissoras. É impossível pensar numa sociedade daqui 10 ou 20 anos em que essa questão não terá relevância”, argumenta.
Ao E-Investidor, a CVM ressaltou que a Resolução 80 dispõe sobre o registro e a prestação de informações periódicas e eventuais. No formulário de referência, os emissores devem divulgar riscos relevantes, incluindo os cibernéticos (campo 4.1). “Compete à administração da companhia, de posse de um conjunto amplo de informações, exercer o julgamento quanto à identificação dos riscos relevantes a que estão expostos, às medidas mitigadoras adotadas (item 5.1) e ao reporte dessa informação ao mercado, sempre que cabível”, diz a autarquia.
Como mostramos nesta reportagem, o presidente da CVM, João Pedro Nascimento, declarou no passado reconhecer a urgência da atenção à segurança da informação para as companhias. Contudo, ele frisou que baixar mais regulações exige análise de impacto da intervenção. “Criar regras em cima de regras aumenta custo de observância. E mais regras e maiores custos acabam afastando participantes do mercado de capitais.”
Publicidade
Para o consultor jurídico da Abrasca, no entanto, não há a necessidade de a CVM criar mais regramentos sobre cibersegurança. “Existem normas ISO (International Organization for Standardization, em inglês, ou Organização Internacional de Padronização, em tradução livre) que tratam da segurança de informação das empresas e são eficientes. Não acho que ela precise atuar diretamente na parte regulatória, mas numa ação mais orientativa e de acompanhamento”, afirma Val.
O que as empresas de capital aberto estão fazendo para se proteger de ataques cibernéticos?
O setor financeiro costuma ser um dos mais visados por criminosos digitais e é por isso que a Mastercard (MSCD34) tem firmado parcerias de cooperação com governos e entidades, como as Nações Unidas (ONU), a fim de fortalecer a resiliência cibernética ao redor do mundo. Ao E-Investidor, a multinacional conta que investiu US$ 7 bilhões nos últimos anos em seu portfólio de tecnologia, com foco em cibersegurança.
“A Mastercard usa uma variedade de ferramentas e estratégias para identificar, responder e gerenciar ativamente potenciais ameaças cibernéticas para dar suporte aos nossos parceiros de negócios”, disse a companhia. Algumas das suas soluções auxiliam no gerenciamento de risco e vulnerabilidades cibernéticas da própria empresa e de parceiros ou fornecedores. Além disso, todos os funcionários, efetivos ou temporários, passam por treinamento de segurança cibernética.
- Petrobras: projeção de alta de 60% nas ações é exagero?
Uma proteção adicional que as empresas de capital aberto também estão visando é o seguro cibernético. Segundo estimativas da Aliança Global de Seguros Cibernéticos (GCA), esse mercado deve abocanhar US$ 20 bilhões frente uma onda de ataques hackers estimada em US$ 10,5 trilhões até 2025. As apólices variam desde cobertura para resposta a incidentes e recuperação de dados até compensações por interrupções de negócios e responsabilidade legal.
Somente no Brasil, a procura pelo seguro de riscos cibernéticos cresceu 880% de 2019 para 2023. Um levantamento da Confederação Nacional das Seguradoras (CNseg) mostra que, ao longo desses 4 anos, a arrecadação do setor passou de R$ 20,7 milhões para R$ 203,3 milhões. Em escala mundial, dados da Munich Re, resseguradora alemã, projeta que até 2025 o segmento movimente US$ 22,5 bilhões; em 2033, serão US$ 33,3 bilhões.
Alberto Leite, da FS Security, aponta que no caso recente da CrowdStrike, que ofereceu US$ 10 aos parceiros comerciais afetados pelo apagão cibernético, a companhia tem sido alvo de processos ao redor do mundo. “Um seguro poderia aliviar os impactos desse incidente. Os conselhos de administração das empresas precisam ver a cibersegurança como um risco estrutural que pode, não apenas afetar os serviços oferecidos, como manchar a reputação e jogar fora anos de trabalho,” diz.
- Leia também: Previdência privada pode virar herança e ter imposto. Ainda vale investir?
Ainda assim, na avaliação dos especialistas, o seguro cibernético, sozinho, não é capaz de resolver o problema. “A apólice pode dar um alívio financeiro, mas só o dinheiro não será capaz de fazer mágica. Se a companhia não investir em cibersegurança e treinamentos, ela vai desembolsar muito mais para se recuperar de ataques”, explica Daniel Barbosa, da ESET. Segundo ele, enquanto não houver altos investimentos na segurança de estruturas tecnológicas e na capacitação de funcionários, a indústria hacker vai continuar contabilizando lucros trilionários com a vulnerabilidade das empresas e legislações ainda incipientes.
Publicidade