Por Fabrício da Mota Alves – Uma das estratégias de ataque cibernético mais comuns – e eficientes – é a engenharia social.
Leia também
Ela se vale de técnicas que permitem explorar falhas humanas com o objetivo de invadir sistemas ou ter acesso indevido a informações privadas, muitas delas sigilosas.
Em regra, a engenharia social permite driblar mecanismos complexos de segurança da informação basicamente através da manipulação do comportamento de uma pessoa.
Uma vez que o criminoso compreende o que motiva um indivíduo a agir em um determinado sentido, ele explora o seu baixo nível de conhecimento (ou de comprometimento) com as políticas ou normas de segurança interna de sua organização para tentar obter acesso ao sistema e, assim, promover suas ações ilícitas.
É, afinal, um mecanismo de ataque que explora o excesso de confiança das pessoas e sua baixa maturidade em proteção e segurança cibernéticas.
Home office ampliou tentativas de ataques cibernéticos
Esse tipo de ataque tem sido cada vez mais comum no Brasil, especialmente após o home office forçado.
Neste modelo, milhares de empresas e organizações se viram obrigadas a funcionar de forma remota, sem o devido preparo tecnológico e cultural de seus colaboradores.
Esse cenário levou órgãos públicos e empresas privadas a operarem em um ambiente extremamente inseguro e despreparado, o que foi rapidamente assimilado por criminosos cibernéticos, que exploraram a nova realidade para ampliar ainda mais o número de vítimas no país.
O que muitos executivos e líderes corporativos talvez ainda não tenham enxergado é que essas fraudes e ataques cibernéticos representam um custo cada vez maior às empresas.
Além de penalidades regulatórias – como multas – e indenizações por perdas e danos, o custo com esse tipo de ataque tem sido à ordem de 1% sobre o lucro líquido das companhias privadas, segundo a pesquisa KPMG 2022 Fraud Outlook.
Pode não soar expressivo, mas, colocado em perspectiva, ou seja, uma vez percebido que esse gasto decorre do despreparo e da falta de prevenção, o percentual torna-se mais relevante.
Além das penalidades e prejuízos indenizatórios, os ataques também causam problemas operacionais, pois podem paralisar operações inteiras por vários dias, o que tem potencial concreto de representar perdas comerciais significativas, fora os danos reputacionais muitas vezes inestimáveis.
Casos de conhecimento público
E o que antes poderia não vir a público já não ocorre mais: a transparência sobre os incidentes é imposição da própria legislação em vigor, como é o caso da Lei Geral de Proteção de Dados Pessoais (LGPD).
No Brasil, além de agências reguladoras, Banco Central e organismos de defesa do consumidor, a Autoridade Nacional de Proteção de Dados (ANPD) também passará a fiscalizar e sancionar o mercado.
Essa fiscalização vai acontecer a partir da constatação de incidentes de segurança que envolvam dados pessoais: está em processo conclusivo de edição o regulamento que estabelecerá a dosimetria e aplicação de sanções administrativas em proteção de dados pessoais.
A LGPD estabelece nove tipos de sanções administrativas distintas, sendo duas delas de caráter pecuniário: a multa simples e a multa diária, ambas limitadas a 2% sobre o valor do faturamento da empresa.
Desse montante são excluídos os tributos, podendo ter como base o faturamento não somente da empresa infratora, mas, ainda, do grupo econômico a que pertença, ou, no limite, o valor de R$ 50 milhões.
Penalidades podem vir de outros setores
Não há nenhum impedimento legal a que outras autoridades fiscalizatórias também apliquem penalidades, segundo seus respectivos sistemas jurídicos, como é o caso da defesa do consumidor ou o ambiente regulado das instituições financeiras – cada qual com uma autoridade competente própria.
Isso significa dizer que, cada vez mais, empresas terão de investir não somente em tecnologia e segurança de sistemas.
Mas, especialmente, em treinamentos internos capazes de reduzir as fragilidades humanas que a engenharia social explora com muito êxito e, assim, evitar a diversidade fiscalizatória do poder público.
Treinamentos e aculturamento são a chave para a construção de elos fortificados em qualquer sistema e política se segurança. Mesmo porque permite, por meio da educação, a ampliação de uma cidadania digitalmente responsável.
Ao investir nas pessoas, empresas fortalecem a sociedade como um todo: afinal, a vítima de um ataque cibernético corporativo é também potencial vítima de práticas criminosas semelhantes em sua vida particular.
Como se proteger sendo consumidor desses serviços?
De novo, através de informação. Também é importante atentar aos seguintes fatores:
- Sempre usar senhas seguras, não previsíveis, nem coincidentes com dados pessoais próprios ou de parentes e familiares;
- Evitar clicar em links ou acessar sites suspeitos;
- Usar ferramentas de proteção digital, como firewall, antivírus (sempre atualizado) e cofres de senhas;
- Desconfiar de “conhecidos” que pedem transferências de valores por mensagem de texto.
Afinal, as pessoas – seja na vida privada, seja na profissional, ainda são o elo mais fraco dos sistemas de segurança quando se fala em ataques cibernéticos.
E não há nada mais eficiente no combate a crimes de informação do que investir em educação e conhecimento de todos.
Fabrício da Mota Alves é sócio do Serur Advogados.