Empresas se preocupam menos com segurança em plena alta de ataques cibernéticos

Os números impressionam: todos os meses, mais de 5 bilhões de ameaças digitais são registrados pelo centro de defesa cibernética da Microsoft. A quantidade de ofensivas cresceu de forma considerável em 2020, durante a explosão da pandemia do novo coronavírus (SARS-CoV-2). A preocupação com segurança digital, entretanto, caiu, não aparecendo nem mesmo entre os três maiores riscos percebidos pelas corporações no ano que chegou ao fim.

• Senhas de LinkedIn, Netflix e outros estão em maior vazamento da história
• Dados de 40 mil brasileiros já circulam na internet após megavazamento
• Autoridades desmontam quadrilha que roubou US$ 46 milhões com ransomwares

A conclusão está em um estudo divulgado pela Microsoft em parceria com a Marsh, do setor de seguros e avaliação de riscos. A disseminação da COVID-19 e a crise econômica decorrente disso fez com que o medo do desemprego ou do subemprego subisse duas posições para liderar a lista daqueles que são considerados os maiores riscos para os negócios, enquanto a crise fiscal, líder em 2019, apareceu em terceiro lugar. A propagação de doenças infecciosas, que nem mesmo aparecia entre os 10 mais, ficou com a vice-liderança em 2020.

Com isso, os ataques cibernéticos ficaram apenas com a quarta colocação, perdendo duas posições no ranking de importância, enquanto as fraudes e o roubo de dados também tiveram queda, saindo do sétimo lugar, em 2019, para o nono, em 2020. São dados que contrariam uma tendência de home office e virtualização, que para muitas empresas, será uma realidade ao longo, pelo menos, dos próximos meses, isso se não tiver vindo para ficar.

“[A pandemia gerou] uma transformação digital equivalente a três anos em três meses”, afirma Marcelo Zillo Neto, assessor-chefe de segurança da Microsoft América Latina, apontando também que, com isso, veio uma flexibilização da segurança digital para que a adoção rápida do home office não interferisse na produtividade. “Muitas empresas não tinham um plano de contingência, considerando uma força de trabalho [majoritariamente] remota”, completa.

Com isso, surgiram cada vez mais iniciativas de BYOB, ou bring your own device, com empresas permitindo que seus funcionários trabalhassem de casa utilizando dispositivos próprios. Segundo o estudo, no Brasil, apenas 23% das empresas não adotaram esse tipo de regime, enquanto o restante dos casos levou a um salto no número de incidentes cibernéticos. O mesmo vale para a América Latina, onde os números são semelhantes, e também para o restante do mundo.

Uma maior quantidade de dispositivos pessoais conectados a redes corporativas implica em mais aparelhos acessando informações sensíveis sem estarem necessariamente sujeitos às regras de segurança existentes nos escritórios — aumentando o risco e, também, a superfície de ataque. “Com uma vida digital mais presente, os riscos relacionados à exposição também aumentam, tanto em termos de compartilhamento indevido de informações quanto quebra de privacidade pessoal”, aponta Marta Schuh, superintendente de risco cibernético da Marsh Brasil.

O salto também se reflete em números, com a Microsoft resultando recorde de uso da plataforma Teams em novembro de 2020, com 30 bilhões de minutos de colaboração por dia e 115 milhões de usuários diários. No mesmo mês de 2019, eram apenas 13 milhões. Na mesma medida, as receitas dos negócios de segurança da gigante de Redmond aumentaram em cerca de 40%, conforme as ameaças se tornaram mais reais.

Para os especialistas, essa é uma noção presente em muitas companhias, que estão cientes sobre o aumento das taxas de tentativas de phishing ou instalação de malwares, além de ataques de negação de serviço ou voltados a aplicativos web. Isso levou a um aumento de 21% no orçamento voltado a cibersegurança em 2020. Mas quando os números são esmiuçados, a situação parece bem longe da ideal.

Apesar deste crescimento global, o estudo da Microsoft com a Marsh aponta que 52% das empresas brasileiras optaram por não aumentar a verba em segurança da informação ao longo de 2020, na comparação com 2019; enquanto 1% dos entrevistados afirmou que o montante destinado à defesa digital foi reduzido. “O investimento em cibersegurança ainda é visto por muitos diretores como um custo, e não uma necessidade”, explica Schuh.

Batendo onde dói

A pesquisa demonstra uma realidade que é conhecida, também, pelos cibercriminosos, que sabem onde mirar na hora de realizar ataques ou explorar vulnerabilidades empresariais em busca do lucro. O aumento na adoção do home office, por exemplo, levou a um crescimento considerável nos golpes voltados a tirar do ar ou acessar aplicações web usadas no cotidiano das empresas, pelo fato de mais ambientes deste tipo estarem expostos à internet pública e com um maior volume de usuários conectados.

Zillo aponta uma particularidade do Brasil, com os ataques de negação de serviço apresentando um volume 23% maior, por aqui, em relação ao restante da América Latina. “A capilaridade [de nosso país] e a maior quantidade de usuários conectados gera uma maior superfície de ataque, com mais vetores e possibilidade de sucesso”, explica, citando, ainda, um aumento nos casos de extorsão usando ofensivas de negação de serviço (DDoS), com criminosos exigindo dinheiro das corporações em troca da não realização de golpes desse tipo.

Ao mesmo tempo, entram em cena, também, as características mais centrais dos golpes online, que usam temas do cotidiano e a busca por conhecimento, algo que, ainda, se traduz na fragilidade das pessoas diante de uma doença altamente contagiosa e a procura por imunização. Problemas que, de acordo com Zillo, precisam ser encarados de frente e com foco, justamente, onde estão as maiores vulnerabilidades — no usuário.

Mais do que um investimento em segurança digital, o especialista aponta a conscientização dos usuários como uma arma importante na proteção dos sistemas e tecnologias corporativas. “Investimentos existem como uma forma de criar um ciclo positivo de proteção e resposta a incidentes, mas não existe uma bala de prata em cibersegurança”, completa o especialista. “A melhor forma de encarar [o problema] é por meio de um conjunto de boas práticas, envolvendo diferentes segmentos e as próprias pessoas, além das plataformas digitais.

A pesquisa da Marsh com a Microsoft aponta que mais de 60% das empresas não possuem seguros contra riscos cibernéticos, mas ao mesmo tempo, Schuh pondera que essa também não é uma solução definitiva. Muito pelo contrário, segundo ela, uma má gestão deste ponto de vista pode levar até mesmo à invalidação de uma apólice que, de outra maneira, poderia ajudar a sanar os prejuízos decorrentes de um ataque.

Zillo cita inteligência artificial e machine learning como elementos a serem considerados em estratégias de proteção digital, assim como as iniciativas de conscientização. Outras boas práticas envolvem o uso de autenticação em múltiplos fatores, a validação contínua de dispositivos conectados à rede e o uso de sistemas de proteção locais, nos próprios dispositivos, e também na nuvem, com antivírus, firewalls e demais softwares de segurança sempre ativos e atualizados.

O estudo realizado pela Microsoft em parceria com a Marsh ouviu 640 empresas de mais de 18 países, pertencentes a mais de 20 segmentos diferentes. Das corporações participantes, 31% são brasileiras.