ATAQUES CIBERNÉTICOS DEVEM CUSTAR US$ 6 TRILHÕES À ECONOMIA GLOBAL

No intervalo de apenas um mês, dois grandes ataques cibernéticos nos EUA expuseram a vulnerabilidade das empresas, independentemente de seu tamanho e país de origem, a esse tipo de crime. Em maio, cibercriminosos paralisaram durante cinco dias o abastecimento do oleoduto que fornecia quase metade do petróleo da Costa Leste dos Estados Unidos. Para que o funcionamento voltasse ao normal, exigiram um resgate de US$ 4,3 milhões da Colonial Pipeline, a empresa proprietária. A brasileira JBS, maior fornecedora de carnes do mundo, teve que pagar US$ 11 milhões de resgate após suas redes de computadores serem hackeadas em junho, fazendo com que unidades na Austrália, no Canadá e nos Estados Unidos fossem temporariamente fechadas.

As operações criminosas nas redes virtuais estão se proliferando rapidamente, a ponto de especialistas afirmarem que o mundo pode estar vivendo duas pandemias simultâneas: a do coronavírus e a dos ataques cibernéticos. De acordo com a pesquisa “Panorama de Ameaças Cibernéticas no Brasil”, desenvolvida pelo FortiGuard Labs, laboratório de investigação e inteligência de ameaças da Fortinet, foram 41 bilhões de tentativas de ataques cibernéticos em 2020 na América Latina, sendo 8,4 bilhões de tentativas no Brasil. Estima-se que em todo mundo sejam perpetrados 8 trilhões de ataques por dia, ou 90 mil ações criminosas por segundo. Os crimes são virtuais, mas as consequências são bastante reais. Em 2021, os ataques cibernéticos devem custar US$ 6 trilhões à economia global, conforme o relatório “Cybersecurity — Fighting Invisible Threats”, do banco suíço Julius Baer.

Os Estados Unidos estão no topo dos países mais prejudicados. O Brasil aparece na décima posição, carregando na bagagem casos que mostram que esse tipo de problema já é uma realidade preocupante. Um dos ataques mais emblemáticos por aqui aconteceu em junho deste ano com o Grupo Fleury, de medicina diagnóstica, que deixou fora do ar o sistema da empresa e impediu a realização de exames em suas unidades durante alguns dias. Antes, em janeiro, um megavazamento de dados expôs informações de 223 milhões de números de CPFs de brasileiros (vivos e mortos), colocados à venda por criminosos. Sem contar os ataques a sistemas de órgãos públicos, como o STJ e o TSE, ocorridos em 2020.

“Enquanto conversamos, alguma empresa está sendo atacada, no Brasil ou em qualquer lugar do mundo”, vaticina João Fontes, membro da Subcomissão de Linhas Financeiras da FenSeg e Gerente de Linhas Financeiras da AIG. Há uma série de ataques no portfólio de hackers, mas o mais utilizado contra empresas é o ransomware, em razão do potencial de ganhos financeiros que proporciona. Trata-se de um tipo de malware (software malicioso) capaz de bloquear o acesso ao sistema de um computador ou à rede e de criptografar dados. Os hackers que têm acesso a essas informações sigilosas costumam exigir dinheiro de resgate das vítimas em troca da liberação dos dados.

O pagamento é imposto por meio de criptomoedas, para impedir o rastreamento. Há diversas formas de iniciar um ataque de ransomware, o mais comum, no entanto, é o phishing, quando o fraudador utiliza e-mails, aplicativos ou sites projetados especificamente para roubar dados pessoais. O criminoso se faz passar por uma pessoa ou empresa e envia mensagens com links, para atrair as vítimas. Ao clicar, a pessoa cai no golpe e a invasão é consumada. Com o home office implementado de forma intensa na pandemia, a violação de dados e os pedidos de extorsão chegaram ao ápice nas empresas. Números do setor de seguros confirmam essa tendência de alta na frequência de crimes e também na preocupação das empresas em transferir esses riscos.

De janeiro a dezembro de 2020, o prêmio de seguros para cobertura de riscos cibernéticos foi de R$ 43 milhões, o dobro do valor de 2019 (R$ 21,4 milhões). E o aumento não parou por aí: de janeiro a junho deste ano, já foram emitidos R$ 41 milhões em prêmios, contra R$ 17,3 milhões no mesmo período de 2020 – crescimento de 237%, segundo dados da Susep. O volume de sinistros também vem batendo recordes. Em 2020, foram R$ 31,6 milhões, contra R$ 811 mil em 2019, explica João Fontes, ao citar dados públicos da Susep. Ainda de acordo com o especialista, essa alta tem alterado a metodologia de análise de riscos pelas seguradoras. Ele diz que essa alta tem alterado a metodologia de análise de riscos pelas seguradoras.

“O mercado de seguros está preocupado com essa tendência de crescimento de sinistro, o que vem levando a um endurecimento maior nas taxas e nos termos e condições exigidos para fechar uma apólice”. O vice-presidente de Specialty da THB Brasil, Enzo Ferracini, confirma o aumento do valor cobrado pelas seguradoras para esse tipo de seguro. Até o ano passado, a taxa média era de 1,5% sobre o valor contratado para cobertura. Em 2021, está variando entre 2,5% e 4,5%.

“O que pesa no custo é a maturidade da empresa em relação à gestão do risco cibernético. Antes, as seguradoras enviavam um questionário simples para avaliação de risco. Agora, são dois questionários complexos, com o objetivo de analisar desde os equipamentos existentes, como servidores e backups, até a governança da empresa em relação à utilização do sistema pelos funcionários”, comenta. Ferracini afirma que empresas do ramo financeiro são as que mais demandam seguros de riscos cibernéticos. Na corretora, há clientes também da área de portos e logística e de energia.

“Hoje as empresas não questionam mais se vão ser invadidas, mas quando serão. Um ataque cibernético é capaz de parar uma operação e trazer danos significativos à reputação da companhia”, ressalta. O executivo da THB Brasil acompanhou vários casos de ataques cibernéticos nos últimos anos, mas um, em especial, chamou sua atenção pela ação sofisticada dos criminosos. Foi uma invasão ao sistema de uma empresa do setor agrícola, que tinha acabado de fechar a aquisição de uma planta no exterior. Os criminosos se fizeram passar pelo CEO da companhia, enviando um e-mail ao diretor financeiro, para autorizar a transferência de R$ 100 milhões para a conclusão do negócio.

“A mensagem trazia jargões usados de maneira costumeira pelo CEO, o que acabou não levantando nenhuma suspeita por parte do diretor financeiro, que fez o que o ‘chefe’ pediu. A grande sorte da empresa foi que o banco exigiu um double check para transferir o valor para a conta. Perceberam, então, que o e-mail não tinha partido do computador do CEO”, conta ele. A advogada e membro da Associação Nacional de Profissionais de Privacidade de Dados (ANPPD) e da Associação Nacional de Advogados de Direito Digital (ANADD), Maria José Luccas, diz que os cibercriminosos invadem os sistemas de empresas e estudam a melhor forma de ataque. Podem levar semanas ou meses vasculhando conversas, arquivos e informações sigilosas. A motivação dessas invasões é financeira, na maioria das vezes, mas há casos também de ataques por motivos ideológicos ou apenas para minar a reputação da companhia. “O trabalho da polícia forense na identificação da origem dos ataques é fundamental para impedir que a empresa seja atacada novamente pelo mesmo criminoso”, diz ela.

A executiva de TI Consuelo Rodrigues, especialista na Lei Geral de Proteção de Dados (LGPD) e DPO (Data Protection Officer), explica que há diferentes opiniões de entidades na questão do pagamento de resgate. Algumas não o recomendam por não haver garantia de que os criminosos vão devolver a operação do sistema ou não vazar as informações roubadas.

“Nos EUA, as empresas estão sendo orientadas a não pagar resgate, porque os ataques cibernéticos começaram a ser classificados pelo governo, com prioridade semelhante ao terrorismo. Pagar aos criminosos é uma forma de financiar essa prática, e inclusive empresas de criptomoedas que processarem esse tipo de pagamento, deverão sofrer maior regulação e até sanções num futuro próximo”, afirma Consuelo Rodrigues Consuelo lembra que o Brasil é um dos países mais vulneráveis na América Latina para ataques cibernéticos e, mesmo assim, é um dos que menos investem em cibersegurança.

Numa média geral, apenas 2% do orçamento total das companhias brasileiras é destinado à cibersegurança, em comparação aos 10% da média mundial. Entre grandes e médias empresas, o índice sobe um pouco, mas ainda é baixo em relação a outros países. Cada vez mais dependentes da tecnologia em suas operações, as empresas têm colocado o risco cibernético no pilar das discussões, acredita a diretora de Cyber Risk da Marsh Brasil, Marta Schuh. Mas o caminho ainda é longo. Segundo ela, 61% das companhias na América Latina não têm seguro contra esse tipo de risco. O dado faz parte da pesquisa “Percepção do Risco Cibernético na América Latina em tempos de Covid-19”, produzida pela Marsh em parceria com a Microsoft no início deste ano.

Consuelo Rodrigues e Maria José Luccas fazem parte da Comissão de Privacidade e Proteção de Dados da Ordem dos Advogados do Brasil-secional de São Paulo (OAB SP), criada no ano passado. O levantamento mostrou que 30% das empresas na América Latina perceberam um aumento dos ataques cibernéticos desde o início da pandemia, tendo como principal ameaça os de phishing. “É importante que empresas vejam o seguro como parte da abordagem integrada de segurança cibernética, como estratégia adicional e complementar aos processos adotados e às ferramentas de tecnologia”, argumenta Marta.

Entre as coberturas de um seguro cyber estão a reconstrução do ambiente afetado e necessidades perante órgãos reguladores. O seguro cobre também danos a terceiros, custas com honorários advocatícios, agências de publicidade para minimizar dano de imagem e valores de multas e penalizações. João Fontes, da Subcomissão FenSeg, ressalta que, embora o cenário seja nebuloso, o mercado de seguros está preparado para enfrentar essa onda de ataques e contribuir para minimizar riscos dentro das empresas. “O seguro de riscos cibernéticos está no Brasil há cerca de dez anos.

O mercado brasileiro adquiriu ao longo deste tempo experiência necessária para lidar com esse momento atual. As seguradoras têm buscado discutir com os clientes eventuais pontos de melhorias na segurança da informação, no controle de falhas e na mitigação de riscos, a fim de diminuírem as chances de invasões”.