O ataque hacker que tirou do ar os sites da Americanas, Submarino e Shoptime durante mais de três dias nesta semana trouxe à tona, mais uma vez, os questionamentos sobre o nível de segurança dos sistemas de empresas e órgãos públicos e o quanto estão ou não preparados para agir quando eles acontecem.
A Americanas S.A., proprietária dos sites, entrou para a lista das vítimas de ataques cibernéticos, que no ano passado afetou Renner, CVC, JBS, Grupo Fleury e Ministério da Saúde, entre outros. De sequestro de dados e vazamento de informações pessoais a roubos de critptomoedas, praticamente nenhum setor passou ileso a esses crimes em 2021. No mundo, o número de ataques hacker aumentou 40% em relação ao ano anterior, segundo dados da Check Point Research.
Um dos aspectos que mais chamou a atenção no ataque ocorrido nesta semana foi a falta de informações ou esclarecimentos por parte da empresa. Os sites do Submarino e Shoptime apresentavam apenas um erro, e somente após dois dias passaram a exibir a mesma mensagem da página da Americanas.com, informando que o sistema estava suspenso por questões de segurança. O que gerou a hipótese de o ataque ter sido tão grave que teria impedido até mesmo pôr no ar o aviso sobre a indisponibilidade.
O silêncio também fez com que até agora não se saiba se houve uma falha na proteção dos sistemas, na capacidade de detectar uma vulnerabilidade significativa ou no plano de contingência para reagir ao ataque. Seja qual for o motivo, as perdas da Americanas devem ser de pelo menos R$ 3,4 bilhões em valor de mercado, de acordo com estimativa da consultoria Economática.
Outro aspecto que chama a atenção neste caso é que, historicamente, os ciberataques realizados no Brasil tiram proveito de falhas simples, que possibilitam algum retorno financeiro. Na maioria das vezes, exploram vulnerabilidades já identificadas, mas ainda não resolvidas. Isso pode indicar que, além do aumento na quantidade de ataques cibernéticos, eles estejam ficando também mais complexos.
270 ataques cibernéticos por empresa
A pesquisa State of Cybersecurity Report 2021, da consultoria Accenture (ela mesma vítima de roubo de dados no ano passado), com 4.700 empresas em 18 países, revelou que cada empresa registrou em média 270 ataques cibernéticos – acesso não autorizado a dados, aplicativos, serviços, redes ou dispositivos – em 2021, um aumento de 31% em comparação com o ano anterior.
Destes, 11% foram bem-sucedidos, ou seja, afetaram o sistema das companhias. Ainda de acordo com a consultoria, mais da metade das empresas não combate ataques cibernéticos de forma efetiva, nem conseguem localizar, reverter ou minimizar o impacto das violações.
A escalada dos ataques cibernéticos e a dificuldade em identificar os hackers e puni-los, já que muitas vezes estão em outros países, e o fato de que a busca por rastros e algumas das análises necessárias para investigar um crime deste tipo pode atrasar o restabelecimento de sistemas, estão levando a uma nova abordagem em torno do assunto.
O foco das autoridades e especialistas deve passar a ser mais em contribuir para a recuperação das empresas vítimas de ciberataques em vez de priorizar a prisão dos criminosos e de endereçar aspectos de segurança desde o início do desenvolvimento de sistemas digitais.