04/03/2022 - 0:40
Semana passada, a Americanas S.A., detentora dos e-commerce Americanas, Shoptime, Submarino, Sou Barato e carteira digital AME, além de atuações em logística e crédito, passou pelo maior temor de todas as empresas e indústrias no mundo: ser invadida e bloqueada por hacker. Pelo número de negócios on-line, é praticamente como ser invadida no mundo real por um batalhão armado, segurando como refém o negócio por três dias. “Qualquer paralisação traz prejuízos imediatos e de longo prazo, seja na perda de receita direta, seja com imagem, reputação, processos e outros. Isso é válido para qualquer tipo de empresa, não é exclusividade da Americanas”, disse Geraldo Guazzelli, diretor-geral no Brasil da multinacional americana Netscout, uma das maiores no setor de cibersegurança, com clientes como Banco Votorantim, IBM e Nestlé. No caso da Americanas, até sua volta ao ar, a empresa perdeu 12% em valor de mercado — os papéis oscilaram de R$ 33,72 (sexta-feira, 18, véspera do ataque) para R$ 29,69 (quarta-feira, 23) e fecharam uma semana depois a R$ 32,45 (quarta-feira, 2). Os números da companhia são gigantescos, como 398,3 milhões de transações e 49,8 milhões de clientes no acumulado de 12 meses.
Guazzelli diz que toda ação tem de ser tomada antes de qualquer invasão. “Somente atuação preventiva é eficaz”, disse. Depois de consumada a invasão, o estrago está feito e quem dá as cartas é o invasor, que usualmente pede um resgate em criptomoedas, mais difícil de rastrear, e só depois envia uma chave para desencriptar tudo. DINHEIRO conversou com ele para entender o que é pânico exagerado e o que é real nesse mundo, que é repleto de sigilo.
A Americanas, em seu comunicado final, na quarta-feira (23), disse que o e-commerce foi “suspenso” por causa de um “incidente de segurança”, completando que não achou “evidência de que sua base de dados tenha sido comprometida”. Como é uma empresa de capital aberto, tem de manter seus acionistas, clientes e parceiros “semi-informados”. Por que “semi”? Porque não disse que tipo de invasão sofreu, se foi um data encryption, que impede o acesso da empresa a seu negócio; um data theft, que extrai, explora, expõe e vende os dados; ou um DDoS, ataque de negação de serviço, com invalidação por sobrecarga, que deixa as equipes da empresa e segurança ocupadas. Ou o pior, um Triple Extortion, que é a soma das três possibilidades anteriores. Por três dias, talvez o hacker tenha virado “dono” da Americanas.
“Pânico seria o caso de empresas que não trouxeram o tema para discussão e não definiram caminhos para mitigar riscos” Geraldo Guazzelli diretor, Netscout.
ATIVIDADE ANÔMALA Não é preciso ser nerd para entender que os terroristas e bandidos do cibermundo têm de ser mantidos fora de sistemas o máximo possível, pois o estrago é grande. Segundo a Netscout, em 2021 foram detectados 5,4 milhões de ataques DDoS pelo mundo, sendo o maior deles contra um operador de internet alemão, caracterizado como ataque de volumetria, com 1,5Tbps — não precisamos entender as tecnicalidades, é como uma bomba atômica 24 horas por dia no seu negócio.
Para se ter uma ideia, no Brasil, o maior visto em 2021 aconteceu contra um usuário único, provavelmente um gamer, de 675Mbps, talvez uma disputa suja entre jogadores. São tantos “pacotes” (que é o termo usado em Tecnologia da Informação para “sequência de dados”) por segundo que o cara não consegue nem respirar, seja ele uma pessoa física ou uma equipe de uma empresa, quanto mais resolver definitivamente o problema.
Foi atacado, reze. Não é o melhor slogan para uma empresa de segurança, mas atualmente é a real. Guazzelli diz que sua empresa tem visibilidade de cerca de 1/3 de todo o tráfego que passa pelas redes IPs globais. “Seguramente a grande maioria das organizações já teve algum tipo de atividade anômala ao seu core business, principalmente ataques e tentativas de invasões.”
Para ele, o ecossistema brasileiro ainda é pouco maduro do ponto de vista de implementação de medidas e soluções que permitam identificar, tratar e mitigar ameaças. As provedoras de acesso até que estão preparadas, mas isso não seria suficiente para novos players como healthcare e manufacturing . “Segurança não pode ser tratada como casos especiais.”
