27/08/2021 - 12:35
Existem duas máximas no mundo corporativo quando o assunto é segurança de dados. Uma delas é que a empresa “está” segura por determinado período de tempo e não “é” segura. A outra versa sobre “quando” a companhia vai sofrer um ataque e não “se” vai ser alvo de um. Na última semana, chegou a vez da Lojas Renner, uma das maiores varejistas de moda do País, ser vítima de hacker, pois não estava totalmente segura. Foi o primeiro grande caso de invasão a um sistema de uma gigante depois do início, em 1º de gosto, das multas previstas pela LGPD (Lei Geral de Proteção de Dados), que podem chegar a R$ 50 milhões por infração. Com o ataque à rede gaúcha, subiu a temperatura do debate sobre a segurança cibernética das empresas em uma economia hiperconectada. Na avaliação de especialistas, nessa briga de defesa e ataque, de gato e rato, de polícia e ladrão – literalmente –, tem prevalecido os dogmas do mercado, de que a segurança é momentânea e que a qualquer momento uma grande companhia vai ser alvejada digitalmente. “A cibersegurança funciona como proteger uma casa física. Portões, portas e janelas têm de ter camadas de proteção e avisos para evitar a entrada de invasores”, afirmou Rafael Umann, CEO da Azion, plataforma de edge computing que oferece serviços de segurança de dados.
O ataque sofrido pela Renner ocorreu na quinta-feira (19), uma semana depois de a varejista divulgar o balanço financeiro do segundo trimestre deste ano, em que a receita líquida de mercadorias (sem os serviços financeiros) bateu R$ 2,26 bilhões, 318% superior ao mesmo período de 2020 e 11,8% a mais em relação a 2019. Ainda não há informações sobre os prejuízos causados pela invasão hacker que deixou o e-commerce e o aplicativo da loja fora do ar por muitas horas. Até quarta-feira (25) a Renner divulgou ao mercado três comunicados sobre o ocorrido. A empresa informou que as vendas on-line foram restabelecidas nos sites na manhã de sábado (21) e nos aplicativos no domingo (22). De acordo com clientes, houve oscilação dos sistemas de pagamento em algumas lojas físicas.
Para uma empresa que vende em média R$ 25,1 milhões por dia, o prejuízo foi considerável. “Os principais bancos de dados permanecem preservados e, neste momento, todos os sistemas prioritários já estão operacionais”, afirmou a companhia em nota na terça-feira (24). Informações que circularam em fóruns especializados nas redes sociais afirmam que o cibercriminoso pediu resgate de US$ 1 bilhão, em criptomoeda, para devolver os dados criptografados sequestrados. Não há confirmação oficial sobre o valor. A Renner negou qualquer contato com o hacker. “A companhia ressalta que não fez nenhum contato com os autores desse ataque, tampouco negociou ou fez pagamento de resgate de qualquer espécie.”
O Procon-SP notificou a Renner para saber quais bancos de dados foram atingidos, qual foi o nível de exposição e se houve vazamento de dados pessoais de clientes e de outras informações estratégicas.
A reportagem contatou a Autoridade Nacional de Proteção de Dados (ANPD), que aplica a LGPD, para saber se o caso está sendo apurado, mas não obteve retorno. Até o dia 16, a ANPD aguardava a aprovação do Regulamento de Fiscalização e Aplicação de Sanções para a imposição de sanções administrativas. A metodologia para cálculo de multas ainda está em discussão. De acordo com a LGPD, há quatro punições previstas: advertência; divulgação de infrações; bloqueio, suspensão, exclusão e proibição do tratamento de dados pessoais; e multa de até 2% do faturamento anual do grupo, com teto de R$ 50 milhões por infração.
Essa sanção pecuniária é um dos estímulos que levam os hackers ao ataque, principalmente de ransomware – quando há pedido de resgate –, como foi o caso da Lojas Renner. O cibercriminoso sequestra os dados e ameaça vazá-los se não houver pagamento. Com isso, em tese, seria mais vantajoso financeiramente negociar com o hacker do que estar sob a penalidade da LGPD. Especialistas recomendam não pagar o achaque. A subsidiária da brasileira JBS nos Estados Unidos fez o contrário em junho. Pagou resgate de US$ 11 milhões para os hackers que fizeram um ataque à empresa, que afetou as unidades americana, do Canadá e da Austrália. A companhia informou que recuperou todos os dados.
Geralmente e em escala global, esses ataques têm sido realizados por grupos de gangues como REvil, Babuk e DarkSide, muitos de origem russa – ou com IP das máquinas registrado naquele país. A tendência é de aumento nos ataques, com destaque para os de ransomware. Segundo estudo da Kaspersky, especializada em softwares de segurança, houve crescimento de 767% nas invasões por ransomware a seus clientes globais com valuation acima de US$ 1 bilhão entre 2019 e 2020. E do ano passado para este ano, são 90% a mais de ataques do tipo, aponta a SonicWall Capture Labs. A projeção de danos causados por ransomware até 2031 é de US$ 265 bilhões, afirma estudo da Cybersecurity Ventures. Levado-se em conta todos as fraudes digitais, com os mais variados malwares e os mais diferentes tipos de métodos, em 2020 os danos para as empresas foram de US$ 1 trilhão, segundo relatório da McAfee.
O Brasil contribui de forma significativa com esses números. Apenas no primeiro trimestre deste ano houve 3,2 bilhões de tentativas de ataques cibernéticos gerais, segundo a Fortinet. É metade do registrado em toda a América Latina. O e-commerce brasileiro foi alvo de 601 mil tentativas de fraudes gerais no mesmo período, de acordo com a ClearSale. Diante desse quadro preocupante, espera-se que as empresas se preparem. Mas não é o que ocorre. Pesquisa da RD Station revela que 69% das companhias do País não implementaram uma etapa básica dos padrões determinados para LGPD.
Multas por vazamento estimulam ação de cibercriminosos, que sequestram dados e pedem resgate por valor menor que a sanção
A Lei Geral de Proteção de Dados e as ferramentas de segurança para evitar ataques caminham lado a lado. E geralmente os dois campos de atuação são cuidados pela mesma equipe. Como ocorre no Grupo Carrefour no Brasil, que se adequou à LGPD ainda em 2020. A empresa francesa já tinha em sua expertise o movimento efetivado pela legislação europeia, a GDPR. Por aqui, foram sete meses de pesquisas internas para compreender com detalhes como e por onde trafegam os dados manipulados pela rede de mercados. O trabalho teve 400 processos mapeados, 600 planos de ação elaborados e 60 avisos de privacidade implementados em todo o ecossistema digital da empresa. Cerca de 30 mil dos 90 mil colaboradores do grupo receberam treinamento.
O preparo da equipe é apontado como um diferencial na defesa de dados, segundo especialistas como Alexandre Veiga, head de Cyber Intelligence da Stefanini Rafael, do Grupo Stefanini. “Um bom plano estratégico tático, possuir as ferramentas adequadas que possibilitem aos técnicos atuarem tempestivamente, ter processos de segurança maduros e equipe de tratamento de incidentes bem treinada são mais que recomendáveis para a prevenção necessária e urgente.” Para estar seguro e aguardar o ataque. Porque ele virá.
