Na semana passada a Microsoft anunciou a compra da startup de segurança cibernética RiskIQ, sem até o momento ter declarado o valor da operação, mas o momento em que vivemos, pode dar a dimensão da importância com que as big techs estão olhando a segurança.
A RiskIQ ajuda os clientes a entender e avaliar a segurança de toda a sua empresa, no Microsoft Cloud, AWS, outras nuvens e em sua cadeia de suprimentos, a expertise da empresa adquirida pela Microsoft, ajudará as empresas a identificar e remediar seus ativos mais vulneráveis antes que os cibercriminosos possam atacá-los.
Na semana passada, a Microsoft pediu aos usuários do programa Windows que instalassem imediatamente uma atualização, depois que os pesquisadores de segurança da empresa encontraram uma grave vulnerabilidade no sistema operacional.
A falha de segurança que afeta os sistemas operacionais Windows 7 e Windows 10, foi apelidada de PrintNightmare e ameaça o serviço de spooler de impressão do programa mais usado no mundo. Sendo que o bug veio depois que uma empresa de cibersegurança acidentalmente postou orientações sobre como explorar vulnerabilidades no serviço.
Os números de ataques de hackers com pedido de resgate a empresas dispararam, e os criminosos exigem dinheiro em 57% das 13 mil invasões mensais confirmadas, apenas no Brasil.
Mas afinal, quem está livre dos ataques de ransomware? Essa é a pergunta que todos devem estar se fazendo após o recente ataque as Lojas Renner.
Em termos conceituais, ransomware é um pedido de resgate em troca de desbloquear o acesso aos dados de um sistema, usado para atingir, com algumas exceções notáveis, empresas relativamente pequenas, quase sempre sem sistemas de segurança sofisticados ou especialistas nesse assunto.
Ao longo do tempo vimos empresas como a farmacêutica Merck, a gigante da logística Maersk e até mesmo uma grande variedade de hospitais ou órgãos de governo receberem chamadas de criminosos exigindo pagamento em troca da devolução ao acesso de seus próprios dados ou impedi-los de serem publicados, algo que, às vezes e dependendo da natureza desses dados, pode resultar em uma compensação muito maior.
Veja o tamanho do problema, afinal, no caso do ataque sofrido pela Garmin, que é uma empresa listada na NASDAQ desde 2000, avaliada em cerca de US$ 20 bilhões e seus serviços e produtos são utilizados no mundo inteiro, guardando uma quantidade gigantesca de dados, além de estar presente em inúmeros outros serviços prestados que são vitais, como em aeronaves e viaturas de pronto atendimento.
O mais espantoso ainda é que a empresa optou na época, por pagar o resgate de vários milhões de dólares, o que nos permite ter uma dimensão do problema e, ao mesmo tempo, serve de estímulo para o crescimento desse tipo de delinquência, além de trazer novos criminosos para esse segmento do crime.
Recentemente, a agência de viagens CWT sofreu também um ataque, utilizando-se do mesmo expediente, pagou o resgate, que no primeiro pedido era de US$ 10 milhões e que após muita negociação, ficou em US$ 4,5 milhões. O mais espantoso é a troca de mensagens com criminosos, que chegaram a dar-lhes conselhos para que tais problemas não acontecessem novamente e um “preço muito especial”, ou seja, uma consultoria do bandido, algo parecido com o praticado em alguns estados brasileiros onde se pagam as milícias.
Assistimos ao crescimento vertiginoso do número de ataques e do seu valor, onde o pedido de resgate praticamente dobrou, sendo que, os conhecidos, estão mantendo uma média de US$ 84.000 e evidentemente, junto com o avanço dos valores, estão evoluindo também as técnicas utilizadas pelos bandidos.
A técnica de phishing vem sendo largamente utilizada, pois a partir de uma simples mensagem, disparada genericamente no estilo “vamos jogar a rede pra ver o que vem”, evoluímos para ataques cuidadosamente projetados para acessar uma empresa ou pessoa específica, muitas vezes com componentes que usam não apenas tecnologia, mas também elementos sociais, conhecimento da vítima, etc, ou seja, a engenharia social vem sendo uma aliada fantástica desses bandidos e da sua cada vez maior sofisticação.
Agora as mensagens não são mais simples e-mails genéricos, às vezes até mal escritos ou mal traduzidos, nos quais apenas os muito incautos ou os muito desajeitados caíram, agora podem vir e ser reforçados de várias maneiras, procurar pessoas especialmente vulneráveis na organização e responder a esquemas muito cuidadosamente preparados, cada vez mais quantitativamente aumentando os riscos e, consequentemente, configurando ferramentas cada vez mais sofisticadas.
Praticamente qualquer um pode cair em esquemas como esse, clicar em um link em uma mensagem ou página que aciona, inadvertidamente, a instalação de um programa de malware não é algo que simplesmente acontece com os desajeitados ou os tolos.
Ao que parece o mundo civilizado precisa evoluir para combater esse tipo de crime com mais rigor, pois por mais que possamos entender que a tecnologia é adotada de forma muito proativa justamente por aqueles como os criminosos, com um importante incentivo para isso, e que o desenvolvimento das criptomoedas tem sido capaz de proporcionar um ambiente de maior impunidade para a coleta de resgates, é cada vez mais importante tomar ações coordenadas internacionalmente para evitar algo que ameaça se tornar epidêmico. Acima de tudo, parar de incentivá-lo ainda mais mostrando que, em um número perigosamente alto de ocasiões, os criminosos conseguem seu propósito e saem com o dinheiro debaixo do braço.
Não podemos incorporar o custo dessas ações em um capítulo contábil considerado “o custo de fazer negócios na rede”. O problema do ransomware tem uma solução difícil, mas é sempre possível encontrar uma. Precisamos fazer as coisas de forma diferente, evitar que os criminosos se refugiem em países que não tem lei ou ofereçam alguma impunidade, educar todos os envolvidos para prevenir tais ataques e nos proteger de todas as formas possíveis.
Sendo o ransomware o “malware por resgate”, ele é inevitavelmente um software malicioso, utiliza-se de criptografia ou compactação de dados com senha, e torna reféns as informações digitais das vítimas.
Nele são seus dados que são sequestrados e esse crime não vem poupando nem prefeituras. Tente imaginar uma prefeitura sem os dados do contribuinte para fazer o cadastro tributário do município? O risco sobe na medida em que todos os dados vão sendo digitalizados.
O Direito Penal brasileiro tem dois dispositivos que podem ser utilizados na tipificação do crime, o primeiro ficou conhecido como lei Carolina Dieckmann e foi introduzido em 2012 em razão da invasão de dispositivo informático, assim dispondo:
“Art. 154-A. Invadir dispositivo informático alheio, conectado ou não à rede de computadores, mediante violação indevida de mecanismo de segurança e com o fim de obter, adulterar ou destruir dados ou informações sem autorização expressa ou tácita do titular do dispositivo ou instalar vulnerabilidades para obter vantagem ilícita: (Incluído pela Lei nº 12.737, de 2012)
Pena – detenção, de 3 (três) meses a 1 (um) ano, e multa.§ 1o Na mesma pena incorre quem produz, oferece, distribui, vende ou difunde dispositivo ou programa de computador com o intuito de permitir a prática da conduta definida no caput. (Incluído pela Lei nº 12.737, de 2012)
§ 2o Aumenta-se a pena de um sexto a um terço se da invasão resulta prejuízo econômico. (Incluído pela Lei nº 12.737, de 2012)
§ 3o Se da invasão resultar a obtenção de conteúdo de comunicações eletrônicas privadas, segredos comerciais ou industriais, informações sigilosas, assim definidas em lei, ou o controle remoto não autorizado do dispositivo invadido:
Pena – reclusão, de 6 (seis) meses a 2 (dois) anos, e multa, se a conduta não constitui crime mais grave. (Incluído pela Lei nº 12.737, de 2012)
§ 4o Na hipótese do § 3o, aumenta-se a pena de um a dois terços se houver divulgação, comercialização ou transmissão a terceiro, a qualquer título, dos dados ou informações obtidos.
§ 5o Aumenta-se a pena de um terço à metade se o crime for praticado contra:
I Presidente da República, governadores e prefeitos;
II – Presidente do Supremo Tribunal Federal;
III – Presidente da Câmara dos Deputados, do Senado Federal, de Assembleia Legislativa de Estado, da Câmara Legislativa do Distrito Federal ou de Câmara Municipal;
IV – dirigente máximo da administração direta e indireta federal, estadual, municipal ou do Distrito Federal.
Outro dispositivo aplicável é o que regula o crime de extorsão:
Art. 158 – Constranger alguém, mediante violência ou grave ameaça, e com o intuito de obter para si ou para outrem indevida vantagem econômica, a fazer, tolerar que se faça ou deixar de fazer alguma coisa:
Pena – reclusão, de quatro a dez anos, e multa.
§ 1º – Se o crime é cometido por duas ou mais pessoas, ou com emprego de arma, aumenta-se a pena de um terço até metade.
Como se percebe a conduta para esse tipo de crime já está prevista em lei, porém, isso não tem diminuído o número de crimes praticados.
A cibersegurança está novamente no foco das empresas no País, e não tem tamanho nem valor mínimo, todas estão no foco.
Os números mostram que o problema no Brasil é muito maior do que se imagina. Os resgates também estão mais caros: segundo a empresa Unit 42, os valores cobrados pelos criminosos saltaram 82% no último ano, chegando a US$ 570 mil por ocorrência.
O pouco investimento no segmento evidencia que a preocupação do empresário brasileiro está muito aquém do tamanho do problema. Segundo dados da consultoria de risco Cyber Risk e da corretora Marsh Brasil, do total de orçamento com TI das empresas, só 5% são gastos em cibersegurança. Uma das exceções nessa tendência é o setor financeiro, onde essas despesas sobem, ficando entre 15% e 18.
Protocolos de segurança, como restrições a determinados dados e o uso de um sistema de backup robusto e, de preferência, fora da internet é vital, pois nem sempre o pagamento do resgate garante o restabelecimento das informações. Conforme o executivo, na média internacional, entre 40% a 50% dos hackers não cumprem o combinado mesmo após receber o dinheiro.
Com a pandemia e o consequente aumento do trabalho através de home office, com servidores públicos e funcionários de empresas privadas, cada um em sua casa – a segurança, inicialmente pensada para o ambiente do escritório, não acompanhou o movimento. Além disso, com as pessoas em casa, o e-commerce se tornou um componente muito mais importante para a receita das varejistas, incluindo a Renner, nos últimos 18 meses.
De acordo com pesquisa da empresa de segurança Kaspersky, foram registradas 1,3 milhão de tentativas de ataques de ransomware na América Latina entre janeiro e setembro de 2020, uma média de 5 mil ataques bloqueados por dia. O país mais atacado foi o Brasil, que registrou 46,7% das detecções.
Não existe nicho, segmento ou país, todos estamos expostos ao risco, em menor ou maior escala.