No último dia 7, o Fleury anunciou, em nota para o mercado, que havia sofrido um ataque cibernético após observar instabilidades em seu sistema. Essa não foi a primeira vez que a companhia de saúde foi vítima desse tipo de crime. Em junho de 2021, já havia sofrido um ataque de ransomware – que é, basicamente, o sequestro de dados com pedido de recompensa financeira.
Em 2022, 68% das empresas brasileiras relataram ter sofrido violações de cibersegurança, segundo o estudo da The State of Ransomware 2023, da empresa global de cibersegurança Sophos – um aumento de 24% em comparação a 2021. “Não é uma questão de ‘se‘, e sim de quando você será atacado”, diz André Fleury, head de cibersegurança da Accenture na América Latina.
Leia também
- Por mais dias de home office, 85% dos profissionais trocariam de emprego
- Como ser bem-sucedido: 13 lições de Sam Altman, fundador do ChatGPT
- Apple é a mais nova empresa a proibir que funcionários usem o ChatGPT
Os ciberataques não são necessariamente tão elaborados quanto se imagina. Na verdade, podem ter como porta de entrada um simples link em um e-mail forjado para parecer que foi enviado por uma chefia do destinatário – e gerar danos milionários. O mesmo relatório mostra que os comportamentos dos funcionários têm sido a principal causa de entrada de criminosos aos dados das empresas, seja por violações de credenciais (29%), como senhas, ou por e-mails maliciosos (18%) e phishing (13%), que consiste em clicar em links perigosos.
O trabalho remoto tem criado mais portas de entrada de criminosos aos sistemas das empresas. Esse regime está ligado ao uso cada vez mais frequente da internet pessoal dos funcionários e máquinas próprias, além de diferentes plataformas corporativas de comunicação assíncrona. “Quando todo mundo foi para o remoto por conta da pandemia, várias empresas se viram obrigadas a promover segurança nas casas dos seus funcionários”, diz Gilmar Esteves, vice-presidente de segurança da informação da Zup, empresa de tecnologia.
Sistemas de segurança e antivírus poderosos não impedem totalmente violações de segurança nas empresas, uma vez que simples ações dos usuários podem facilitar o acesso de um hacker ao sistema operacional da companhia – como fornecer senhas e acesso remoto a máquinas. Por isso, especialistas apontam que é fundamental conscientizar os funcionários em cibersegurança por meio de treinamentos corporativos lúdicos e práticos.
Prejuízo financeiro dos ciberataques às empresas
O prejuízo que empresas têm em casos de ransomware envolve a retomada do seu sistema de segurança e dos dados roubados, além de um período com redução de produtividade ou paralisação das operações para resolver o problema.
Um relatório recente da IBM diagnosticou que as perdas globais com ataques cibernéticos devem chegar ao valor de US$ 10,5 trilhões (R$ 52,35 trilhões) anualmente até 2025, enquanto outra pesquisa da empresa de segurança cibernética Acronis avaliou que o custo médio global de cada violação cibernética deve chegar a US$ 5 milhões (R$ 24,92 milhões) ainda este ano. As violações de segurança que têm como causa o trabalho remoto aumentam esses custos em US$ 1 milhão (R$ 4,98 milhões), avalia a IBM.
No Brasil, a IBM mostra que uma violação de cibersegurança custa às empresas em média US$ 1,38 milhão (R$ 6,88 milhões) – o país tem a maior taxa de crescimento (27,8%) do custo médio de um ataque. O valor varia de acordo com a extensão do ataque, a natureza dos dados comprometidos e a estrutura que a empresa já tinha antes da ocorrência da sua violação. “O mercado tem agido mais quando os ataques acontecem do que de forma preventiva”, diz André Carneiro, senior managing director da companhia de cibersegurança Sophos. “Com o dano, as empresas gastam muito do dinheiro que poderia ter usado para prevenir que isso acontecesse.”
Por que funcionários cometem erros que comprometem a cibersegurança
Exigência por maior produtividade, sobrecarga de trabalho e exaustão são algumas das causas de erros humanos no trabalho que comprometem a cibersegurança de seus empregadores, apontaram os funcionários entrevistados em um estudo da Universidade de Stanford de 2022. Dos respondentes, 26% já caíram em ataques de phishing – por e-mail ou mensagens de texto – e 32% já atenderam pedidos de hackers que simulavam situações reais no contexto de trabalho. A maioria deles teve esse tipo de comportamento quando estavam cansados (51%), estressados (50%), distraídos (50%) ou trabalhando rápido (48%).
Entre as razões pelas quais os funcionários geralmente se tornam portas de entrada de ataques cibernéticos estão a aparente legitimidade da mensagem (54%), o suposto envio por parte de uma chefia (52%) ou a crença de que o conteúdo seria de uma marca ou pessoa com boa reputação (38%). Isso vale tanto para um e-mail duvidoso com links quanto para mensagens em plataformas corporativas de pessoas se passando por profissionais internos de TI e pedindo senhas de máquinas da empresa.
Não é falta de conhecimento e, sim, de hábito
Simulações desse tipo de incidente – como e-mails e mensagens de origem duvidosa – e treinamentos de boas práticas de segurança digital são a chave para mitigar o erro humano e tornar a empresa menos vulnerável a ciberataques. A Sophos, por exemplo, relembra seus funcionários da importância de se duvidar do que está na sua caixa de entrada. Mas isso não impede que eles também caiam nessas armadilhas.
“Mandamos um e-mail para todos os funcionários da empresa prometendo um relógio da Apple para os 100 primeiros respondentes de uma pesquisa interna do RH”, contou Carneiro, senior managing director da companhia. “A montagem do e-mail relembrava o real, mas o remetente não existia na empresa e o domínio dele não era igual ao nosso. Mesmo assim, cerca de 50% da companhia clicou no link”. A recompensa para quem entrou na pesquisa falsa foi, na verdade, um treinamento de 20 minutos sobre os riscos de clicar em um link desse tipo ou inserir um pen drive em uma máquina desconhecida.
Para aproximar as questões de segurança corporativa aos empregados de empresas, a Acadi-TI traz a importância da proteção de dados pessoais nas capacitações que oferece. “Para as pessoas, algumas coisas como fotos e dados pessoais não têm preço. Um clique pode colocar tudo a perder”, diz Josué Adil, diretor-executivo da empresa de capacitação em cibersegurança Acadi-TI. “Com esse jogo psicológico, a gente vai mudando a cultura da pessoa ao estar conectada não só no pessoal, mas também na organização em que ela trabalha.”
Boas práticas de proteção das informações do seu trabalho
Os especialistas em cibersegurança entrevistados pela Forbes Brasil deram dicas de comportamentos que os funcionários podem ter para diminuir a vulnerabilidade empregador a ataques. Confira:
-
Getty Images 1. Proteja suas senhas
Use senhas complexas em plataformas corporativas e, se possível, com caracteres especiais. Troque-as com frequência. Mais importante ainda, não repita as senhas que você costuma usar para contas fora do meio corporativo.
-
MoMoProductions/Getty Images 2. Separe o que é corporativo do que é pessoal
Evite usar máquinas e plataformas do trabalho para resolver questões pessoais e não use seu e-mail corporativo para criar contas em sites não relacionados à sua atividade profissional. Também, não envie documentos e outros dados sigilosos do seu empregador para seu e-mail e outras plataformas pessoais.
-
Nipitphon Na Chiangmai/Getty Images 3. Duvide de e-mails e mensagens fora do comum ou muito tentadoras
Mesmo que o e-mail pareça vir do seu chefe ou colega de trabalho, evite clicar em links ou baixar arquivos enviados por eles – ou e-mails que simulem ser os usuários deles – que fujam do comportamento deles no cotidiano de trabalho. Ou, se uma oferta ou proposta muito tentadora chegar na sua caixa de entrada, desconfie. Sempre cheque se a pessoa estava trabalhando no momento que ela teria enviado o e-mail ou confirme que foi ela mesma quem te enviou a mensagem por alguma outra forma de comunicação, como por telefone.
-
Getty Images 4. Não use redes de internet públicas para trabalhar
Evite usar redes de internet públicas, como de eventos e aeroportos, para resolver assuntos do trabalho e, principalmente, para entrar em plataformas corporativas. Mesmo que a rede aparente ser de locais de confiança, um criminoso consegue criar uma rede com a mesma identificação para roubar seus dados.
-
Anúncio publicitário -
Getty Images 5. Mantenha seus sistemas atualizados
Atualizações de sistemas operacionais frequentemente corrigem falhas de segurança descobertas pelos desenvolvedores. Por isso, especialmente em máquinas com informações sigilosas, sempre verifique se a versão mais atual do sistema está instalada.
1. Proteja suas senhas
Use senhas complexas em plataformas corporativas e, se possível, com caracteres especiais. Troque-as com frequência. Mais importante ainda, não repita as senhas que você costuma usar para contas fora do meio corporativo.