Precisamos falar sobre cibersegurança

Grão Venture Capital, 18 de August de 2021
Grão

Juliana Soares

Entre os meses de janeiro e fevereiro de 2021, foi identificado o maior vazamento de dados da história do Brasil. Foram expostos 223 milhões de CPFs, 40 milhões de CNPJs, 104 milhões de registros de veículos e mais de 100 milhões de linhas de celulares. Mesmo com esses números alarmantes, a cibersegurança ainda não é um assunto prioritário no país. É o que conta Marco DeMello, CEO da PSafe, empresa de segurança cibernética responsável por descobrir os casos. Marco foi o nosso convidado a conduzir o webinário virtual “Vazamento de dados: como evitar que sua empresa seja a próxima vítima e alvo da LGPD”, que aconteceu no final de julho.

Além de ser o CEO e cofundador da PSafe, Marco é presidente do Grupo CyberLabs. Atuou por 10 anos na Microsoft onde foi diretor do Windows Security, trabalhando diretamente com Bill Gates. Ele tem mais de 20 anos de liderança na área de cibersegurança e falou sobre a importância de proteger as empresas contra os sofisticados ataques de hackers, que têm evoluído cada vez mais rapidamente. “Vivemos hoje uma pandemia digital de ciberataques empoderados por inteligência artificial e redes neurais”, conta ele.

A pandemia e a internet

A internet mudou consideravelmente durante a pandemia. Marco explica que a reclusão da sociedade fomentou a evolução tecnológica e o aumento do volume de dados em circulação. “Foi uma aceleração para o mundo digital de 10 anos em 6 meses e tudo isso atraiu hackers”, diz. Apesar dos negócios experimentarem os benefícios dessa evolução, o mesmo aconteceu com o crime organizado que já operava na deep web.  Ele também se tornou mais sofisticado. Marco explica que os criminosos contam com ferramentas e tecnologias tão avançadas quanto as usadas pelas maiores empresas do mundo. 

Os megavazamentos são uma consequência dessa evolução. A posse dos dados dá aos criminosos uma quantidade razoável de informações pessoais. Isso faz com que as pessoas acreditem nos contatos feitos por indivíduos mal intencionados que se passam por representantes de instituições consideradas confiáveis. Segundo Marco, quase 9 milhões de brasileiros foram vítimas de estelionato nos últimos doze meses, e a cada 5 segundos existe uma tentativa de fraude em sites de e-commerce no país. 

Marco explica ainda que os números altos são consequência da proliferação de novas categorias e modalidades de ataques, que são feitos de uma forma muito bem estruturada e utilizam inteligência artificial. “Hoje em dia, não é mais necessário invadir uma empresa. Os hackers acessam as empresas. Fazem login como você e eu. É assim que eles entram no seu sistema, espalham os seus malwares e roubam os seus dados”, esclarece.

A fragilidade do sistema de senhas

Os hackers conseguem acessar as contas fazendo login porque o sistema de senhas é muito frágil. Marco conta que em 2020 quase 10 bilhões de senhas vazaram, o que representa um aumento de 726% em comparação ao ano anterior, segundo levantamento feito pela PSafe. Ele considera as senhas “o câncer da internet” e diz que elas provavelmente serão extintas na próxima década.

Ele esclarece que a única forma efetiva de proteção de dados é a prevenção feita com ferramentas tão sofisticadas quanto as usadas pelos criminosos. É a estratégia mais eficiente para  evitar que os dados da sua empresa sejam sequestrados ou que o seu sistema seja invadido. “Essa briga não pode ser vencida apenas com boas práticas de segurança. Isso só vai ser feito com sucesso através de ferramentas preventivas que façam uso de inteligência artificial. O hacker do presente não é mais uma pessoa, mas sim um robô que usa modelos muito avançados de IA e trabalha 24 horas, 7 dias por semana”, afirma ele.  

Marco explica que enquanto a nossa alternativa for o uso de senhas, devemos escolher combinações complexas e variadas. Além disso, sempre que possível, a autenticação de duplo fator deve ser ativada. Apesar de ela não ser a melhor solução, é uma proteção a mais que dificulta a vida de criminosos. 

Quando o assunto são os aplicativos de gerenciamento de senhas, pode-se dizer que eles são uma conveniência, mas também não impedem os ataques. Mesmo fornecendo um banco de senhas criptografadas, todas elas estão dentro de um mesmo repositório, ou seja, um único ponto de ataque. “Se a sua senha de acesso ao repositório vazar, todas as suas senhas vazam no mesmo instante”, esclarece Marco.

A solução, segundo ele, está em um futuro próximo. “Acredito visceralmente que a única solução para autenticar e autorizar pessoas é a autenticação biométrica contínua. A diferença entre ela e a senha é que a senha é o que você sabe e a biometria mostra quem você é. Isso é o futuro da autenticação”, diz. Portanto, dentro da realidade atual, soluções como o face ID e a biometria são sempre mais seguras do que usar senhas convencionais.

Vazamento de dados

Atualmente, a principal causa de vazamentos de dados de uma empresa é o fato de os seus colaboradores trabalharem usando dispositivos como computadores e telefones celulares sem a proteção adequada. Segundo Marco, 87% dos ataques começam dessa forma. Algumas outras causas comuns são a ausência do uso de VPN para acessar dados corporativos, a falta de orientação da equipe sobre segurança e política de cuidados, e o uso de senhas fracas e sem autenticação de dois fatores. 

Proteger a empresa implica ter o ambiente interno organizado e garantir a segurança de tudo o que é feito com os dados processados. Isso significa cuidar da proteção do ambiente corporativo de rede e dos endpoints, além de ter os domínios monitorados. Caso a sua empresa use soluções prontas como CRM e outras ferramentas de gestão, por exemplo, é fundamental ter contratos muito bem amarrados com os fornecedores, que incluam a exigência de uma política de governança e segurança de privacidade de dados. O mesmo vale para colaboradores temporários ou freelancers que precisam ter acesso aos dados da empresa. É prudente exigir em contrato que eles instalem a ferramenta de proteção e monitoramento da organização na sua máquina de trabalho. 

O aumento do trabalho em home office neste último ano também ajudou a multiplicar os riscos de ataques. O problema em questão não é necessariamente o trabalho ser feito à distância, mas sim a falta de investimento nos protocolos de segurança por parte das empresas. Em casa, na maioria das vezes, o colaborador usa um roteador caseiro, a internet é mais vulnerável e mais pessoas podem ter acesso ao computador com os dados corporativos.

O cenário de ataques no Brasil é bastante grave. Marco enfatiza que é preciso haver uma melhora significativa das práticas de cibersegurança e o monitoramento ativo dos dispositivos de trabalho e das redes para que no caso de uma intrusão, ela seja percebida e remediada instantaneamente. Os fundadores e CEOs precisam ter consciência da gravidade e da importância desse assunto para terem uma atitude proativa com relação à proteção das empresas contra ciberataques como phishing e ransomware, por exemplo.

A LGPD

A Lei Geral de Proteção de Dados Pessoais é uma lei ordinária federal que está em vigor no Brasil desde o final de 2018. Entretanto, ela tem vigência plena a partir de agosto de 2021 quando multas e penalidades passam a ser aplicadas. “Ela abrange todos os tipos de dados pessoais, além dos dados pessoais sensíveis, não apenas dos seus clientes como também dos seus parceiros e colaboradores. Em caso de violação da lei pode haver multas de até 2% da receita por incidente (com um valor limite de 50 milhões de reais) ou a proibição total ou parcial do exercício de atividades”, explica Marco.

Dados pessoais incluem informações que permitem identificar uma pessoa direta ou indiretamente, como o RG, o CPF ou o endereço residencial, por exemplo. Já os dados pessoais sensíveis estão relacionados à origem racial ou étnica, opinião política e convicção religiosa, entre outros. Com relação às penalidades, no caso de a empresa comprovar a implementação de soluções de cibersegurança com o objetivo de prevenir e minimizar o vazamento de dados, as multas e sanções podem ser reduzidas ou até mesmo eliminadas. 

Há dois outros conceitos importantes relacionados à LGPD que destacam boas práticas a serem utilizadas para lidar com esses tipos de dados na sua empresa. O primeiro deles é a anonimização. Nela, os dados são capturados, mas não estão conectados ao titular, à pessoa. Ou seja, a empresa tem as informações, mas não sabe a quem elas pertencem. O segundo é a pseudonimização, que divide os dados em dois grupos. Um deles guarda os dados pessoais e os dados pessoais sensíveis sem vinculá-los aos donos desses dados. Já no segundo grupo há um ponto de conexão que liga os indivíduos aos dados do primeiro grupo. A identificação só pode ser viabilizada ao combinar os dois grupos. Essas estratégias não impedem o risco de vazamento, mas o diminuem.

Como lidar com os dados

Para tratar os dados pessoais e os dados pessoais sensíveis corretamente, é preciso compreender e seguir diversas premissas. É preciso, por exemplo, explicar ao titular de forma clara e explícita a finalidade do armazenamento dos dados. Ele deve ter ainda livre acesso às informações que lhe competem através de uma comunicação feita de forma exata, clara e correta, transmitida com máxima transparência.

Entretanto, para Marco, as premissas-chave são a segurança, a prevenção e a prestação de contas. “Eu considero a prevenção a mais importante de todas. Você precisa estar bem protegido não só em relação à LGPD, mas em relação a ciberataques. A prevenção é a única solução, porque uma vez que você seja invadido ou sequestrado por um ransomware, você está nas mãos do criminoso”, explica ele. 

Além de seguir essas premissas, é preciso que haja uma adequação interna da empresa à LGPD. Isso inclui ações que devem ser tomadas em quatro frentes. A primeira delas é a jurídico-regulatória. É preciso trabalhar em conjunto com um advogado, interno ou externo, para mapear os processos e documentos relacionados ao armazenamento de dados, além daqueles exigidos pela legislação.

A segunda premissa é a cultural. Em conjunto com o departamento de recursos humanos, é necessário educar, treinar e capacitar todos os funcionários acerca da importância de proteger tanto os dados da empresa quanto os dados dos clientes. Eles precisam entender que a cibersegurança é uma responsabilidade que deve ser compartilhada por todos.

Já a terceira é tecnológica. Ela envolve os desenvolvedores, os consultores externos e o time de BI no mapeamento de dados, na definição e automatização das regras e na geração e gestão de logs. Por fim, temos a frente que Marco considera como sendo a principal: a preventiva. Ele reforça a importância de fazer uso de uma ferramenta de proteção preventiva, proativa, automatizada e ativa 24 horas por dia, 7 dias por semana.

*****

A questão da cibersegurança parece ser um bicho de sete cabeças, mas se tratada com a devida importância, pode ser contornada. É fundamental lidar com o tema com seriedade, organização e prudência. Desta forma, você conseguirá adotar boas práticas e poderá optar pelo uso de uma solução que melhor se adeque à realidade do seu negócio e te deixe tranquilo.

Marco DeMello é CEO da PSafe, empresa de segurança digital que foi responsável por detectar os megavazamentos de dados que aconteceram no Brasil no início de 2021. O dfndr enterprise é a solução criada pela PSafe contra vazamentos de dados empresariais.