Índice
O estudo Barômetro da Segurança Digital, realizado pelo Instituto Datafolha a pedido da Mastercard, aponta que 64% das empresas brasileiras são alvos de fraudes ou ataques cibernéticos. O alto percentual alerta para outro fator: o despreparo das companhias quando o assunto é segurança digital.
Ao contrário do esperado, após cerca de três anos da primeira pesquisa, divulgada em 2021, o percentual de cibercrimes aumentou em 7%. E apesar do aumento nos números de ataques e tentativas de invasão a sistemas, 23% das empresas entrevistadas afirmaram que medidas de proteção de dados ainda não fazem parte da prioridade no orçamento.
No entanto, 84% das companhias reconhecem que a cibersegurança é um fator de suma importância para seu funcionamento, porém, apenas 35% investem em um setor próprio para assegurar a proteção dos dados.
Brasil é 2º país com mais ataques cibernéticos da América Latina
Com o crescente número de crimes cibernéticos registrados no Brasil nos últimos anos, o país alcançou o segundo lugar com o maior número de tentativas de ataques (103 bilhões) da América Latina e do Caribe, perdendo apenas para o México (187 bilhões). O levantamento faz parte do relatório do cenário global de ameaças do FortiGuard Labs, divulgado em 2023, pela Fortinet.
Para além dos cuidados com as informações dos clientes, a segurança cibernética também se faz necessária na proteção de dados dos funcionários, grupo que também tem sido alvo de crimes na internet. Em 2022, 81% dos ataques de softwares maliciosos foram direcionados, principalmente, aos funcionários como forma de acessar as vulnerabilidades do sistema de forma mais fácil e sem levantar suspeitas. Além disso, 84% das empresas analisadas sofreram uma ou mais violações de sistemas em 2022.
Para o Vice-presidente Executivo de Produtos e CMO da Fortinet, John Maddison, o investimento em treinamento do quadro de funcionários para possíveis ataques é um dos mecanismos para fortalecer a segurança digital das empresas.
Os funcionários possuem um papel crucial na prevenção de ataques cibernéticos e essa pesquisa chama a atenção para a necessidade de as empresas priorizarem os serviços de conscientização e de treinamento em segurança online. As companhias precisam garantir que os funcionários sejam a sua primeira linha de defesa.
John Maddison, Vice-presidente Executivo de Produtos e CMO da Fortinet
Para Leonardo Linares, Vice-presidente Sênior de Produtos e Soluções da Mastercard Brasil, o investimento em cibersegurança deve ser visto como uma estratégia de negócios e forma de melhorar a experiência do cliente. “Está cada vez mais fácil ter acesso às informações sobre novas tecnologias, como as baseadas em Inteligência Artificial, e os clientes querem essas inovações aplicadas no seu dia a dia”, disse Leonardo Linares em nota.
O que é cibersegurança?
Cibersegurança é o ato de proteger servidores, redes de dados, sistemas de informática e dispositivos móveis de ameaças e ataques criminosos que possam corromper a segurança de informações, tais como informações pessoais, empresariais, bancárias e códigos, por exemplo.
Este tipo segurança vai além da criação ou contratação de softwares de proteção. É preciso que a empresa desenvolva uma cultura de cuidados dentro e fora do ambiente empresarial, alertando também os clientes.
A exemplo disso, frequentemente é possível ver nos mais diferentes meios de comunicação, propagandas de bancos informando como e quais são as formas de contato que as instituições financeiras fazem para evitar que os correntistas caiam em golpes. Algo bastante comum nos últimos anos.
Quais são os principais tipos de ataques cibernéticos?
- Roubo e/ou vazamento de dados pessoais;
- Fraude financeira;
- Invasão de sistemas informáticos;
- Disseminação de vírus e malware;
- Ataques DDoS: quando um sistema é acessado por diversos dispositivos ao mesmo tempo, causando uma sobrecarga do servidor e deixando-o fora do ar.
Principais mecanismos de cibersegurança
Com a evolução e disponibilidade de diversos tipos de tecnologia, inclusive a inteligência artificial (IA), os mecanismos de ataques cibernéticos aumentaram. Por isso, é de suma importância que as empresas estejam preparadas para se defender de possíveis invasores. Na contramão do uso criminoso da IA, algumas empresas se valem da tecnologia para melhorar a própria segurança.
A Mastercard, por exemplo, utiliza o Decision Intelligence (DI), um sistema com técnicas de IA generativa que visa aprimorar as proteções de dados de toda a rede de pagamentos da empresa. Segundo a empresa, a “tecnologia examina um trilhão de pontos de dados sem precedentes para prever se uma transação tem probabilidade de ser genuína ou não”, destacou a empresa em publicação.
Há algum tempo, falamos aqui sobre os diferentes tipos de softwares de cibersegurança que existem no mercado. No entanto, além deste tipo de proteção, as empresas devem se atentar a outros mecanismo para melhorar segurança dos dados.
- Segurança de rede, com implementação de firewalls;
- Segurança de endpoints: aderir softwares de proteção contra vírus e malware;
- Segurança de aplicativos: testar, com frequência, a segurança de apps.
- Aderir sistemas de identificação e controle de acesso a informações sensíveis;
- Segurança em nuvem: investir em métodos de segurança para arquivos salvos em nuvem
- Treinamento de funcionários e criação campanhas de conscientização para o público externo;
- Análise de segurança, algo que deve ser feito de forma constante; e
- Estratégia de proteção de dados.
Proteção de dados: o que diz a legislação?
A legislação brasileira dispõe de mecanismos para proteger e assegurar os direitos e deveres da população na contratação e uso de serviços digitais, como o Marco Civil da Internet, em vigor desde 2014, e a mais recente e famosa, a Lei Geral de Proteção de Dados (LGPD), promulgada em 2018, que determina como e quais são os tipos de tratamento que informações podem ter.
“Apesar de a percepção sobre os ataques ter crescido, uma parcela considerável das empresas ainda não prioriza a segurança digital de sua operação. É um ponto de alerta em uma sociedade cada vez mais conectada e com a população atenta à proteção de seus dados pessoais”, avalia Leonardo Linares.
Além da LGPD e do Marco Civil da Internet, há também um artigo no Código Penal sobre o tema. O termo crimes cibernéticos é algo relativamente novo, porém, engana-se quem acha que não existem leis acerca da prática ilegal. O artigo 154-A do Código Penal, define crime o ato de:
“Invadir dispositivo informático alheio, conectado ou não à rede de computadores, mediante violação indevida de mecanismo de segurança e com o fim de obter, adulterar ou destruir dados ou informações sem autorização expressa, ou tácita do titular do dispositivo, ou instalar vulnerabilidades para obter vantagem ilícita”. Nesse caso, a detenção poderá ser de três meses a um ano, mais multa.
O tempo de detenção pode variar de acordo com como e contra quem o crime ocorreu. Confira as súmulas:
§ 1o Na mesma pena incorre quem produz, oferece, distribui, vende ou difunde dispositivo ou programa de computador com o intuito de permitir a prática da conduta definida no caput.
§ 2o Aumenta-se a pena de um sexto a um terço se da invasão resulta prejuízo econômico.
§ 3o Se da invasão resultar a obtenção de conteúdo de comunicações eletrônicas privadas, segredos comerciais ou industriais, informações sigilosas, assim definidas em lei, ou o controle remoto não autorizado do dispositivo invadido:
Pena – reclusão, de 6 (seis) meses a 2 (dois) anos, e multa, se a conduta não constitui crime mais grave.
§ 4o Na hipótese do § 3o, aumenta-se a pena de um a dois terços se houver divulgação, comercialização ou transmissão a terceiro, a qualquer título, dos dados ou informações obtidos.
§ 5o Aumenta-se a pena de um terço à metade se o crime for praticado contra:
I – Presidente da República, governadores e prefeitos;
II – Presidente do Supremo Tribunal Federal;
III – Presidente da Câmara dos Deputados, do Senado Federal, de Assembleia Legislativa de Estado, da Câmara Legislativa do Distrito Federal ou de Câmara Municipal; ou
IV – dirigente máximo da administração direta e indireta federal, estadual, municipal ou do Distrito Federal.”
Há, ainda, outros dois artigos sobre o tema:
Art. 313-A: inserir ou facilitar, o funcionário autorizado, a inserção de dados falsos, alterar ou excluir indevidamente dados corretos nos sistemas informatizados ou bancos de dados da Administração Pública com o fim de obter vantagem indevida para si ou para outrem ou para causar dano. Pena de dois ou 12 anos, mais multa.
Artigo 313-B: modificar ou alterar, o funcionário, sistema de informações ou programa de informática sem autorização, ou solicitação de autoridade competente. Pena de 3 meses a 2 anos de detenção, além de multa.
Fonte: Mastercard, Tribunal de Justiça do Distrito Federal e dos Territórios (TJDFT) e Fortinet
Veja também:
Os diferentes tipos de ciberseguranças
Relatório de cibersegurança da HP revela pressão sobre comprometimento em segurança
Revisado por Glauco Vital em 21/2/24.
Descubra mais sobre Showmetech
Assine para receber nossas notícias mais recentes por e-mail.