Esqueça a imagem do hacker como um nerd solitário "lutando contra o sistema". Os ransomwares, ataques a bases de dados com a finalidade de cobrar resgate e fazer chantagem, tornou-se um braço do crime organizado que tem à sua disposição plataformas na internet que fornecem todos os passos necessários, inclusive o programa invasor. Virou negócio. Tanto, que Roberto Rebouças, gerente-executivo no Brasil da Kaspersky, reconhecida empresa global de segurança, usa termos do universo corporativo para descrever o atual estágio desse tipo de delito. Diz que há plataformas de "crime como serviço", uma analogia ao "bank as a service", ferramentas legais para atividades financeiras. Avisa às empresas que são alvos marcados, mas também a todos nós, usuários de múltiplos serviços digitais, que temos de reaprender as regras de segurança para não "dar mercado" aos criminosos. O cenário já foi retratado em séries de ficção, como Startup, disponível na Netflix). Para quem quer saber mais sobre o assunto em formato leve, a coluna recomenda o episódio 21 da oitava temporada de Last Week Tonight with John Oliver, disponível da HBO.
Por que os ataques estão mais frequentes?
Até há pouco tempo, que fazia ramsonware era um gângster com uma metralhadora na mão e dedo no gatilho. Disparava, acertava um monte de gente, de usuários domésticos a microempresas. De 2018 para cá, mudou o perfil. Está mais para o sniper (atirador de elite). Dá 10 tiros, acerta 10 presidentes. Grandes empresas estão sendo atacadas. Se antes o criminoso digital ganhava pouco em muitos ataques, agora quer ganhar muito em poucos. O crime digital virou negócio. Investem para fazer ataques, prospectam empresas, escolhem o alvo e colhem o lucro.
Ainda se fala em "ataque hacker", mas não é mais cometido por um indivíduo isolado?Mudou muito. Boa parte dos ataques dos últimos meses usa uma plataforma chamada REvil. É um "crime as a service" (analogia ao modelo legal bank as a service). Quem ataca não é o criminoso que desenvolveu um sistema elaborado de ataque. Tem uma plataforma, que vende o acesso. Alguém faz o ataque e remunera o fornecedor em uma espécie de "revenue share" (divisão de receita). Não se trata mais de um adolescente em casa, é crime organizado. Tem muito dinheiro por trás.
No ataque, o criminoso digital, antes de criptografar, colhe os dados. Fica com as informações na mão e pode colocar no mercado.
Faz sentido o diagnóstico de que a pressão por acelerar a digitalização na pandemia criou brechas para esses ataques?
Sim, porque agora a periferia é fluida. Na empresa, o ambiente era mais protegido. Havia dispositivos que reduziam o risco de ataque. Hoje as pessoas estão em casa, usando roteador doméstico de wifi, com conexão à internet paga pelo usuário, com provedor de acesso remoto. Há mais pontos frágeis. O que também mudou é que agora existe a LGPD (Lei Geral de Proteção de Dados). Quando ataca, antes de criptografar, o criminoso digital colhe os dados. Fica com as informações e pode colocar no mercado. A empresa tem de se explicar e corre o risco de pagar multa de 2% do faturamento bruto, até R$ 50 milhões. E o criminoso cobra "só" 1% disso para não expor os dados dos clientes. É um segundo meio de coação.
É outra pressão para pagar o resgate?
Sim, mas é como no crime físico: pagar nunca vale a pena. O criminoso tem a informação na mão dele. Pode cobrar outra vez. Não vai deletar os dados só porque a empresa pagou. Nessa lógica de crime organizado, é uma perspectiva de ganhos futuros. Para as empresas, é mais saudável entender o que aconteceu, fechar brechas que eventualmente tinha e se explicar para a entidade reguladora. Se tiver de pagar multa, paga. Ao menos, vai ser uma vez só. As empresas têm de parar de ver segurança cibernética como gasto. É um investimento. Quando pensa que está gastando, quer economizar. Compra produtos mais baratos, contrata profissionais mais baratos. Como é um risco imenso, é como um seguro de carro, seguro saúde. O ideal é nunca usar, mas se precisar, tem de ser o melhor.
Se as empresas pararem de pagar, podem desincentivar. Tudo é uma questão de mercado. Se não tem demanda, a oferta acaba.
Teremos de nos habituar com esse tipo de crime?
Agora, não é mais "se" a empresa vai ser invadida, mas "quando" será atacada. A diferença é se o criminoso será bem ou malsucedido. Se as empresas pararem de pagar, podem desincentivar. Vai depender muito do comportamento. Tudo é uma questão de mercado. Se não tem demanda, a oferta acaba. Enquanto existir demanda, enquanto as empresas pagarem resgates, vai continuar. Quando deixar de dar lucro, os criminosos vão achar outra coisa para fazer. As empresas têm de parar de pensar que segurança cibernética é comprar produto, instalar e pronto. Há três pilares, e um bom produto é apenas um deles. Se não tiver um bom, não dá. Mas outro são as pessoas, e não só as que operam diretamente o sistema. Todas têm de ser treinadas para reconhecer problemas, desenvolver o que chamamos de awareness (conscientização). E o terceiro é processo, que tem de ser compartilhado por todos e envolve não compartilhar senhas, não repeti-las, usar sempre identificação por dois fatores.
Como esse cenário se combina ao fato de a LGPD já gerar multas?
A LGPD está ativa há 20 dias. Ainda precisamos entender se vai ter ter caráter educativo ou punitivo, se a finalidade é reforçar a cultura de proteção ou arrecadar. Vai levar alguns meses até entender como funcionará. Dependendo de como for, talvez deixe de ser tão crítico. Mas o essencial, de tudo, é que as empresas têm de entender que precisam trabalhar na conscientização. Não é algo com início, meio e fim. Tem de ser permanente. É preciso ser feito toda hora e repetido, até que se torne uma segunda natureza, que naturalmente se pense nisso. E é preciso ir além do mundo corporativo. Nossa vida digital começa antes. As escolas têm de entender que segurança digital é uma disciplina importante. Precisam ensinar que não é bacana compartilhar a senha do jogo com amiguinho porque ele pode passar daquela fase difícil. Depois, ele pode roubar aquele escudo que demorou meses para conseguir (risos). Antes, as chaves da segurança eram "não fale com estranhos", "não aceite bebida ou comida que lhe oferecerem". Agora, a gente tudo o que não deveria. A primeira coisa que muita gente faz ao chegar a um restaurante é pedir a senha do wifi. E se arrisca até a fazer um Pix, ou outra transação bancária, com um intermediário que não conhece, o provedor da conexão. Alô, acorda.
