Entrevista para a Revista IstoÉ
Há alguns meses, uma grande indústria brasileira de cosméticos trabalhava para lançar uma série de produtos baseada em uma nova fórmula química. Embora o mercado ainda não soubesse da novidade, quem atua dentro do segmento já estava informado. Da noite para o dia, a maior concorrente colocou nas gôndolas dos supermercados uma linha de fabricação idêntica. Pouco tempo depois veio o diagnóstico: enquanto preparava o anúncio da descoberta da nova composição, a empresa havia sido espionada — e as informações chegaram à rival. “Eles não tinham dispositivos básicos de segurança”, relata Bruno Aghazarm, do escritório HFL, especializado em direito digital e que elaborou o laudo do ciberataque à época. Ele se refere à ausência de instrumentos como um firewall, que monitora quem entra e sai de um sistema, por exemplo. “Mesmo os espaços físicos onde as pesquisas tinham sido feitas ficavam abertos. Muitos dados estavam guardados em pen drives ao alcance da mão. Era como se tivessem fechado a porta, mas deixado a janela aberta”, completa.
“As empresas têm propriedade intelectual em risco e são suscetíveis aos ciberataques que visam dinheiro” Bruno Aghazarm, consultor do escritório HFL (Crédito:Anna Carolina Negri)
Ataques como esse são uma realidade constante em um País onde, segundo a consultoria americana Fortinet, aconteceram 7 bilhões de tentativas de invasões a sistemas fechados, públicos ou privados, entre janeiro e julho deste ano. É o quinto maior volume desses registros do mundo, atrás apenas de países que estão no centro da insegurança cibernética mundial, como Rússia, China e EUA.
A modalidade de espionagem industrial não é sequer a mais frequente: no Brasil. Na verdade, a atual epidemia é de “sequestro de dados”, também conhecido como ransomware. Nele, os invasores assumem o controle de um conjunto de informações, mudam os códigos de segurança e exigem resgates milionários para devolvê-las. Foi o que aconteceu nesta semana com a empresa de transporte de valores Protege e, há pouco mais de um mês, com o laboratório Fleury. O grupo Hapvida, a JBS, a Cyrela e até a Embraer sofreram com esse tipo de crime recentemente. “Cerca de 80% das empresas brasileiras estão vulneráveis aos cibercriminosos. Elas têm propriedades intelectuais em risco e são suscetíveis aos ataques que visam dinheiro”, estima Aghazarm. Sem contar que praticamente não há cargos executivos de segurança digital nas companhias hoje, ao contrário dos EUA. “O Brasil ainda dá muito pouco valor à proteção de dados. A mentalidade é que o risco está em hackers isolados. Estamos falando de organizações internacionais gigantescas”, afirma Augusto Schmoisman, CEO da Citadel, uma das consultorias em cibersegurança do País.
Um consenso entre quem trabalha na área no Brasil é que os setores mais vulneráveis são a indústria, o comércio e principalmente empresas de serviços, que manuseiam dados de clientes diretos. São desde operadoras de televisão a cabo e de telefonia até grandes cadeias do varejo. No caso industrial, o risco maior está na propriedade intelectual, fruto de pesquisas caras e de longa duração. É para dar conta disso que entrou em vigor, nesta semana, a Lei Geral de Proteção de dados (LGPD), que exige um controle efetivo sobre tudo o que as organizações armazenam. Para o executivo da Citadel, esse é um passo importante, embora insuficiente. “Estamos em um patamar muito baixo. Nossos sistemas são todos abertos e, pior do que isso, não há nenhuma consequência para quem os ataca”, critica.
Nos EUA, os sequestros de dados visando obtenção de lucros já fizeram com que 2021 seja considerado o “ano do ramsomware”. Casos como os da Colonial Pipeline, de infraestrutura energética, e da JBS americana levaram o próprio presidente Joe Biden a ameaçar Vladimir Putin de retaliação, já que há forte suspeita de atuação de hackers russos com apoio oficial dissimulado. Até por isso, a preocupação estratégica subiu de nível. Agora, o país já se preocupa com invasões em satélites artificiais na órbita da Terra. A ameaça, nestes casos, é que os invasores tomem o controle de dispositivos que desempenham funções essenciais, como o controle de redes de distribuição de água e de energia elétrica, centrais de telecomunicações e sistemas logísticos. “Um ataque desse tipo poderia promover um ‘apagão tecnológico’”, diz Roberto Martinez, analista de segurança da multinacional Kaspersky. Para Schmoisman, essa é uma preocupação a mais diante do atraso do Brasil. “O País ainda não experimentou uma tragédia cibernética. Infelizmente a pergunta não é ‘se acontecerá’, mas ‘quando’”.
