Há três anos, a imprensa internacional noticiava um dos maiores casos de ataque cibernético já ocorrido no varejo mundial. O alvo, a norte-americana Target, teve os dados de cartões de crédito de cerca de 70 milhões de clientes roubados do sistema de checkout das lojas físicas. Na época, estimativas de consultores apontavam um prejuízo superior a US$ 250 milhões para a rede. O valor contemplava processos judiciais, danos à imagem da empresa, perda de vendas e investimentos para solucionar o problema.
As redes de varejo são o terceiro maior alvo de ataques cibernéticos globais, perdendo para os setores financeiro e de telecomunicações, segundo Demétrio Carrion, sócio de consultoria em segurança cibernética da EY (Ernst & Young). Os motivos são a vulnerabilidade interna das empresas e o fato de terem cada vez mais ativos digitais com grande procura no mercado negro da internet, como informações financeiras e estratégicas do negócio, além dos dados de consumidores. Segundo o sócio da EY, poucos varejistas compreendem a gravidade da situação. “Eles acreditam que só o e-commerce está em perigo, o que é um engano”, alerta Carrion.
As brechas deixadas pelas empresas no Brasil em seus sistemas internos têm elevado o número de ataques. Em 2015, foram identificadas 8,7 mil ocorrências relacionadas à segurança de dados em companhias de diferentes setores – alta de 274% em relação ao ano anterior. Isso representa um prejuízo de US$ 2,5 milhões, segundo o estudo The Global State of Information Security Survey, feito pela PwC e que contou com a participação de 10 mil executivos de 127 países, sendo 600 do Brasil. Apesar do impacto financeiro, a maioria (63%) ainda não investe em programas de prevenção, conforme mostra outra pesquisa, a Global Information Security Suvery, da EY. O levantamento é referente a 2015 e foi feito com 1.755 executivos de 67 países, incluindo o Brasil. “Se no passado os infratores buscavam apenas notoriedade invadindo um site e postando mensagens de protesto, hoje estão atrás de ganhos financeiros. Seja com a venda de informações ou usufruindo delas para benefício próprio”, alerta Edgar D’Andrea, sócio da área de cyber & information security da PwC. “Qualquer empresa corre risco, inclusive as pequenas.”
O estudo da PwC também constatou que, segundo 41% dos empresários brasileiros, os funcionários são os principais responsáveis pelos incidentes cibernéticos. Ex-empregados, atuais e antigos prestadores de serviço, fornecedores, parceiros, além de concorrentes e hackers também estão na lista. Quando conhecem processos e rotinas, entram nos sistemas facilmente. “Os ataques costumam ser bem planejados. É comum permanecerem de seis a oito meses na rede interna sem serem notados. Uma vez dentro, os invadores obtêm as senhas necessárias e vasculham tudo de maneira silenciosa e fora do expediente”, explica D’Andrea.
No varejo físico, as invasões acontecem principalmente nos sistemas utilizados nos checkouts e visam sobretudo aos dados de clientes, como os relacionados ao cartão de crédito. “Há casos de concorrentes que contratam hackers para ajudar a acessar a rede do rival e obter informações estratégicas, que trarão vantagens competitivas. Um funcionário ou ex-prestador de serviço malintencionado também vende esses dados no mercado”, diz Carrion. Segundo ele, a lista de dados mais visada inclui calendários e campanhas promocionais, conteúdo de tabloide, planejamento estratégico, contratos e condições de negociações com fornecedores e margens de produtos. Informações logísticas, obtidas por meio de soluções de backoff, interessam para desvio de mercadoria do CD. “Há casos de busca por contrato de trabalho com o intuito de fazer uma proposta melhor ao profissional”, comenta D’Andrea.
Para evitar invasões, a recomendação é avaliar em que momentos as ocorrências poderão acontecer e desenvolver controles internos. Segundo Carrion, isso passa por definir políticas e criar processos e indicadores de segurança. “É um engano acreditar que essa tarefa cabe apenas ao setor de tecnologia da informação. Ela faz parte da gestão do negócio”, diz o executivo da EY. Ele recomenda ainda adotar sistemas de segurança integrados para cobrir todas as áreas da companhia.
Fazer um mapeamento das informações estratégicas da empresa arquivadas em rede é um primeiro passo para garantir maior segurança. A etapa seguinte é identificar quais são as ameaças e de onde elas vêm. É recomendado, por exemplo, listar os meios de acesso a esses dados, como computadores internos, notebooks, tablets e celulares. A ideia é contar com antivírus atualizado constantemente e senhas fortes com alterações frequentes. O vírus consegue ingressar nos computadores e sistemas da empresa por e-mail ou página da internet, que podem servir de porta aos invasores.
Os funcionários devem ser orientados a não utilizar equipamentos da empresa para atividades pessoais ou emprestá-los a terceiros, ainda que familiares. D’Andrea sugere limitar o acesso das equipes aos dados estratégicos. “A recomendação é dar permissão apenas para aqueles que trabalham diretamente com essas informações. O ideal é restringir também o acesso de prestadores de serviços à rede da empresa”, sugere o especialista da PwC.
Outra medida é recomendar que os empregados não trabalhem com informações valiosas diretamente nas máquinas, ou seja, fora do sistema protegido. Deve-se evitar ainda salvar arquivos no desktop ou enviar por e-mail para trabalhar em uma máquina desprotegida. Também é importante investir em dispositivos de rede para análise de tráfego e acessos, associados a um centro de segurança para emitir avisos quando, por exemplo, forem identificados sinais de uso em horários estranhos. A solução deve contar com mecanismos de bloqueio de acesso. Controlar a entrada à sala do data center da empresa é obrigação, assim como ter backups do disco rígido. “Há casos de sequestro online desse dispositivo, inclusive com pedido de resgate”, alerta D’Andrea, da PwC. O que algumas empresas também estão fazendo para se proteger de ataques virtuais é trabalhar com arquivamento de dados em nuvem, ter um departamento exclusivo de gestão de risco cibernético ou contratar seguros. A cobertura de alguns planos abrange custos com defesa, violação e honorários com advogados. Segundo Carrion, da EY, é importante ainda ter uma estratégia voltada ao pósataque, o que envolve boletim de ocorrência e medidas para solucionar falhas de segurança rapidamente. Investir é importante para evitar prejuízos, como o da americana Target.
Crimes ciberneticos no varejo
-Invasão de e-commerce para torná-lo inoperante ou transmitir alguma mensagem de protesto. Roubo de dados de clientes, como número e senha de cartão de crédito, via e-commerce ou sistema de checkout das lojas físicas
-Captura de informações estratégicas da empresa, como planejamento, calendário de promoções, relatórios de preços e margens, contratos com fornecedores, além de programas de ações de marketing, conteúdo do tabloide de ofertas e outros
-Roubo de propriedade intelectual por meio de acesso a dados de funcionários
-Desvio de mercadorias do CD por meio de acesso ao sistema logístico
-Sequestro online do disco rígido com pedido de resgate, entre outros
Quem ataca
Hackers
Funcionários
Ex-colaboradores
Concorrentes
Prestadores de serviço
Dispara número de ocorrências
São poucas as companhias brasileiras que investem e m segurança para evitar o problema
39% apontam perdas financeiras como um dos principais impactos
274% alta no número de incidentes de segurança da informação nas empresas brasileiras de 2014 a 2015
2,5 milhões de doláres perdas financeiras relacionadas a incidentes cibernéticos nas empresas em 2015
63% das empresas não investem em programas de prevenção de ameaças cibernéticas
41% das empresas apontam colaboradores como principais causadores das ocorrências
Fontes: PwC e EY
Varejo é 3º setor no ranking de ataques
1º o bancário
2º de telecomunicações
Fonte: EY
Como proteger a empresa
-Desenvolva políticas, processos e controles internos de segurança rígidos e contínuos
-Faça mapeamento de todas as informações estratégicas da empresa disponíveis em sistema. Entre elas, planejamento, planilhas de preço e margens de negociações e acordos com fornecedores, calendário promocional, dados de funcionários, clientes e vendas, ações de marketing, sistema logístico, tabloide de ofertas
-Identifique as possíveis ameaças
-Liste os meios de acesso aos dados estratégicos, caso de computadores internos, notebooks, tablets e celulares
-A idéia é contar com antivírus atualizados constantemente e sistema de senhas fortes
-Oriente esses funcionários a não utilizar tais equipamentos para atividades pessoais ou emprestar a terceiros
-Limite o acesso dos funcionários aos dados estratégicos. Permita apenas a aqueles que trabalham diretamente com essas informações poder acessá-las no sistema
-Oriente as equipes a não trabalhar com informações valiosas diretamente nas máquinas, ou seja, fora do sistema protegido. O correto é não salvar arquivos, por exemplo, no desktop
-Tenha backups do disco rígido
-Sala do data center precisa ter controle de acesso para evitar vazamento de informações
-Use nuvem para armazenar informações com segurança
-Invista numa arquitetura tecnológica de proteção. Trabalhar com dispositivo de rede para análise de tráfego associado a um centro de segurança para emitir avisos quando, por exemplo, identificar acessos à rede em horários estranhos. É preciso ter mecanismos de bloqueio
-Caso os dados sejam muito valiosos e a empresa já tenha sido alvo de ataques, criar um setor de gestão de risco para ataques cibernéticos ou ter seguro