Governo do RS sofre ataque hacker e sites ficam indisponíveis; Saiba como proteger-se deste tipo de situação
‘Vivemos uma guerra infinita contra o risco cibernético’, afirma especialista em coberturas para o ambiente digital
Na madrugada de segunda para terça-feira diversos sites ligados à rede de portais do Governo do Estado do Rio Grande do Sul foram atacados por cibercriminosos e ficaram fora do ar. Mensagens chegaram a ser apresentadas nas páginas de órgãos oficiais, como o Departamento de Trânsito (Detran), Secretarias da Agricultura e da Fazenda e da Companhia de Processamento de Dados do Estado do Rio Grande do Sul (Procergs).
Em nota, a Secretaria de Planejamento, Governança e Gestão do Estado confirmou o problema. “Nesta madrugada houve um acesso indevido em alguns sites do governo do Estado do RS. Ainda durante a madrugada, a Procergs, por meio de suas monitorias ativas, identificou e bloqueou esta iniciativa. Todas as providências para sanar essa situação já foram tomadas. O evento se deu em um ambiente restrito e sem vazamento de dados. Todos os cuidados estão sendo tomados para retorno dos serviços afetados com a maior brevidade possível”, explicou o comunicado.
De acordo com a Advogada especialista em Direito Civil, com ênfase em Responsabilidade Civil e Contratos, Thayse Fernandes da Cunha, “em toda empresa, organização, é de suma importância a adoção de políticas internas que garantem níveis de privacidade e de segurança da informação com padrão da ISO 27000, que sejam de conhecimento de todos colaboradores. Para tanto, gestores – principalmente dessas áreas – devem se atentar para a efetividade dessas políticas e que sejam, de fato, uma cultura interna de toda a empresa, organização”, revela a Coordenadora Jurídica de Direito Digital da Russell Bedford Brasil.
Com ampla experiência na área de privacidade e proteção de dados, a especialista afirma ser notório e visível o aumento no número de ataques cibernéticos. “Com a alta de atividades online – inclusive devido ao período pandêmico que vivemos – é notório o aumento de ataques cibernéticos. As atividades home office têm servido de portas de entrada de hackers em sistemas de empresas e instituições. Existem pesquisas que apontam o crescimento de notificações referentes a esses ataques em 220% no primeiro semestre deste ano, se comparado no mesmo período de 2020. Dentre os principais ataques dos últimos tempos podemos destacar o ataque à JBS – invasão que foi do tipo ransomware, sistema que acessa todos os dados e os “sequestra”, além dos golpes no Pix, seguidos pelo famoso phishing”, elenca a Advogada.
Thayse lembra que a principal finalidade dos grupos hackers que promovem este tipo de ataques à órgãos governamentais e empresas é econômica. “Dentre as principais finalidades está o pedido de resgates visando o recebimento de valores astronômicos. Com a incidência da Lei Geral de Proteção de Dados (LGPD), o valor dos dados pessoais – e aqui percebemos o motivo dos hackers em sequestrar esses tipo de informação – disparou na mídia diante do reconhecimento como direito fundamental e, ainda, o reconhecimento das pessoas físicas como titulares de direitos”, analisa. “Além das empresas estarem se adequando com medidas eficazes para evitar ataques cibernéticos – como políticas e processos internos – é de suma importância que sejam realizados periodicamente testes de intrusão, testes de phishing, bem como implementação efetiva das diretrizes expostas pela LGPD; e, ainda, sejam realizadas auditorias visando a efetividade do programa de governança de dados adotados pela organização”, completa.
Curiosamente, o ataque aos sites do Governo do Rio Grande do Sul aconteceram justamente no Dia da Internet Segura (08 de fevereiro). “Isso demonstra a necessidade de estarmos cada vez mais preocupados em investirmos em medidas eficazes para combatermos esse tipo de acontecimento. Além disso, é necessário também que políticas sejam implementadas de forma efetiva, bem como de planos de contingência. A preocupação para com a privacidade das informações deve se tornar algo natural e cultural dentro das empresas – seja ela pública ou privada”, considera a Coordenadora Jurídica de Direito Digital da Russell Bedford Brasil.
“De forma geral, a preocupação no desenvolvimento cultural dos colaboradores das organizações, das empresas, investindo em treinamentos é uma das principais vulnerabilidades. Isso posto, uma vez que são os colaboradores que estão na linha de frente no tratamento dos dados pessoais e demais informações que são valiosas aos olhos dos hackers. Além disso, se para empresas privadas, muitas vezes, a valorização no investimento em segurança da informação e privacidade já são delicadas, para órgãos e empresas públicas Se mostram ainda mais. Questões orçamentárias e a demora nos processos licitatórios refletem diretamente na contratação de investimentos em segurança da informação”, elenca Thayse Fernandes da Cunha.
Quem também alerta sobre as diversas variáveis que abrem brechas para invasões e golpes efetuados por cibercriminosos é Claudio Macedo Pinto, sócio fundador da Clamapi Seguros Cibernéticos. “A primeira dica que eu daria é uma expressão usada lá fora, que é o ‘zero trust’, ou seja, confiança zero. Desconfie de tudo que você recebe. Seja de amigos, sejam e-mails… Ás vezes um amigo passa uma mensagem achando que é verdadeira e trata-se de um site falso. Acho que a primeira coisa é desconfiar de tudo, absolutamente de tudo que você receba. Porque pode haver ali uma armadilha e, por vezes, até involuntariamente alguém acaba passando para frente algum tipo de malware, algum tipo de situação que possa causar prejuízo”, evidencia ao lembrar que no ambiente digital não existe alguém que chega e diz “me passa tudo”. “Os criminosos entram dentro dos sistemas das pessoas, das empresas, e podem ficar durante meses sem serem percebidos até o momento em que ele decide ou vê a melhor alternativa de dar um golpe”, cita.
Na visão de Claudio, vivemos uma explosão de ataques cibernéticos em todo o planeta, não apenas com sites de governos, como também de empresas privadas e pessoas físicas. “Os cibercriminosos estão evoluindo mais rápido em termos de tecnologias de ataque do que as proteções. Então, mesmo que existam muitas proteções, as empresas acabam não dando a atenção devida à proteção de dados – que hoje é o maior ativo das organizações”, diagnostica. Um ponto importante é que não existe uma única solução. Não é um antivírus que vai resolver o problema de uma empresa”, aconselha. “Estamos vivendo uma guerra infinita em relação ao risco cibernético”, complementa.
Soluções e coberturas securitárias
Claudio Macedo Pinto lembra que existem seguros que podem resolver este tipo de situação, mas eles não estão disponíveis para riscos governamentais. “Podem ser aceitas empresas de capital misto, como Banco do Brasil ou Petrobras, por exemplo. As empresas não estão com apetite de assumir risco com órgãos governamentais. Para os demais, empresas e pessoas físicas, existem seguros que cobrem situações que tem basicamente três pilares: vazamento de dados, danos e assistências. Mas reitero que o mercado de seguros cibernéticos está bem criterioso na aceitação do risco – até por conta do alto índice de incidentes de segurança que estão acontecendo não apenas no Brasil, mas ao redor do mundo”, revela ao reiterar que todo o tipo de organização – grande, média, pequena ou micro – pode ser alvo dos criminosos digitais.
Como manter a segurança e violação dos dados nas empresas e evitar golpes?
De acordo com o relatório The Hidden Costs of Cybercrime, da McAfee, a soma dos custos com cibersegurança e das perdas com cibercrimes em 2020 foi de US$ 1 trilhão, 50% a mais que o valor de 2018. Phishing, vishing e smishing, malwares, ransomware, pharming, engenharia social e DDoS são os tipos de crimes mais comuns contra as empresas e merecem atenção redobrada. Diante disso, Isabelle Kwintner, diretora sênior de estratégia da UzziPay – uma fintech com engajamento no desenvolvimento sustentável da Amazônia – elaborou uma lista de atitudes adotadas pela organização de modo a absorver possíveis riscos cibernéticos.
- Criar uma cultura de cibersegurança entre funcionários e colaboradores da empresa, com a realização de campanhas e treinamentos;
- Oferecer experiências que ajudem no aprendizado e a entender, desconfiar e como agir nas situações de risco;
- Manter a equipe sempre motivada e comprometida com as políticas de cibersegurança;
- Com muitos trabalhadores em home office, oferecer ferramentas para prevenção e evitar brechas para invasão do sistema da empresa;
- Sempre trocar informações sobre ciberameaças e vulnerabilidades no sistema.