Quando o varejo é atacado.
Uma grande ação de comunicação capaz de elevar as vendas às alturas pode ser rápida, precisa e eficazmente sabotada de forma remota, impedindo não só o faturamento previsto com o alto investimento nessa divulgação específica como também o valor de mercado da empresa atingida – coisa de muitos milhões, talvez bilhões. Teria sido mera coincidência de datas entre a ação de comunicação e o ciberataque ou uma estratégia bem coordenada?
No sábado, 19/02, a rede de lojas Americanas fez uma grande ação publicitária – em casos como esse, “dentro” da atração, conhecida como merchandising – num dos programas de maior audiência da TV aberta, o BBB 22. No dia seguinte, domingo, 20/02, os sites de e-commerce da Americanas e o Submarino (este segundo também controlado pela primeira) saíram do ar. No início da tarde desta segunda, 21/02, o site Shoptime, pertencente ao grupo, ficou inativo. Os respectivos aplicativos também foram atingidos. Estima-se que as perdas em vendas sejam de cerca de R$ 220 milhões – até agora.
E o prejuízo não para por aí: no 1º dia útil seguinte ao ataque, a Americanas enfrentou um recuo de 6,61% em suas ações, uma queda de valor de mercado na casa de R$ 2 bilhões. Embora as lojas físicas da rede tenham permanecido funcionando, algo como 2/3 do faturamento da empresa vêm do comércio digital, o que significa que nem de longe as compras presenciais podem compensar as que não serão realizadas on-line. Ou seja, o cibercrime paralisou um gigante, como fez, há pouco tempo, com outro, o próprio país, quando atingiu os bancos de dados do Ministério da Saúde. Há outros exemplos…
Do ponto de vista do cibercriminoso, quanto mais importante for o momento para a empresa-alvo, maior será o prejuízo provocado. É, portanto, bastante plausível pensar que o ataque hacker tenha ocorrido logo após o merchandising na TV por mais que mera coincidência. Além da perda financeira direta, devido às já citadas vendas não realizadas e à queda das ações no mercado, pode haver um grande prejuízo indireto, causado pela perda de credibilidade nas operações de e-commerce da empresa. Ações da bolsa quase sempre se recuperam, se o investidor for sábio, já a desconfiança numa grife de e-commerce pode ser mais difícil e demorada de contornar.
Parte da queda nos serviços se deve a medidas preventivas tomadas pela própria empresa, “interditando” seus servidores, numa reação para preservar os dados pessoais de seus clientes. É um movimento necessário e responsável, mas não suficiente para aliviar muito o impacto sobre a imagem corporativa. Só com os desdobramentos dos fatos, nos próximos dias, será possível saber mais sobre a duração do problema, a extensão dos danos – e as intenções dos hackers.
Estamos falando de nada menos que a 3ª maior plataforma de comércio eletrônico do país. Para os cibercriminosos, um feito e tanto. Para as empresas em geral, grandes, médias e pequenas (a sua também…), um alerta. Como já dissemos aqui, hackers são gangues digitais muito bem organizadas, com alto conhecimento tecnológico, que têm o mesmo objetivo de outros criminosos: dinheiro/lucro ilícitos. Se ministérios de governo e gigantes da área de varejo são vulneráveis, o que dizer de negócios de menor porte e poder de investimento?
É importantíssimo e inadiável multiplicar os esforços para aumentar a segurança de suas operações digitais, sob pena de sofrer prejuízos irrecuperáveis. Não há outra linha de ação possível, senão combinar investimentos tanto em profissionais de cibersegurança qualificados como em tecnologia – especialmente sistemas capazes de identificar e neutralizar invasões rapidamente – e treinamento de colaboradores em protocolos preventivos, construído assim um programa robusto de segurança da informação.
Outra medida, já indispensável hoje, é contar com um Cyber Seguro, apólice específica para riscos cibernéticos que oferece cobertura referente à responsabilidade pelo vazamento de dados e eventuais prejuízos financeiros causados por ciberataques. A SICCS está apta, pronta e disposta a ajudá-lo nesse processo, oferecendo soluções que contemplem suas necessidades.
Porque não importa se o seu negócio está ou não diretamente ligado à área de varejo ou ao e-commerce: suas operações e seu faturamento não podem, em hipótese nenhuma, ficar fora do ar.
Fontes
https://economia.uol.com.br/noticias
https://www1.folha.uol.com.br/mercado
https://exame.com/bussola/protecao-de-dados-e-reputacao
https://www.infomoney.com.br
https://www.convergenciadigital.com.br
https://canaltech.com.br/seguranca
Mistério no Ministério
Durante uma pandemia, bancos de dados importantes do Ministério da Saúde foram invadidos e as informações “sequestradas”, inclusive as que se referem à vacinação, impedindo cidadãos de ter acesso a diversos locais e, em muitos casos, de viajar.
Até a conclusão deste texto, o Ministério da Saúde ainda está “tentando descobrir o que aconteceu” e minimizar os prejuízos para a população. Algumas funções já voltaram, outras continuam fora do ar. O mistério permanece, se é que um dia será esclarecido. Parece coisa de filme de ficção científica, mas não é.
Aliás, a ficção científica é responsável involuntária por uma ideia equivocada que muita gente tem ainda hoje: que os hackers são adolescentes superinteligentes e revoltados escondidos em suas garagens, de onde invadem sistemas de informação superseguros supostamente por esporte ou desejo de autoafirmação.
Um dia pode até ter sido assim, e atualmente com certeza ainda há exemplos desse tipo, mas já faz tempo – muitos anos – que a atividade de “hacker” se “profissionalizou”, desdobrando-se perigosamente para o que hoje é chamado de “cibercriminoso”.
O que o Ministério da Saúde está enfrentando é um ciberataque, um cibercrime perpetrado por cibercriminosos.
São, digamos, “gangues digitais” muito bem organizadas, normalmente com alto preparo e conhecimento tecnológico, que visam, direta ou indiretamente, ao mesmo que quase todos os criminosos: dinheiro, ou lucro, obtidos de forma ilícita. Em alguns casos, apesar de organizados, os cibercriminosos que trabalham juntos numa “empreitada” nem se conhecem, ou sequer sabem a identidade real uns dos outros. Assim, se um for pego, é menor o risco de expor seus companheiros de crime. São pessoas perigosas.
E o perigo está justamente na ação virtual – muito mais difícil de combater que a presencial – capaz de provocar grandes prejuízos e até colocar vidas em risco sem que o criminoso se exponha. Não há como a polícia agir fisicamente para evitar, reprimir ou punir o delito: é necessário usar inteligência (no sentido investigativo da palavra) e vigilância constante sobre métodos digitais que mudam o tempo todo.
Para quem é responsável por uma empresa, o raciocínio é simples: seu negócio está em risco. Sim, está. Talvez ele não esteja na mira de cibercriminosos neste exato momento, mas nada impede que venha a estar no futuro. E a vulnerabilidade a um ciberataque se chama risco.
Se você não tomar providências, multiplicando os esforços para aumentar a segurança de suas operações digitais, poderá sofrer prejuízos irrecuperáveis. Contrate profissionais especializados e proteja-se o máximo que puder. Os dados da sua empresa são valiosos, e o que é valioso atrai criminosos – sejam eles “ciber” ou não.
Um complemento perfeito é contar com soluções de seguro cujas apólices cobrem certos efeitos de ciberataques, não por acaso um nicho em franco crescimento no segmento securitário. Se, além de investir em cibersegurança, você quiser dispor de proteção extra caso um dia os hackers sejam bem-sucedidos num ataque ao seu negócio, os especialistas da SICCS podem orientá-lo nesse sentido.
LGPD: mais uma pílula sobre o tema.
É possível que nunca mais paremos de falar da LGPD-Lei Geral de Proteção de Dados, porque é uma lei, e leis normalmente vêm para ficar – embora no Brasil, como sabemos, existam muitas exceções. Mas o mais provável é que um marco legal/civil como esse seja perene. Como já vimos neste espaço, a LGPD veio para garantir maior proteção ao titular sobre a utilização dos seus dados pessoais.
Já abordamos, e voltaremos a abordar, precauções de segurança obrigatórias e adicionais que as empresas precisam e podem adotar, entre eles os de natureza securitária. Mas, para o segmento de saúde, há algumas outras particularidades que vale a pena destacar e sobre as quais começamos a falar hoje.
A LGPD não proíbe o compartilhamento de dados de pacientes, mas antes de dividir informações com qualquer pessoa ou instituição é preciso certificar-se de que elas estão autorizadas a acessar a esses dados. Isso vale para o compartilhamento de dados de casos clínicos entre laboratórios, clínicas, consultórios, hospitais e também para o médico que precisa, ou pretende, dividir e/ou discutir as informações de um paciente com um colega. Um bom exemplo, entre muitos: no caso de medicina do trabalho, o compartilhamento só pode ser feito com o médico habilitado pela empresa.
Caso não seja possível certificar-se da autorização deste acesso em tempo hábil, uma forma de compartilhar informações sem violar a LGPD é não identificar (nem tornar identificável, indiretamente) o titular dos dados durante a discussão do caso. Considerando que a maioria dos dados contidos na rotina de quem trabalha com saúde são classificados como “dados sensíveis” pela LGPD (explicaremos melhor em artigo futuro deste blog), deve-se redobrar o cuidado e respeitar todas as boas práticas sobre o tema.
O ideal é que a organização/instituição realize treinamentos internos sobre o assunto e, se possível, tenha um profissional especializado, encarregado de proteção de dados pessoais, ao qual os demais colaboradores possam recorrer em caso de dúvidas.
Esses aspectos são relevantes também para as companhias que não têm na saúde seu core business. Porque, pense bem: se você contrata um seguro-saúde corporativo ou oferece qualquer tipo de benefício relacionado com o tema, as instituições de saúde que prestam esses serviços necessariamente terão acesso aos dados dos seus colaboradores elegíveis.
E, portanto, os assim chamados dados sensíveis, evidentemente, serão de pessoas que trabalham aí, na sua empresa. Fique vigilante e conte com a orientação da SICCS sempre que necessário.
Proteção de dados: esse assunto precisa continuar na pauta.
Diante do alarmante e insistente crescimento dos ataques cibernéticos a organizações públicas e privadas, de todos os segmentos – sobre os quais todos podem ler, cada vez mais, nos canais tradicionais e digitais dos veículos de comunicação – hoje vamos reforçar algumas informações relevantes sobre privacidade de dados, suas possíveis consequências e inadiáveis providências.
Impactos financeiros
Segundo relatório IBM sobre o prejuízo de vazamento de dados 2020, globalmente o custo médio de uma violação para as companhias é U$3,8 milhões e a causa mais cara são contas comprometidas de funcionários.
No Brasil, o custo médio da violação de dados foi R$5,88 milhões (cerca de US$1,12 milhão), valor 10,5% superior em relação ao ano anterior, na comparação em reais (R$ 5,32 milhões em 2019).
Em nosso país, o estudo também indica, em comparação com 2019, maior número de dias para identificar e conter a violação de dados: de 250 para 265 e de 111 para 115 dias, respectivamente.
Impactos na reputação
Uma empresa totalmente alinhada à LGPD- Lei Geral de Proteção de Dados), que investe de forma inteligente na conscientização de seus colaboradores sobre o tema, obtém imediatamente, de modo direto ou indireto, grande diferencial competitivo: melhor reputação. A maior responsabilidade dos colaboradores e a relevante melhoria na confiança dos clientes atraem e favorecem a realização de mais e melhores negócios.
O que fazer?
Implementar um programa de conscientização sobre privacidade e proteção de dados reduz sensivelmente a vulnerabilidade da sua empresa frente aos ciberataques e também frente à LGPD, contribuindo de forma decisiva para que não se envolva em incidentes que a deixariam sujeita a vazamentos de dados críticos e expressivas multas, capazes, muitas vezes, de inviabilizar a continuidade do negócio.
Fazer uma análise profissional e acurada de todos os riscos envolvidos, dimensionando corretamente o que pode ou não ser coberto por um seguro, e contratar uma solução adequada contra possíveis prejuízos de ciberataques é uma estratégia indispensável para minimizar as consequências de um hackeamento que não pôde ser evitado.
A SICCS está preparada para ajudar você nesse processo, compartilhando, sempre que necessário, informações relevantes para essa modalidade de crime tão típica da era digital em que vivemos – e também, claro, oferecendo soluções de seguro que contemplem as necessidades do seu negócio.
Quando o assunto envolve risco, estará sempre na nossa pauta.
Fontes:
https://www.ibm.com/security/digital-assets/cost-data-breach-report/#/pt
https://exame.com/bussola/protecao-de-dados-e-reputacao/
Opice Blum Academy: cursos sobre LGPD, GDPR, Direito Digital e Proteção de Dados
Sua empresa saberia enfrentar um ciberataque?
Sim, sua empresa está em risco. Se mesmo antes da grande da migração para o home-office provocada pela pandemia os ataques de cibercriminosos já começavam a escalar a níveis inéditos, a expansão de uso de ferramentas digitais parece ter colocado ainda mais combustível nesse cenário altamente inflamável.
Pesquisas indicam que as tentativas de ciberataques a empresas brasileiras aumentaram 460% de março a junho de 2020. Depois de um período de “calmaria” de julho a setembro, em que o índice voltou aos níveis “normais”, o crescimento atingiu inacreditáveis 860% em dezembro. Sim, sua empresa está em risco.
Aparentemente, quanto mais gente em trabalho remoto, maior a vulnerabilidade das organizações. Mas também já faz tempo que os cibercriminosos estão cada vez mais organizados, ousados, e que a alta dependência que quase todos os negócios têm em relação a TI parecem estar tornando os ciberataques cada vez mais lucratvos – sem falar que, para o criminoso, o risco é muito menor do que o de um crime “comum”, presencial, que pode exigir confronto físico.
Ok, sua empresa está em risco. Mas o que fazer se ela for mesmo hackeada? O assunto é quase infinito e o cenário de risco está em constante mutação – conforme a medidas de segurança avançam, os cibercriminosos “inventam” – mas separamos algumas orientações sobre como proceder, válidas para o momento atual.
– Assim que identificar os sinais do ataque, comunique a área de TI. Quanto mais rápido a empresa for capaz de reagir, maior a chance de conter os danos. Um dos sinais de alerta é o comportamento anormal da rede corporativa, como lentidão no processamento ou na conexão à Internet e perda de controle de sistemas pelos usuários.
– Informe o incidente às autoridades, como faria no caso de qualquer outra ação ilegal. Colete evidências, como captura de telas, e-mails, arquivos e outros materiais. Há delegacias especializadas nesse tipo de crime, mas qualquer uma pode receber a notificação.
– Identifique as causas: descobrir qual foi a brecha de segurança é indispensável para impedir o sucesso do ataque que ainda pode estar acontecendo e para a prevenção de futuras tentativas.
– Reduza os danos nos sistemas internos, tomando medidas imediatas como desconectar o servidor e/ou computadores afetados do roteador ou da rede corporativa, inclusive desabilitando funcionalidades wi-fi.
– Altere as senhas. Embora pareça até singela, essa providência simples tende a evitar o agravamento do problema. E, claro, defina senhas fortes, que reúnam letras, números e caracteres especiais e totalizem pelo menos 8 dígitos.
– Acione equipamentos de reserva/backup. É primordial restabelecer os serviços com agilidade. O tempo de inatividade (downtime) causa não só perda de produtividade da equipe, mas também impacta seriamente a experiência do cliente e as finanças.
– Descubra se houve vazamento e exposição de dados corporativos, informações pessoais de clientes – e as respectivas implicações legais. É preciso informar os clientes sobre o incidente e as medidas já em andamento. Se houver comprometimento de informações bancárias, contate o banco com urgência.
– Reveja suas políticas e estratégias de cibersegurança, aprenda com os erros e invista, sempre e tanto quanto for possível, em profissionais de tecnologia altamente capacitados, especializados e atualizados na prevenção e combate a esse tipo de ataque.
– Faça uma análise adequada de todos os riscos envolvidos para dimensionar corretamente o que pode ou não ser segurável.
– Tenha um seguro que cubra prejuízos de ciberataques. Assim como a contratação de excelentes profissionais de tecnologia, a proteção obtida sempre supera muito qualquer possível resistência ao investimento.
Conte com a SICCS para ajudá-lo e apoiá-lo nesse processo tanto voltando ao assunto diversas vezes aqui em nosso blog no futuro como oferecendo soluções de seguro que contemplem suas necessidades porque, sim, nós queremos estar ao seu lado sempre que sua empresa está em risco.
Fontes
https://www.microserviceit.com.br
https://www.kaspersky.com.br
https://www.infomoney.com.br