Atacaram a Marisa!
Grande rede varejista sofre ataque cibernético.
Recentemente, o Brasil tem se destacado como um dos alvos principais de ataques cibernéticos, com um aumento significativo de incidentes. De acordo com o Panorama de Ameaças 2024 da Kaspersky, o Brasil se destaca como o principal alvo de ransomware na América Latina. Entre junho de 2023 e julho de 2024, mais de 487 mil ataques foram registrados no país, o que representa uma média alarmante de 1.334 ataques diários. Esses números refletem o crescimento exponencial do cibercrime e destacam a vulnerabilidade das empresas brasileiras, independentemente do porte.
A Lojas Marisa, uma das maiores redes de moda feminina do país, foi a mais recente vítima desse tipo de ataque, sofrendo um incidente de ransomware que gerou instabilidade temporária em seus sistemas. O ataque, ocorrido em 06/11, evidenciou não apenas os riscos crescentes enfrentados por empresas de todos os setores, mas também a importância da segurança cibernética no Brasil, que tem se tornado um dos países mais visados na América Latina.
O que é ransomware?
Ransomware é um tipo de software malicioso utilizado por cibercriminosos para sequestrar dados sensíveis, criptografando-os e exigindo um pagamento (ou resgate, na tradução literal do termo em inglês) para a devolução dessas informações. No caso da Lojas Marisa, o ataque gerou uma indisponibilidade temporária de parte dos sistemas da empresa. Apesar da situação, a companhia assegurou que não houve vazamento de dados de seus clientes, o que é uma boa notícia, considerando as implicações que um ataque desse tipo pode ter, incluindo o roubo de informações confidenciais e seu posterior vazamento na Deep Web ou sua venda a terceiros.
A reação da Marisa
A Lojas Marisa agiu rapidamente após o ataque, suspendendo temporariamente alguns de seus sistemas como medida de precaução. Em um comunicado oficial, a empresa tranquilizou seus clientes ao afirmar que as lojas físicas não sofreram impactos significativos e que as operações estavam voltando ao normal. A empresa também iniciou uma avaliação detalhada do incidente para entender melhor sua extensão e para tomar as ações necessárias caso haja qualquer risco remanescente.
A empresa ainda informou que, embora as operações físicas tenham sido momentaneamente afetadas, elas foram totalmente restauradas rapidamente. Além disso, a Marisa destacou que a ameaça foi neutralizada e que até o momento não houve impactos maiores nos sistemas e operações.
A especulação sobre o Grupo Medusa
De acordo com informações do site Ciso Advisor, o ataque à Lojas Marisa pode ter sido orquestrado pelo grupo cibercriminoso conhecido como "Medusa", responsável por uma série de ataques de ransomware de alto impacto. O Grupo Medusa ganhou notoriedade em 2023, após criar um site dedicado a vazar dados na Dark Web (parte ainda mais profunda e perigosa da Deep Web).
O Medusa também utiliza canais como o Telegram e o X (antigo Twitter) para divulgar suas atividades. O Medusa é particularmente perigoso devido à sua técnica de exploração de vulnerabilidades em sistemas desatualizados e sua habilidade em sequestrar contas legítimas, o que aumenta a eficácia dos ataques.
A segurança cibernética no Brasil
O incidente com a Lojas Marisa evidencia uma preocupação crescente no Brasil com a segurança cibernética. Embora grandes empresas invistam pesado em tecnologias de proteção, como firewalls, criptografia e treinamento de pessoal, o avanço das técnicas de cibercrime tem tornado as defesas cada vez mais desafiadoras. O Brasil, como um dos países com o maior número de ataques, precisa não só de empresas mais preparadas, mas também de políticas públicas e ações coordenadas para combater o cibercrime em um cenário global cada vez mais complexo.
Como as empresas podem se proteger?
Com um mercado de segurança cibernética em constante evolução, é fundamental que as organizações adotem medidas robustas para proteger seus sistemas e dados, minimizando os impactos de potenciais ataques. Sendo o Brasil um alvo “privilegiado” de cibercriminosos, investir em cibersegurança não é mais uma opção, mas uma necessidade urgente para garantir a integridade de seus sistemas e a confiança de seus clientes.
Uma das formas de reduzir os riscos de ataques digitais é combinar investimentos em tecnologia - especificamente sistemas cada vez mais eficazes em identificar e neutralizar invasões rapidamente - e treinamento de colaboradores para adoção de protocolos preventivos. Assim se constrói um programa robusto de segurança da informação.
Cyber Seguro: uma proteção indispensável
Outra estratégia importante, ainda mais eficaz se adotada de modo complementar, é o chamado Cyber Seguro, apólice específica de seguro de riscos cibernéticos que oferece às empresas cobertura referente à responsabilidade pelo vazamento de dados e eventuais prejuízos financeiros causados por ataques de hackers. Se todas as outras medidas falharem, o seguro minimiza os prejuízos, o que não é pouco quando se fala em cifras na casas dos milhões.
A existência e a popularização dessa solução, comum na Europa, é relativamente recente no Brasil. Mesmo assim, as contratações deste tipo de apólice vêm crescendo fortemente desde 2019, o que provavelmente uma consciência crescente no mercado, de que todas as empresas estão sujeitas a ataques de hackers, e que proteger-se deles é responsabilidade dos respectivos gestores.
Quer se prevenir contra o terrorismo virtual? A SICCS está apta, pronta e disposta a ajudá-lo nesse processo, oferecendo soluções de Cyber Seguro que contemplam suas necessidades.
Fontes
www.olhardigital.com.br
www.thmais.com.br
www1.folha.uol.com.br
www.convergenciadigital.com.br
www.canaltech.com.br/seguranca
Mistério no Ministério
Durante uma pandemia, bancos de dados importantes do Ministério da Saúde foram invadidos e as informações “sequestradas”, inclusive as que se referem à vacinação, impedindo cidadãos de ter acesso a diversos locais e, em muitos casos, de viajar.
Até a conclusão deste texto, o Ministério da Saúde ainda está “tentando descobrir o que aconteceu” e minimizar os prejuízos para a população. Algumas funções já voltaram, outras continuam fora do ar. O mistério permanece, se é que um dia será esclarecido. Parece coisa de filme de ficção científica, mas não é.
Aliás, a ficção científica é responsável involuntária por uma ideia equivocada que muita gente tem ainda hoje: que os hackers são adolescentes superinteligentes e revoltados escondidos em suas garagens, de onde invadem sistemas de informação superseguros supostamente por esporte ou desejo de autoafirmação.
Um dia pode até ter sido assim, e atualmente com certeza ainda há exemplos desse tipo, mas já faz tempo – muitos anos – que a atividade de “hacker” se “profissionalizou”, desdobrando-se perigosamente para o que hoje é chamado de “cibercriminoso”.
O que o Ministério da Saúde está enfrentando é um ciberataque, um cibercrime perpetrado por cibercriminosos.
São, digamos, “gangues digitais” muito bem organizadas, normalmente com alto preparo e conhecimento tecnológico, que visam, direta ou indiretamente, ao mesmo que quase todos os criminosos: dinheiro, ou lucro, obtidos de forma ilícita. Em alguns casos, apesar de organizados, os cibercriminosos que trabalham juntos numa “empreitada” nem se conhecem, ou sequer sabem a identidade real uns dos outros. Assim, se um for pego, é menor o risco de expor seus companheiros de crime. São pessoas perigosas.
E o perigo está justamente na ação virtual – muito mais difícil de combater que a presencial – capaz de provocar grandes prejuízos e até colocar vidas em risco sem que o criminoso se exponha. Não há como a polícia agir fisicamente para evitar, reprimir ou punir o delito: é necessário usar inteligência (no sentido investigativo da palavra) e vigilância constante sobre métodos digitais que mudam o tempo todo.
Para quem é responsável por uma empresa, o raciocínio é simples: seu negócio está em risco. Sim, está. Talvez ele não esteja na mira de cibercriminosos neste exato momento, mas nada impede que venha a estar no futuro. E a vulnerabilidade a um ciberataque se chama risco.
Se você não tomar providências, multiplicando os esforços para aumentar a segurança de suas operações digitais, poderá sofrer prejuízos irrecuperáveis. Contrate profissionais especializados e proteja-se o máximo que puder. Os dados da sua empresa são valiosos, e o que é valioso atrai criminosos – sejam eles “ciber” ou não.
Um complemento perfeito é contar com soluções de seguro cujas apólices cobrem certos efeitos de ciberataques, não por acaso um nicho em franco crescimento no segmento securitário. Se, além de investir em cibersegurança, você quiser dispor de proteção extra caso um dia os hackers sejam bem-sucedidos num ataque ao seu negócio, os especialistas da SICCS podem orientá-lo nesse sentido.
LGPD: mais uma pílula sobre o tema.
É possível que nunca mais paremos de falar da LGPD-Lei Geral de Proteção de Dados, porque é uma lei, e leis normalmente vêm para ficar – embora no Brasil, como sabemos, existam muitas exceções. Mas o mais provável é que um marco legal/civil como esse seja perene. Como já vimos neste espaço, a LGPD veio para garantir maior proteção ao titular sobre a utilização dos seus dados pessoais.
Já abordamos, e voltaremos a abordar, precauções de segurança obrigatórias e adicionais que as empresas precisam e podem adotar, entre eles os de natureza securitária. Mas, para o segmento de saúde, há algumas outras particularidades que vale a pena destacar e sobre as quais começamos a falar hoje.
A LGPD não proíbe o compartilhamento de dados de pacientes, mas antes de dividir informações com qualquer pessoa ou instituição é preciso certificar-se de que elas estão autorizadas a acessar a esses dados. Isso vale para o compartilhamento de dados de casos clínicos entre laboratórios, clínicas, consultórios, hospitais e também para o médico que precisa, ou pretende, dividir e/ou discutir as informações de um paciente com um colega. Um bom exemplo, entre muitos: no caso de medicina do trabalho, o compartilhamento só pode ser feito com o médico habilitado pela empresa.
Caso não seja possível certificar-se da autorização deste acesso em tempo hábil, uma forma de compartilhar informações sem violar a LGPD é não identificar (nem tornar identificável, indiretamente) o titular dos dados durante a discussão do caso. Considerando que a maioria dos dados contidos na rotina de quem trabalha com saúde são classificados como “dados sensíveis” pela LGPD (explicaremos melhor em artigo futuro deste blog), deve-se redobrar o cuidado e respeitar todas as boas práticas sobre o tema.
O ideal é que a organização/instituição realize treinamentos internos sobre o assunto e, se possível, tenha um profissional especializado, encarregado de proteção de dados pessoais, ao qual os demais colaboradores possam recorrer em caso de dúvidas.
Esses aspectos são relevantes também para as companhias que não têm na saúde seu core business. Porque, pense bem: se você contrata um seguro-saúde corporativo ou oferece qualquer tipo de benefício relacionado com o tema, as instituições de saúde que prestam esses serviços necessariamente terão acesso aos dados dos seus colaboradores elegíveis.
E, portanto, os assim chamados dados sensíveis, evidentemente, serão de pessoas que trabalham aí, na sua empresa. Fique vigilante e conte com a orientação da SICCS sempre que necessário.
Proteção de dados: esse assunto precisa continuar na pauta.
Diante do alarmante e insistente crescimento dos ataques cibernéticos a organizações públicas e privadas, de todos os segmentos – sobre os quais todos podem ler, cada vez mais, nos canais tradicionais e digitais dos veículos de comunicação – hoje vamos reforçar algumas informações relevantes sobre privacidade de dados, suas possíveis consequências e inadiáveis providências.
Impactos financeiros
Segundo relatório IBM sobre o prejuízo de vazamento de dados 2020, globalmente o custo médio de uma violação para as companhias é U$3,8 milhões e a causa mais cara são contas comprometidas de funcionários.
No Brasil, o custo médio da violação de dados foi R$5,88 milhões (cerca de US$1,12 milhão), valor 10,5% superior em relação ao ano anterior, na comparação em reais (R$ 5,32 milhões em 2019).
Em nosso país, o estudo também indica, em comparação com 2019, maior número de dias para identificar e conter a violação de dados: de 250 para 265 e de 111 para 115 dias, respectivamente.
Impactos na reputação
Uma empresa totalmente alinhada à LGPD- Lei Geral de Proteção de Dados), que investe de forma inteligente na conscientização de seus colaboradores sobre o tema, obtém imediatamente, de modo direto ou indireto, grande diferencial competitivo: melhor reputação. A maior responsabilidade dos colaboradores e a relevante melhoria na confiança dos clientes atraem e favorecem a realização de mais e melhores negócios.
O que fazer?
Implementar um programa de conscientização sobre privacidade e proteção de dados reduz sensivelmente a vulnerabilidade da sua empresa frente aos ciberataques e também frente à LGPD, contribuindo de forma decisiva para que não se envolva em incidentes que a deixariam sujeita a vazamentos de dados críticos e expressivas multas, capazes, muitas vezes, de inviabilizar a continuidade do negócio.
Fazer uma análise profissional e acurada de todos os riscos envolvidos, dimensionando corretamente o que pode ou não ser coberto por um seguro, e contratar uma solução adequada contra possíveis prejuízos de ciberataques é uma estratégia indispensável para minimizar as consequências de um hackeamento que não pôde ser evitado.
A SICCS está preparada para ajudar você nesse processo, compartilhando, sempre que necessário, informações relevantes para essa modalidade de crime tão típica da era digital em que vivemos – e também, claro, oferecendo soluções de seguro que contemplem as necessidades do seu negócio.
Quando o assunto envolve risco, estará sempre na nossa pauta.
Fontes:
https://www.ibm.com/security/digital-assets/cost-data-breach-report/#/pt
https://exame.com/bussola/protecao-de-dados-e-reputacao/
Opice Blum Academy: cursos sobre LGPD, GDPR, Direito Digital e Proteção de Dados
Dados: quem não protege arrisca.
Diante das infinitas possibilidades do mundo digital, descuidar de dados e informações sensíveis é colocar a segurança em jogo.
A demanda hoje vai além das boas práticas e tem força de lei: a LGPD – Lei Geral de Proteção de Dados Pessoais (13.709/2018), que já citamos em artigo anterior aqui.
Portanto, se assegurar o sigilo dos dados corporativos sempre foi decisivo para a continuidade do negócio, agora a empresa – toda empresa – tem a obrigação legal de assegurar a privacidade dos dados, inclusive e principalmente pessoais, de todos os envolvidos em sua cadeia produtiva: clientes, parceiros, fornecedores, colaboradores.
Isso envolve um conjunto de comportamentos que precisa ser adotado por toda a equipe e vai desde a definição de uma senha forte, passa por procedimentos para um home-office seguro e chega até a atenção máxima com compartilhamentos. Neste tema, não existe meio-termo: quem não toma máximo cuidado coloca dados sensíveis em risco.
Muitos especialistas dizem que o elo mais frágil da segurança da informação não é a tecnologia, e sim o comportamento do usuário. Mas pode-se dizer, de maneira bem plausível, que quando existe consciência e responsabilidade ele pode se tornar o elo mais forte.
Porém, não parece realista esperar que conhecer e praticar atitudes que garantam a segurança da informação na empresa – mesmo que a pessoa esteja em casa – seja uma iniciativa espontânea dos colaboradores. A estratégia mais simples, evidente e eficiente para que isso aconteça é aplicar o binômio subsídio + exigência.
Ou seja, para começar, disponibilizar materiais específicos de orientação e, se possível, treinamentos também focados especificamente no tema, que podem ser feitos de modo tradicional – expositivo e didático – ou mais lúdico, inclusive por meio de games que premiam de algum modo os melhores participantes.
Essa segunda opção é conhecida por gamification, e não faltam empresas especializadas em sua aplicação, que costuma ter altos índices de adesão, exatamente por combinar informação com uma boa dose de entretenimento – o que sempre mobiliza mais do que a informação “pura e simples”, além de, comprovadamente, facilitar a absorção dos conteúdos.
Só depois de realizar ações para envolver e engajar a equipe, fornecendo o conhecimento e as ferramentas necessários para colocar em prática novos hábitos, gerados por uma nova mentalidade, parece razoável cobrar, legitimamente, o compromisso com a segurança da informação na empresa.
Feito de forma tradicional ou com o uso de gamification, o objetivo corporativo, claro, é jogar para ganhar, mas segurança é um jogo que não depende de simples pressão corporativa, muito menos de sorte – e sim de atitude.
