Como ataques cibernéticos podem afetar a reputação de uma empresa?

A todo momento testemunhamos empresas e organizações sendo vítimas de ataques cibernéticos de grandes proporções. Podemos enumerar alguns casos mais recentes, como o Serviço Nacional de Saúde no Reino Unido e a agência de monitoramento de crédito Equifax nos Estados Unidos.

De acordo com a pesquisa Kroll Global Fraud Risk Report, que entrevistou, no segundo semestre de 2017, 540 executivos em cargos de liderança em diversos países, 86% deles já haviam passado por incidentes de ataques cibernéticos nos últimos 12 meses.

Múltiplos danos de ataques cibernéticos

As empresas têm notado o impacto que as ameaças de segurança trazem para seus negócios e se preocupam com esses problemas. Segundo a pesquisa ESET Security Report 2017, que teve 4 mil participantes em 13 países, 56% das companhias latino-americanas têm receio de códigos maliciosos, 52% temem vulnerabilidades de software ou sistema e 43% têm medo do roubo de informações.

Além dos prejuízos trazidos pelos pagamentos de resgate aos cibercriminosos em casos de vazamento de dados ou sequestros de sistemas, há também a publicidade negativa que surge quando os ataques cibernéticos chegam ao conhecimento público.

Um exemplo foi o Yahoo, que passou por três situações de vazamento de dados, que comprometeu a confiança de clientes e possíveis investidores. A empresa de crédito americana Equifax também ganhou as manchetes por ter dados de mais de 147 milhões de pessoas vazados e pode ter prejuízo de quase meio milhão de dólares por isso.

De acordo com pesquisadores do Google, Chainalysis, UC San Diego e da NYU Tandon School of Engineering, vítimas de ransomwares, para citar como exemplo uma das maiores ameaças do momento, pagaram mais de 25 milhões de dólares em resgates desde 2014. Estes dados reforçam que, atualmente, um dos maiores prejuízos que uma empresa pode sofrer é um ataque cibernético.

Recentemente, 57 milhões de usuários da Uber e 600 mil motoristas tiveram informações sigilosas roubadas. Temendo o impacto nos negócios, a Uber evitou que a informação chegasse à imprensa na época, pagando 100 mil dólares aos criminosos. Ainda assim, não ficou à salvo, pois quando as informações chegaram à mídia, a repercussão foi ainda maior. No Brasil, a Comissão de Proteção dos Dados Pessoais do Ministério Público do Distrito Federal e Territórios, exigiu explicações da empresa sobre os fatos.

Estes exemplos mostram que qualquer empresa que sofrer um vazamento de informações, pode correr riscos não apenas de perder, clientes, dinheiro e credibilidade, como também de ter que se explicar para a justiça, manchando seu nome não somente na imprensa, mas também nos órgãos públicos dos países nos quais atua, inclusive podendo sofrer ações de danos morais e até materiais, dependendo da gravidade do caso.

Apesar da constante ameaça, muitas empresas não investem em segurança de forma adequada. De acordo com o estudo ESET Security Report, apenas 52% das companhias latino-americanas têm antivírus, backup e firewall instalados, iniciativas extremamente básicas para proteção de dados.

Além de se proteger contra ataques virtuais, as empresas precisam cogitar possíveis ameaças internas. Ações como controlar o privilégio de acessos de cada colaborador, estabelecer regras para homogeneizar as práticas de segurança de toda a empresa e orientar o colaborador sobre o uso pessoal e intrasferível de senhas e crachás de acesso, para que não haja vazamento de informações próprias ou de clientes são algumas das atitudes básicas. De acordo com a mesma pesquisa da ESET, somente 40% das organizações realizam atividades de conscientização de maneira periódica com seus colaboradores para falar sobre segurança de dados.

Os ataques têm sido cada vez mais ousados e massivos, devido à sofisticação cada vez maior e o retorno econômico que geram para os cibercriminosos. Por isso, as empresas devem manter suas medidas de segurança periodicamente revistas e reforçadas.

Além disso, é preciso conscientizar os funcionários que o simples fato de permitir a presença de um desconhecido em um ambiente de data center, por exemplo, pode significar uma ameaça.

Compreender o valor de uma informação sigilosa e todo o prejuízo causado por uma falha ao protege-los é imprescindível para todos que fazem parte do ecossistema de uma empresa.

Camillo Di Jorge é Country Manager da ESET, empresa especializada em detecção de ameaças virtuais. O executivo tem uma experiência de mais de 20 anos no mercado de TI e telecom e atua em campanhas educacionais voltadas a reforçar a segurança digital para usuários finais e corporativos.