Almeida Camargo Advogados

29.09.2006 - Batalha na rede
- Françoise Terzian

O mundo hoje perde mais dinheiro com hackers que com traficantes de drogas. Enquanto as drogas ilegais movimentaram US$ 100 bilhões em 2005, as fraudes on-line totalizaram prejuízos da ordem de US$ 105 bilhões. Os dados são do Departamento de Justiça dos Estados Unidos e alertam para um problema grave, crescente e incontrolável para as empresas. Os vírus, worms, phishings, pharmings e ataques a redes têm ganhado tamanha força que hoje vitimam não só servidores e desktops, mas também notebooks, computadores de mão, smartphones e aparelhos celulares.

Dotadas de poderosos sistemas de antivírus e firewalls, muitas companhias já não encaram mais os vírus como um risco em potencial. Entretanto, os números comprovam que as pragas de computador continuam a causar estragos. Só neste ano, os vírus devem trazer prejuízos da ordem de US$ 20 bilhões aos Estados Unidos, segundo o canadense DEC Computer User Society. O raio-x da insegurança que ronda o ambiente corporativo começa com um vírus aparentemente inofensivo e termina com o roubo de dados confidenciais.

Segundo a pesquisa Computer Crime Survey, do FBI, os vírus são responsáveis por 83,7% dos ataques, seguidos pelos spywares. Patrícia Ammirabile, analista de pesquisas do McAfee Avert Lab, conta que mais de 100 vírus são criados por dia no mundo. O estudo do FBI mostra que vírus e worms ainda custam caro, podendo resultar em prejuízos de US$ 12 milhões a US$ 32 milhões por empresa. Pelas estatísticas, cerca de 2,8 milhões de organizações americanas sofrem, no mínimo, um incidente de segurança por ano. Com isso, perdem juntas US$ 67,2 bilhões por ano.

Embora sejam perigosos, os vírus não devem ser o único motivo para preocupação. A pesquisa 2006 Global Security Survey da Deloitte mostra que os hackers têm evoluído. 'O que mais chama a atenção é o nível de sofisticação dos ataques e a proliferação de vulnerabilidades, principalmente em VoIP (Voz sobre IP), internet e mobilidade', diz Walmir Freitas, gerente sênior da área de gestão de riscos da Deloitte. Se antes a máquina era o único alvo de ataques, agora o foco é o homem. A pesquisa da Deloitte mostra que 51% das instituições financeiras do mundo são vítimas do phishing -- mensagens que induzem o usuário a clicar em um link perigoso - e do pharming - modificações no sistema de endereços que levam o usuário a acessar uma página diferente da digitada.

Ser vítima ou não de um criminoso digital vai depender de quanto a empresa investe em segurança da informação e de como orienta seus funcionários. 'Assim como São Paulo tem o bairro dos Jardins e do Capão Redondo, com segurança reforçada de um lado e crítica no outro, na segurança on-line corporativa a realidade é igual. Há empresas que se protegem com tudo e outras que nem antivírus têm', afirma Rogério Morais, presidente da ISS. Excluindo setores como o financeiro e de telecomunicações, as multinacionais, as líderes de cada segmento e as empresas que investem agressivamente em pesquisa e desenvolvimento, o restante leva nota baixa.

Mesmo investindo pesado em segurança, os bancos estão sempre alertas para evitar ações dos criminosos cibernéticos. Kleber Melo, responsável pela segurança da informação do HSBC, diz que à medida que as coisas evoluem e o banco cria proteções para cada novo tipo de crime, o crime organizado também evolui. 'O desafio é ser mais rápido e criativo, de forma a antecipar ações. Combater os ataques é como estar em um jogo de xadrez', afirma Melo.

Se as grandes companhias têm a segurança impregnada à cultura, Morais diz que na maioria das empresas brasileiras a segurança beira à calamidade pública . 'Elas pecam pela desinformação e também pela falta de visão referente à importância de se assegurar a integridade dos dados', afirma Morais. A maior ingenuidade das pequenas e médias empresas é achar que os hackers só querem invadir as redes dos bancos. Para Marcelo Bezerra, diretor técnico da ISS, a pequena indústria corre mais riscos do que imagina. Ela pode, por exemplo, sofrer sabotagem desde um ex-funcionário demitido que continua com a senha de acesso à rede.

Essa história traz à tona uma outra questão preocupante: o fato de o perigo vir de dentro. Em média, 60% dos ataques e fraudes ocorrem internamente, causados por funcionários insatisfeitos ou ex-funcionários revoltados. 'Eles podem entrar em sistemas para modificar dados ou alterar salários e multas', alerta Morais. Para conter esses riscos, o conceito de gerenciamento de identidades tornou-se prioridade. Como a instalação de um pacote qualquer de segurança não garante a proteção da identidade de um usuário, Osmar Koga, diretor de tecnologia da BMC Software, diz que o caminho é investir em tecnologias específicas (caso de ferramentas de gerenciamento de senhas e automação do ciclo de vida da identidade), na definição de políticas de segurança e na conscientização de todas as pessoas envolvidas.

Rodrigo Assad, consultor de segurança do Centro de Estudos e Sistemas Avançados do Recife (C.E.S.A.R), diz que o maior risco das empresas é a espionagem industrial, já que arquivos de projetos, propostas e dados dos clientes encontram-se armazenados nos computadores da rede. 'Na era da informação, roubo de dados é o maior risco. Saber o que o concorrente está planejando ou investindo é uma grande vantagem', avisa Assad.

Com o aumento dos riscos, o mundo injeta cada vez mais dinheiro na segurança da informação. Nos Estados Unidos, os gastos em segurança já representam 7% do orçamento de TI das empresas. No passado, costumava ficar com 2% a 3%. Projeções da consultoria IDC Brasil mostram que o faturamento do mercado brasileiros de TI apresentará crescimento médio anual de mais de 17% em dólares, entre 2005 e 2010. Só o segmento de segurança da informação deverá superar os US$ 850 milhões até o final da década.

Se há tantos gastos assim com segurança, qual a explicação para o crescimento dos problemas? Há consenso entre especialistas e fornecedores: a economia migrou para a web e os criminosos foram atrás. Hoje, as pessoas andam cada vez mais dependentes da tecnologia. O Brasil faz sua declaração de Imposto de Renda pela internet, realiza compras via B2C (business to consumer) e B2B (business to business) e já tem 26 milhões de usuários de internet banking. O uso da internet banda larga também cresce, com um acumulado de mais de quatro milhões de usuários.

Diante de brechas tecnológicas e da ingenuidade dos usuários, as quadrilhas brasileiras especializadas em fraudes eletrônicas transformaram o phishing no maior inimigo dos bancos. Trata-se de uma ameaça à integridade da pessoa, na qual tudo pode ser roubado: endereço, CPF, RG, cartão de crédito, senha bancária. Para Mauro Pontes, presidente da ACI Worldwide no Brasil, a regra básica para evitar o phishing é não acessar a página do banco ou empresa citada através dos links fornecidos por e-mails fraudulentos ou sites de terceiros. 'No caso do phishing, a desconfiança é o antivírus mais potente que o usuário pode ter', diz Pontes.

O phishing cresce cerca de 10% ao ano e já supera os vírus em volume. Diariamente, 7,92 milhões de e-mails de phishings são disparados para usuários de todo o mundo, em especial do Brasil e dos Estados Unidos. No primeiro semestre de 2005, a média diária era de 5,7 milhões de tentativas. Números da Symantec mostram que um em cada 119 e-mails processados é fraudulento.

Data: 13/12/2006