Relatório divulgado recentemente pela empresa norte-americana de segurança McAfee aponta que os crimes cibernéticos estão entre as três principais formas de delitos do mundo, vindo logo atrás do narcotráfico e da falsificação de marcas e de propriedade intelectual. Segundo a estimativa, as perdas com os crimes eletrônicos vão de 0,5% a 0,8% do PIB mundial.
Muitos casos de ataques de hackers são conhecidos por afetarem empresas de grande porte, como a loja de departamento norte-americana Target e, mais recentemente, o maior site de leilões e venda de produtos usados no mundo, o eBay. No entanto, isso não quer dizer que esses crimes sejam restritos a grandes corporações, pelo contrário. É fundamental que empresas de pequeno e médio porte, com possibilidade de investimento em segurança da informação reduzida, ou, muitas vezes, inexistente também aprendam com os casos “famosos” e possam se preparar para a investida de criminosos virtuais.
Se você é pequeno ou médio empresário, ou ainda se é responsável pela segurança da informação de uma empresa, vale conhecer um pouco mais sobre o caso do eBay e ver como trabalhar para evitá-los.
Segundo comunicado feito pelo próprio eBay, durante os meses de fevereiro e março deste ano, os hackers conseguiram obter um pequeno número de credenciais de funcionários da marca. Os criminosos utilizaram essas informações para acessar o servidor da empresa e roubar detalhes pessoais dos 145 milhões de usuários cadastrados no site. Os dados comprometidos foram as seguintes:
· Nome
· Senha
· E-mail
· Endereço físico
· Telefone
– Data de nascimento
O ataque realizado mostra que os criminosos estudaram por meses até realizar um ataque de grande proporção. Muitas vezes, eles entendem mais sobre a sua infraestrutura do que você, então algo que nunca considerou como uma brecha na segurança pode ser justamente o ponto mais crítico. Os hackers estão cada vez mais sofisticados e planejam com muito cuidado uma oportunidade como essa para fisgar um alvo tão lucrativo. Eles irão exatamente onde você não está olhando. É por isso que a segurança deve ser internalizada na cultura da empesa e todo e qualquer procedimento deve estar de acordo com as normas.
Até o momento, o eBay afirma que o ataque não comprometeu as contas de PayPal, que é o método mais utilizado para pagamentos no site. De acordo com a empresa, esses dados ficam localizados em outros servidores, que não foram hackeados. No entanto, se você é usuário do eBay, isso significa que, em primeiro lugar, deve trocar a sua senha de acesso o quanto antes. Aliás, a empresa foi bastante ágil quanto à divulgação de informações sobre as providências a serem tomadas por seus clientes. Essa é a atitude mais recomendada quando acontecem incidentes desse tipo. Em momentos de crise como esse, a reputação da organização depende diretamente de como ela responde ao problema e também como se comunica com seus clientes a respeito da vulnerabilidade a que seus dados estão expostos. É inaceitável ter conhecimento de um problema tão grave apenas por meio de notícias na imprensa, ou que o cliente constate o erro por conta própria, como foi registrado no caso do site brasileiro Ingresso.com, o que gerou centenas de reclamações em sites de defesa do consumidor.
Incidentes assim mostram mais uma vez por que é tão importante contar com um sistema de monitoramento de ameaças em tempo real. Esse tipo de problemas só pode ser contornado quando se conta com uma equipe de resposta a incidentes de segurança afiada e com monitoramento de segurança 24×7, respondendo com rapidez e eficiência a todos os eventos de segurança. Nos dias e horas iniciais, logo depois que um vazamento é descoberto, a prioridade da equipe de segurança deve ser descobrir como o ataque ocorreu e suas consequências, como possíveis extrações de informações sigilosas, entre outros.
Essa é uma boa abordagem para o time técnico, contudo, outros setores críticos da empresa também devem estar a par do que está acontecendo. Isso possibilita que a ação subsequente para minimizar os danos seja mais eficiente, o que vai desde os procedimentos técnicos até a forma como a questão será abordada publicamente.