Hoje, a maioria dos países exige, por lei, que as empresas protejam os dados de seus colaboradores, parceiros, fornecedores e clientes de ataques cibernéticos. É um passo essencial rumo a um futuro mais seguro, que, no entanto, pegou muitos executivos de surpresa. Não só pela necessidade de adequação às regulamentações estabelecidas. Mas também porque chamou a atenção para quão pouco sabíamos, de modo geral, sobre o Seguro cibernético.
Essa regulamentação – que, aqui no Brasil, está prevista na Lei Geral de Proteção de Dados (LGPD), vigente desde setembro de 2020 – vale para empresas de todos os portes. Afinal, como veremos mais abaixo, engana-se quem pensa que o risco de um ataque cibernético está restrito às grandes corporações.
Com tantas soluções integradas e ambientes corporativos cada vez mais digitais, uma vulnerabilidade na longa cadeia de troca de informação, por menor que seja, pode ser exatamente a brecha que um cibercriminoso precisava para invadir uma rede e danificar um sistema.
Para prevenir e mitigar esses riscos, caso ocorra uma violação ou ataque cibernético, foram desenvolvidas diversas tecnologias de segurança cibernética. Porém, grande parte de uma estrutura sólida de prevenção envolve, sobretudo, o fator humano. Isto é, a educação por parte dos próprios executivos, colaboradores, parceiros, fornecedores e clientes.
É por isso que a Rede Lojacorr preparou uma série de artigos que vão te ajudar a entender de forma aprofundada o que é o Seguro cibernético, como ajudar empresas a se protegerem e qual o papel do seguro para riscos cibernéticos nessa miríade de soluções.
Vamos lá?
Seguro cibernético: o que são?
Os riscos cibernéticos são as possíveis consequências negativas associadas a ataques cibernéticos.
Essas consequências vão desde danos à reputação da empresa – que, ao sofrer um ataque, pode perder sua credibilidade junto aos clientes e ao mercado – ao comprometimento de dados, sistemas e da rede da empresa. Além, é claro, dos prejuízos financeiros oriundos desse comprometimento.
Logo, não é exagero dizer que todas as empresas correm algum tipo de risco cibernético. Uma vez que estão sujeitas às mais diversas tentativas de ciberataques. Só no Brasil, são cerca de 9 tentativas de ataque cibernético por minuto!
E os meios para efetivar um ataque são vários.
Seguro cibernético: como funcionam os ataques cibernéticos
As etapas comumente envolvidas em um ataque cibernético são:
- Pesquisa: em que o cibercriminoso está buscando vulnerabilidades na infraestrutura da empresa. Podendo ir atrás de pessoas, sistemas ou rede;
- Ataque: que é quando o cibercriminoso se mobiliza para invadir um dispositivo, sistema ou rede;
- Extração ou sequestro de dados: tendo sucesso no ataque, o cibercriminoso pode bloquear ou roubar os dados da base da empresa.
Esses dados, eventualmente, podem ser vendidos para outros criminosos conduzirem ataques cibernéticos ainda mais graves. Ou podem ser utilizados para o próprio invasor ameaçar e extorquir a vítima. Como ocorre, por exemplo, nos ataques de ransomware.
Abaixo, listamos alguns dos ataques mais comuns e como eles costumam ser explorados pelos cibercriminosos:
1. Phishing
Os ataques de phishing são extremamente comuns. E envolvem o envio de grandes quantidades de e-mails com links e arquivos maliciosos, disfarçados como provenientes de uma fonte confiável.
Os e-mails geralmente parecem legítimos. Mas vinculam o destinatário a um anexo ou script malicioso, projetado para conceder acesso ao dispositivo, sendo, muitas vezes, o passo inicial de um ataque maior e mais complexo. Os phishers aproveitam fontes públicas para coletar informações. A fim de enriquecer suas mensagens com excertos que pareçam convincentes para um usuário desavisado.
Os ataques de phishing também podem ocorrer nas redes sociais – por meio de mensagens privadas, perfis falsos e anúncios fraudulentos – e nos aplicativos de conversação, como WhatsApp e Telegram, mas não só.
Na verdade, existem vários tipos diferentes de ataques:
- Spear Phishing: são direcionados a empresas e/ou indivíduos específicos;
- Whaling: são direcionados a executivos seniores e membros de alto-escalão dentro de uma organização;
- Pharming: usa páginas de login ou de cadastro falsas para capturar credenciais de usuários, atrás de dados relevantes.
Além disso, os ataques de phishing também podem ocorrer por telefone (vishing, ou phishing de voz) e por mensagem de texto (phishing por SMS). E têm como objetivo principal conseguir informações que possam ser usadas em outros ataques. Ou entregando anexos maliciosos para mobilizar ataques de malware, por exemplo.
2. Engenharia social
Engenharia social é o termo usado para uma ampla gama de atividades maliciosas. Realizadas por meio de interações humanas, que podem acontecer em uma ou mais etapas.
O primeiro para um ataque de engenharia social é investigar a vítima pretendida – o colaborador ou executivo de uma empresa, por exemplo – para coletar informações básicas. Que possibilitarão o acesso do invasor a uma rede ou dispositivo.
O criminoso pode se passar por um colega de trabalho, cliente, parceiro ou até mesmo por um fornecedor de serviços. A fim de obter informações confidenciais e ir escalando suas interações até chegar a um ponto de acesso estratégico. Ele pode começar pedindo o e-mail de um gestor para um estagiário, por exemplo. Em seguida, pode solicitar ao gestor informações sobre um C-level ou executivo, para o qual pode enviar uma mensagem de phishing.
Sendo assim, o que torna a engenharia social especialmente perigosa é que ela depende do erro humano, em vez de vulnerabilidades em software e sistemas operacionais. Erros cometidos por usuários legítimos são muito menos previsíveis. Tornando-os mais difíceis de identificar do que uma invasão baseada em códigos ou sistemas.
Além disso, a engenharia social geralmente é utilizada para mobilizar a maioria dos ataques anteriormente mencionados, principalmente em se tratando de ataques a empresas.
Os recursos mais comuns em um ataque de engenharia social são:
- Baiting: como o próprio nome indica (isca), esses ataques usam uma premissa falsa para despertar a curiosidade da vítima. O invasor atrai o usuário para uma armadilha a fim de roubar suas informações pessoais ou infectar seus sistemas com malware;
- Scareware: aqui, as vítimas são bombardeadas com alarmes falsos e ameaças fictícias. Levando-as a pensar que seu sistema está sendo infectado com malware. E que elas precisam instalar um software que pode ser o próprio malware ou algum outro recurso estratégico para o invasor;
- Pretense: aqui, o invasor obtém informações por meio de uma série de mentiras elaboradas. Nas quais ele se passa por uma pessoa conhecida da vítima. E finge precisar de informações confidenciais para realizar uma tarefa urgente.
Ataques de engenharia social são muito comuns no Brasil, assim como os de phishing e malware. Por isso a importância do seguro cibernético.
3. Malware
O termo “malware” abrange vários tipos de ataques. Incluindo spywares, ransomwares, vírus de computador e worms (ameaças que se multiplicam por uma série de sistemas infectados).
De modo geral, essa ameaça explora ataques de phishing para instalar um software malicioso dentro do dispositivo do usuário. E, assim, invadir um sistema ou rede. Se bem-sucedido, um ataque de malware pode:
- negar acesso aos componentes críticos da rede
- obter informações recuperando dados do disco rígido
- interromper o sistema ou até torná-lo inoperante
- criptografar e extrair dados em larga escala
Essa ameaça é tão explorada que conta com uma grande variedade de modus operandis. Os tipos mais conhecidos são:
- Vírus: infectam se anexando à sequência de inicialização de um dispositivo. E podem se replicar infectando outro código no sistema. Ou se anexando a um código executável para “tomar conta” do dispositivo e, potencialmente, danificá-lo de forma irreparável;
- Trojan (ou cavalo-de-troia): caracteriza-se por um programa malicioso escondido dentro de um programa útil. Ao contrário dos vírus, um trojan não se replica. E é comumente usado para estabelecer uma porta de entrada para que o sistema seja explorado por invasores;
- Worms: ao contrário dos vírus, eles não atacam o host – isto é, o sistema de origem. Sendo programas independentes que se propagam por meio de redes e dispositivos. Os worms geralmente são instalados por meio de anexos de e-mail, enviando uma cópia de si mesmos para cada contato na lista de e-mail do computador infectado. Eles são comumente usados para sobrecarregar um servidor de e-mail e provocar um ataque de negação de serviço (DDoS);
- Ransomware: um tipo altamente danoso de malware, que nega à vítima do ataque o acesso ao seu sistema e à base de dados, ameaçando publicá-los ou excluí-los, a menos que um resgate seja pago. O ransomware avançado usa extorsão criptoviral, criptografando os dados da vítima para que seja impossível descriptografar sem uma chave de descriptografia;
- Spyware: é um tipo de programa instalado em um dispositivo para coletar informações sobre usuários, seus sistemas ou hábitos de navegação, enviando os dados para um usuário remoto (o autor do ataque). O invasor pode usar as informações para fins de chantagem ou baixar e instalar outros programas maliciosos e promover outros ataques.
4. Ataque de negação de serviço (DoS)
Os ataques de negação de de serviço (denial-of-service, ou DoS) inundam sistemas, servidores e/ou redes com excesso de tráfego para sobrecarregar recursos e largura de banda. O objetivo é tornar o sistema incapaz de processar e atender a solicitações legítimas.
Uma variação dessa ameaça são os ataques distribuídos de negação de serviço (DDoS), que são lançados de várias máquinas infectadas com o objetivo de derrubar um sistema, abrindo caminho para outro ataque entrar na rede.
5. Seguro cibernético: Zero-day
Um zero-day exploit (exploração de dia zero, ou apenas zero-day) refere-se à exploração de uma vulnerabilidade de rede no momento em que ela é descoberta, ou logo após ela ser anunciada publicamente. Usando a brecha para mobilizar um ataque antes que um patch seja lançado e/ou implementado.
Os invasores zero-day costumam acompanhar de perto a divulgação de novas vulnerabilidades em sistemas comuns (como os do Google, Microsoft, iOS, etc.). De modo a conseguir usá-las a seu favor na curta janela de tempo em que ainda não existem soluções/medidas preventivas.
Seguro cibernético: Os prejuízos resultantes da falta desse seguro
Só no ano de 2021, o prejuízo médio por ataques cibernéticos foi de 4,2 milhões de dólares ao redor do mundo – e a expectativa é que o prejuízo acumulado ultrapasse a casa dos 6 trilhões de dólares a partir de 2022.
Isso porque os custos derivados de um ataque não se restringem ao prejuízo financeiro imediato de uma extorsão, por exemplo: há todo o investimento em soluções para a restauração de sistemas, recuperação de dispositivos, estratégias de PR, indenizações…
Em um estudo conduzido pela Cybersecurity Ventures, é esperado que os custos globais de crimes cibernéticos cresçam 15% ao ano nos próximos cinco anos, chegando a 10,5 trilhões de dólares anualmente, até 2025.
Isso, de acordo com o relatório, representa “a maior transferência de riqueza econômica da história”, arriscando os incentivos à inovação e investimento em novas tecnologias.
E, apenas para fins comparativos, seguindo nesse ritmo, o cibercrime será mais lucrativo do que o comércio global de todas as principais drogas ilegais juntas.
A motivação para explorar riscos cibernéticos
Apesar de muito se discutir sobre os efeitos do cibercrime no Seguro cibernético para multinacionais e grandes corporações, engana-se quem pensa que os riscos cibernéticos são dor de cabeça apenas dessas empresas.
Sim, elas são os alvos mais óbvios, mas a verdade é que qualquer tipo de organização, dos mais diversos setores, está suscetível aos danos acarretados pelos ataques cibernéticos!
Isso porque, entre as principais motivações dos cibercriminosos, temos:
Lucrar
Embora o dinheiro não seja sempre o motivador de um ataque cibernético, quando ele é direcionado às grandes corporações, como foi o caso dos ataques recentes às Lojas Renner e ao Grupo Fleury, por exemplo, a extorsão é, sim, um dos principais objetivos.
Ataques do tipo ransomware são muito comuns, nesse cenário, pois é a forma mais “eficaz” que um cibercriminoso tem de forçar uma empresa a pagar as quantias milionárias pedidas no resgate dos dados. E, para lucrar, eles precisam ir atrás de negócios que tenham condições de atender às suas demandas.
Nos EUA, os ataques de ransomware dominaram as manchetes ao longo de 2020 e 2021, com um ataque a uma corretora de seguros resultando no maior pagamento por extorsão da história: 40 milhões de dólares.
No Brasil, 56% das vítimas de um ataque de ransomware pagou resgate para restaurar o acesso a seus dados em 2021. Isso poderia ter sido evitado ou minimizado com um seguro para riscos cibernéticos.
Acessar mais dados
Algumas empresas podem até não ter condições de bancar milhões de reais para evitar que seus dados sejam vazados e que a ameaça ganhe proporções ainda maiores. Mas elas possuem algo muito valioso para os cibercriminosos: os próprios dados em si.
Ataques de phishing e engenharia social são muito comuns entre as PMEs, pois esse acesso inicial pode possibilitar aos cibercriminosos obter, por exemplo, informações financeiras, informações sobre outras empresas, às vezes de grande porte – o que possibilita ataques mais lucrativos – ou, até, acesso à rede de terceiros por meio da rede da vítima.
Aliás, em 2021, ataques à cadeia de suprimentos (isto é, a fornecedores de serviços) foram alguns dos mais comuns ao redor do mundo.
Um exemplo disso ocorreu nos Estados Unidos envolvendo a Kaseya, provedora de serviços de TI; uma vulnerabilidade em sua plataforma foi explorada para atingir cerca de 800 a 1.500 clientes – dentre eles, grandes empresas -, cujos dados foram roubados.
Intimidar
Existe também a possibilidade de um ataque cibernético acontecer simplesmente para que grupos de cibercriminosos provem o dano que podem causar à infraestrutura de uma organização ou, até mesmo, de um país por isso devemos entender sobre o Seguro cibernético .
Isso aconteceu muito quando o ransomware começou a ganhar destaque na mídia, com casos de interrupção de sistemas essenciais, como serviços de saúde, de distribuição de alimentos e de fornecimento de combustível nos Estados Unidos.
E a estratégia faz sentido: vendo que um ataque cibernético foi capaz de interromper o funcionamento de um oleoduto que abastecia o leste dos EUA, que empresa não morreria de medo de sofrer uma interrupção semelhante?
Ativismo
Por fim, temos também as motivações políticas, que fundamentam alguns dos maiores ataques ao setor público ao redor do mundo. A motivação vai desde a obtenção de informações confidenciais – ciber-espionagem – ao ativismo político.
Ao redor do mundo, práticas similares já tomaram os contornos do que especialistas chamam de “guerra cibernética”, ou ciberguerra. A China recentemente foi acusada de invadir sistemas dos Estados Unidos por meio de empresas de tecnologia, com o objetivo de interceptar “comunicações estratégicas”.
Ataques ao governo brasileiro também ocuparam as notícias em 2021, com 23 sistemas governamentais sendo comprometidos em dezembro, dentre os quais estavam o Supremo Tribunal de Justiça e o Ministério da Saúde.
Seguro cibernético: como o seguro pode ajudar a prevenir?
O seguro para riscos cibernéticos, além de ajudar as empresas a estarem mais em conformidade com a legislação de proteção de dados, traz segurança jurídica e financeira aos negócios sujeitos a violações de dados e ataques cibernéticos dos mais diversos, uma vez que a maioria das apólices cobre as principais ameaças cibernéticas existentes na atualidade.
Vale ressaltar a cobertura do seguro para riscos cibernéticos varia de contratação para contratação, mas, atualmente, existe uma variedade robusta de ofertas para atender às diferentes necessidades das empresas. Então sobre o Seguro cibernético algumas das garantias que as seguradoras oferecem incluem:
- Suporte para gestão de risco;
- Cobertura dos custos de gerenciamento de crise, no caso de uma violação;
- Indenização dos prejuízos causados por ataques cibernéticos;
- Indenização por lucros cessantes;
- Suporte jurídico junto às autoridades legislativas, como a ANPD.
Também vale ressaltar que, para a contratação de um seguro para riscos cibernéticos, é necessário que a empresa interessada já tenha ações preventivas e de governança mobilizadas.
Quer saber mais sobre o Seguro cibernético e o que ele pode fazer pelos seus clientes? Confira nosso mega-artigo Seguro cibernético: o que é, como vender, benefícios e tudo o que você precisa saber! e se aprofunde no tema!
Conte com a gente para esclarecer qualquer dúvida. Entre em contato, sem compromisso!