Companhias demoram 100 dias para identificar ataques digitais
General mostra ao SBT News como Exército enfrenta guerra cibernética e compartilha soluções
SBT News
Em poucas horas, um ataque hacker pode coletar, tranformar e danificar dados de sistemas de grandes empresas. Em 100 dias, o estrago pode assumir outra proporção. Esse é o tempo que empresas costumam perceber que estão sob ataque. "São mais de 100 dias que uma empresa leva para detectar que está sob ataque cibernético. Veja o que pode acontecer nesse período em que ela está sendo atacada", provoca o general Guido Amin Naves, comandante do Centro de Defesa Cibernética do Exército (ComDCiber).
Três em cada quatro companhias já tiveram dados vazados em algum momento, segundo levantamento da PSafe, unidade de cibersegurança do grupo CyberLabs. A análise, publicada em julho de 2021, foi feita a partir de uma checagem do Verificador de Vazamentos, ferramenta gratuita desenvolvida pela PSafe para companhias consultarem se seus dados foram expostos na internet. O resultado foi apurado em uma amostragem de 150 empresas que utilizaram a ferramenta. Um outro estudo, feito pelo dfndr lab, laboratório especializado em segurança digital da PSafe, revela que 40% dos entrevistados já tiveram computador ou notebook infectado por vírus, o que representaria quase 7 milhões de potenciais vítimas da ameaça virtual no país dentro do ambiente de trabalho. Essa última pesquisa, publicada também em julho de 2021, incluiu uma amostra de 2.997 trabalhadores atuando em empresas com 30 ou mais funcionários.
No entanto, não são só empresas e funcionários que podem ser vítimas de ataques cibernéticos. Neste momento, o seu computador pode estar sendo invadido por uma série de hackers. Não só o seu, como o de qualquer pessoa do país. Pode ser em uma usina hidrelétrica ou uma distribuidora de energia. De blackout no sistema operacional até um apagão em uma cidade inteira, as consequências de um ataque cibernético são danosas para o tratamento de dados.
+ Leia as últimas notícias no portal SBT News
Para evitar esse tipo de ataque, é preciso investir em uma quarta força: a segurança cibernética. Tanto em equipamentos, pessoal, capacitação, como, também, em legislação que protejam os dados.
No Brasil, há três leis que tratam de crimes cibernéticos: a Lei Geral de Proteção de Dados (LGPD), que atua em sanções administrativas; o Marco Civil da Internet, que é aplicado na área civil; e a Lei de Crimes Cibernéticos, que tem mais abrangência na área penal, além de decretos e portarias que regulamentam o tema.
Segundo Camilo Onoda Caldas, doutor em Direito pela Universidade de São Paulo (USP) e professor de Direito Digital, nas ocorrências criminosas, as três legislações são utilizadas para definir a pena no Brasil. "Os autores, ao contrário do que muitas pessoas acreditam, sempre deixam rastros e, dependendo do amadorismo, são significativos", ressalta o especialista.
No entanto, para Caldas, poucas vezes os criminosos digitais são penalizados, pois falta estrutura e investimento para combater esse tipo de delito. "Atualmente, se o Brasil quiser aumentar os níveis de segurança cibernética, precisa implementar práticas e políticas para ganhar espaço no setor. Já temos boas leis para garantir segurança, mas não conseguimos implantar. O Estado precisa se estruturar, capacitar-se tecnicamente nessa atuação e fomentar a pesquisa, já que a tecnologia está sempre se desenvolvendo. Os ataques cibernéticos ao redor do mundo já provocaram prejuízos de mais de US$ 6 bilhões", pontua.
Países que já perceberam a ameaça não deixam de investir na área, como a Alemanha, que criou, em 2018, uma agência de segurança cibernética ligada aos ministérios do Interior e da Defesa. De acordo com Tarciso Dal Maso, doutor em direito internacional e consultor legislativo do Senado, em cenários de conflito armado, em que o direito humanitário internacional se faz presente, não há nenhuma legislação sobre crime cibernético. "Essa parte cibernética não é devidamente regulada, o direito falha nessa questão. Já houve ataque cibernético em contexto de conflito armado na Criméia, na Rússia, no Irã, na Arábia Saudita... Bloqueio de banco, paralisação de hospitais, queda de energia, ataque contra a população civil... No entanto, não houve condenações", lamenta o especialista.
Dal Maso acrescenta que esse tipo de ataque se dá, sobretudo, contra países com infraestrutura crítica. Mas, mesmo nações com menos condições e pouca força militar conseguem se inserir na guerra e distribuir ataques cibernéticos. Basta um computador. O especialista ressalta, porém, que os países mais ricos são os que têm mais condições de promover ataques desse tipo. "Os mais fortes, do ponto de vista cibernético, são países muito potentes militarmente. Quem mais está investindo são a China, a Rússia, a França... A Alemanha já tem a quarta força, mas ainda não há a regulação disso."
O consultor legislativo reforça que o Brasil, mesmo tendo uma regulação forte sobre o tema, ainda tem dificuldades para legislar. "Os países internamente estão criando legislações, mas ainda tem muito a ser feito, de considerar isso como crime. Se o direito internacional não atua da maneira como deveria, os Estados têm dificuldade de condenar internamente", ressalta.
Como funciona a defesa cibernética no Brasil?
Todos os dias, 24 horas por dia, o ComDCiber monitora ameaças de ataques digitais. Localizado em Brasília, ao lado da Torre de TV Digital, o centro militar conta com um efetivo de 250 pessoas (incluindo participantes de Brasília e São Paulo), que atua na área da defesa cibernética. O centro tem salas para treinamento e aulas, equipamentos de última geração e um aparato tecnológico para identificar riscos de ataques e crises. Os focos são a proteção, a exploração do espaço cibernético e, até, o disparo de contra-ataques cibernéticos, se houver necessidade.
Nesta 3ª feira (5.out), o Ministério da Defesa, em parceria com Senai, Rustcon e Cisco, implementa o maior exercício de defesa cibernética do Hemisfério Sul, o Guardião Cibernético 3.0, que vai até o dia 7 de outubro. O treinamento conta com aulas de cibersegurança para 350 civis e militares e 58 organizações públicas e privadas.
De acordo com o general Amin Naves, a segurança se faz em conjunto. "Precisamos ter uma comunicação fluida entre os órgãos responsáveis por operar sistemas de TI. Ao se detectar, pelo comportamento das redes, a suspeita de um ataque, o código malicioso é analisado e tudo é difundido online, em tempo real", ressalta. Entender como evitar esse tipo de ataque, fechar a vulnerabilidade e diminuir os efeitos são objetivos centrais. "O desafio (do ComDCiber) é detectar rapidamente o ataque, analisar o código malicioso e entender o que ele faz, que vulnerabilidade ele explora, além de difundir mais rapidamente a informação para minimizar ou impedir que aquele ataque possa ter sucesso", diz o general.
Amin destaca que é preciso que o conhecimento sobre segurança digital e proteção cibernética seja difundido para todos, pois crime cibernético é um problema que foge do âmbito da Defesa, é um problema nacional. "Esse problema já deveria começar a ser solucionado na escola fundamental. Questão de senhas, postagens, armazenamento de arquivos. Começar no fundamental e seguir por todo o caminho com esses ensinamentos. A proteção cibernética do Brasil começa na rede wifi da casa de cada um", conclui.
Confira o vídeo com mais explicações sobre segurança cibernética:
Saiba mais:
