Como as empresas podem se proteger contra a onda de ataques cibernéticos?

Diferentes órgãos federais brasileiros confirmaram que foram alvos de ataques hackers. Além do Ministério da Saúde, que teve o site e aplicativo Conecte SUS (que fornece o Certificado Nacional de Vacinação Covid-19) fora do ar, também sofreram ataques a Controladora Geral da União (CGU), a Polícia Rodoviária Federal (PRF) e o Instituto Federal do Paraná (IFPR). É uma onda significativa, sem hora para acabar. Na verdade, pode ser só o começo de uma tendência que já vinha em uma crescente, de criminosos aplicando o manjado golpe ransomware tanto contra a iniciativa privada como dentro da esfera político-governamental. 

Observando este cenário, seria exagero afirmar que o Brasil está sofrendo ataques de “serial hackers”? Creio que não. O ministro da Saúde, Marcelo Queiroga, confirmou, inclusive, que o sistema do Ministério da Saúde sofreu um segundo ataque cibernético na sequência do primeiro ataque, só que de menor intensidade. Notamos que estes são grupos que não cessam suas atividades, buscando sempre novos alvos vulneráveis. Trabalham assumidamente visando um único objetivo: dinheiro. Pelo menos é o que afirmou o Lapsus$ Group, que assumiu o ataque ao Ministério e pediu sugestão de mais alvos. 

Como se não bastasse, tudo isso ocorre em meio a um megavazamento de dados de brasileiros, revelado no início do ano. Mais de 220 milhões de registros com informações pessoais foram furtados e passaram a ser negociados em criptomoedas. A lei de proteção existe? Sim, a LGPD (Lei Geral de Proteção de Dados). Ela é suficiente? Não, pois para ser cumprida, é necessário que as empresas coloquem em prática os padrões determinados pela mesma, e que haja fiscalização do governo que possa garantir esta proteção. 

Passamos por um momento totalmente novo, no qual as organizações que não se protegerem intensamente continuarão à mercê desse tipo de ação criminosa. Por isso, sempre digo é preciso evitar uma cultura de TI reativa. Ela precisa ser preventiva. E o que significa prevenir em TI? É arregaçar as mangas e fazer o diagnóstico completo por uma equipe especializada em estruturação da TI. É identificar as fragilidades e apontar as recomendações necessárias para que a organização se antecipe a este cenário, mapeando uma série de quesitos que permitem gerenciar adequadamente os riscos em TI. 

Por meio de um mapeamento, define-se a estratégia para corrigir e otimizar as estruturas e sistemas. Após a análise de riscos e de viabilidade, planejamento dos investimentos e da execução, a implementação ou redesenho das arquiteturas de sistemas pode garantir o sucesso das operações.  

Sobre o autor: Walter Troncoso é sócio-fundador da Inove Solutions, startup especializada em TI, cibersegurança e transformação digital por meio de soluções de alta tecnologia. Engenheiro de sistemas de informação, com formação pela Universidad Tecnológica Nacional (UTN), e Arquiteto em soluções, tem sólida experiência na construção de infraestruturas de grande escala e tecnologias emergentes em mercados da América Latina, Estados Unidos, Alemanha, França e Austrália. O executivo aplica as melhores práticas em TI, gestão de equipes e de projetos. Antes de fundar a Inove, ocupou cargos de liderança no TMF Group, Cast Group, Wipro Limited, Petrobras, Farmoquímica e SAP. Seu perfil completo pode ser acessado em https://www.linkedin.com/in/waltertroncoso/.