São Paulo - Os ataques cibernéticos a empresas causaram um prejuízo global de 113 bilhões de dólares em 2012, prejudicando diretamente 378 milhões de pessoas. No Brasil, as perdas somaram 18 bilhões de reais, e o número de afetados  chegou a 22 milhões.

Dados assim, extraídos do relatório anual da Symantec, a maior empresa de segurança digital do mundo, ajudam a entender por que muitas companhias estão tirando os gastos com segurança digital da planilha de custos e colocando na de investimentos estratégicos.

Para o americano Steve Bennett, presidente mundial da Symantec, o escândalo recente de espionagem do governo dos Estados Unidos, revelado em junho pelo programador Edward Snowden, apenas ajudou a explicitar um desafio que vem se tornando cada vez mais complicado para as empresas: manter seus dados estratégicos protegidos. Em visita a São Paulo, Bennett falou a EXAME.

EXAME - Qual é o principal desafio das empresas em relação à segurança digital?

Steve Bennett - A maior dificuldade hoje é conseguir conscientizar os funcionários. Boa parte dos problemas de segurança, como o vazamento de informações estratégicas, ocorre por descuidos internos, e não por técnicas mirabolantes de hackers.

As pessoas não têm noção dos riscos que correm ao baixar um arquivo de origem desconhecida ou ao colocar um projeto sigiloso num pen drive e continuar trabalhando no PC de casa.

EXAME - O que as empresas devem fazer sobre isso?

Steve Bennett - É preciso definir políticas de prevenção e deixar claro quais são as consequências de eventuais descuidos. Uma porta de entrada cada vez mais usada por criminosos são os smartphones. Os casos de perda e roubo de smart­phones no Brasil são mais comuns do que se imagina.

Cerca de 40% dos adultos consultados em uma pesquisa recente que fizemos disseram ter perdido seus aparelhos no último ano. A média global é de 27%. Uma conta de e-mail corporativo cadastrada num smartphone roubado pode significar uma enorme dor de cabeça para a empresa.

EXAME - Os hackers deixaram de ser uma preocupação?

Steve Bennett - Não, de forma alguma. Os criminosos virtuais estão usando táticas cada vez mais sofisticadas. O número de ataques direcionados, como são chamadas as técnicas usadas para roubar dados ou fazer espionagem industrial, cresceu 42% em todo o mundo no último ano.

---

O perfil desses criminosos foi evoluindo com o tempo. Nos anos 90, eram profissionais de informática que violavam o sistema das empresas apenas para aparecer. Depois, eles se uniram em quadrilhas, na maioria das vezes para roubar dados de clientes de bancos e de operadoras de cartões de crédito. A onda mais recente são os ataques que têm como objetivo danificar e destruir os sistemas corporativos.

EXAME - Como esses ataques funcionam?

Steve Bennett - São ações orquestradas por empresas ou governos para prejudicar concorrentes e países rivais, roubando ou destruindo dados estratégicos. No setor de segurança, os good guys precisam ser eficientes em 100% do tempo. Para os bad guys, basta ter êxito uma única vez para ganhar a batalha. É uma guerra que está só no começo.

EXAME - O senhor poderia citar exemplos recentes de empresas que sofreram ataques de grandes proporções?

Steve Bennett - Há pelo menos dois casos recentes com empresas petrolíferas no Oriente Médio. Em 2012, a estatal saudita Aramco foi contaminada com um vírus que inutilizou cerca de 30 000 computadores. Algo semelhante aconteceu com a RasGas, do Catar, a segunda maior produtora de gás natural liquefeito do mundo.

As companhias não divulgam os prejuízos, mas dá para imaginar o dano causado, principalmente num setor em que uma informação estratégica pode valer bilhões de dólares.  

EXAME - Quem ordenou esses ataques?

Steve Bennett - É difícil identificar de onde vêm porque essas quadrilhas usam o poder de conectividade da internet para agir de forma descentralizada. A suspeita acaba recaindo sobre países que têm a rede de internet mais fechada e que, por isso, são mais difíceis de ser investigadas, como o Irã e a Coreia do Norte.

EXAME - As empresas estão gastando mais com segurança por causa das denúncias de espionagem envolvendo o governo americano?

Steve Bennett - Há uma confusão nesse debate. O fato de ter um sistema de segurança não garante que seus dados não sejam divulgados por empresas que os armazenam. Como os governos sempre procuraram dados sigilosos, é natural que recorram a empresas de tecnologia para obter informações.

A discussão, nesse caso, é sobre privacidade. Se quem armazena pode passar as informações. O que ocorreu depois das denúncias feitas por Edward Snow­den envolvendo a Agência Nacional de Segurança dos Estados Unidos é que o debate sobre a privacidade se tornou um problema político.

Aí, entra a postura das companhias de tecnologia. Em nosso caso, sem um processo legal, não compartilhamos nenhum tipo de informação de nossos clientes.

---

EXAME - O que o senhor acha da intenção do governo brasileiro de obrigar empresas de internet a manter os dados hospedados em data centers no país?

Steve Bennett - É um bom exemplo da confusão entre o que é privacidade e o que é segurança. Um data center no Brasil fará com que as informações estejam mais seguras? Tenho minhas dúvidas. As empresas têm data centers em diversos países e guardam as informações de forma descentralizada justamente para garantir a redundância no caso de ocorrer um problema com um data center ou uma região específica.

Os políticos normalmente não são experts em segurança e acham que exigências assim ajudam a resolver a questão da privacidade. Entendo o lado político da decisão do governo brasileiro, já que a exigência envolve empresas americanas, mas acredito que ele está errando o foco da discussão.

EXAME - Qual será a próxima fronteira no combate ao crime cibernético?

Steve Bennett - Certamente é a mobilidade.  Não estou falando apenas de smartphones e tablets, que são os principais alvos atual­mente. É uma era que está apenas no início. Hoje, há 2,5 bilhões de dispositivos conectados no mundo. Eles serão 30 bilhões em 2020 e muitos deles estarão incorporados no dia a dia de empresas e funcionários.

Haverá computadores integrados a roupas, óculos e carros. Precisamos nos preparar para evitar que esses produtos sejam invadidos ou roubados.

---

EXAME - Como a tecnologia deverá evoluir para garantir a segurança digital nessa nova fronteira? 

Steve Bennett - O caminho natural será usar tecnologias de big data, que permitem analisar um imenso volume de informações, para mapear padrões de uso de todos esses aparelhos conectados e apontar eventuais desvios. Isso já ocorre com as empresas de cartão de crédito. Se o perfil de uso desses produtos, como óculos e carros, sofrer algum tipo de alteração, o sistema poderá automaticamente bloqueá-lo. 

EXAME - O senhor acha que a tecnologia conseguirá nos livrar da infinidade de senhas que fazem parte de nossa vida? 

Steve Bennett - As tecnologias de verificação de identidade terão de evoluir. Ainda hoje a maioria das pessoas não entende a importância de criar senhas complexas para se proteger. Fizemos o teste. Pegamos as 1 000 combinações de senhas de e-mails mais comuns e colocamos num sistema que testa todas de uma só vez, uma velha tática dos hackers.

No final, conseguimos êxito em 91% das tentativas de acesso. Nesse sentido, o uso de biometria, como o reconhecimento das digitais ou do formato do rosto, é importantíssimo. Mas temos muito que avançar. Há alguns smartphones que substituíram a senha numérica de proteção do aparelho por um sistema de reconhecimento facial que pode ser burlado usando a foto da pessoa. Nesse caso, não resta dúvida de que é melhor voltar para os números.