Por 
Em 2020, a necessidade de migrar todos os funcionários para o regime de home office revelou que muitas empresas não estavam preparadas para esse novo modelo de trabalho.
O acesso remoto permitiu a abertura de vulnerabilidades em diversas instituições, desencadeando ataques de ransomware e inúmeros vazamentos de dados. Para se ter ideia do tamanho do potencial prejuízo, o Brasil teve mais de 3,4 bilhões de ataques virtuais entre janeiro e setembro de 2020, segundo a consultoria Fortinet.
O trabalho remoto continua sendo uma realidade em 2021, e, para a BugHunt, primeira plataforma brasileira de Bug Bounty, programa de recompensa por identificação de falhas, isso coloca a cibersegurança como a principal tendência dos próximos meses. “Redes corporativas estão sendo acessadas por meio de redes domésticas, por seus colaboradores que, muitas vezes, não possuem um ambiente com nível de segurança adequado”, alerta Caio Telles, CEO da startup. “Esse tipo de acesso gera riscos diretos às redes corporativas, visto que os ataques de phishing estão em ascensão, muitas empresas utilizam sistemas e soluções defasadas, ou com falta de atualizações de segurança, e também não possuem políticas e procedimentos internos de segurança”, explica.
De acordo com o executivo, as principais vulnerabilidades encontradas nas instituições têm sido aquelas que envolvem dados pessoais e vazamento de informações – sejam elas tecnológicas ou fragilidades humanas. Outra falha é a Cross-site Scripting (XSS), em que o especialista consegue injetar um código em um site, sendo possível executar algumas ações no browser do cliente. “Não existe um alvo específico, mas podemos generalizar em empresas que possuam aplicações rodando em servidores desatualizados, aplicações escritas em linguagens desatualizadas, e que não possuam controles de segurança”, destaca Telles.
Fraudes financeiras
Denis Riviello, Head de Cibersegurança da Compugraf, provedora de soluções de segurança da informação e privacidade de dados das principais empresas brasileiras, alerta que as principais falhas estão na ponta do usuário, com fraudes relacionadas ao setor financeiro, como no PIX. “Ameaças direcionadas a dispositivos móveis cresceram vertiginosamente durante a pandemia, e isso deve continuar”, destaca. “A ferramenta mais forte dos hackers atualmente é a Engenharia social, que pode criar excelentes conteúdos de phishing, smishing, entre outros. Também houve um tipo de ataque que acabou sendo impulsionado pela pandemia: o Vishing. Nele, os atacantes ligam para as vítimas se passando por alguma empresa, a fim de obter lucros altos com essas ações”, pontua.
Os especialistas explicam que as falhas que envolvem vazamento de dados afetam as empresas diretamente na LGPD, podendo ser aplicadas sanções pela ANPD (Agência Nacional de Proteção de Dados) e também gerando prejuízos à imagem das instituições, já que os clientes podem ter seus dados vazados e compartilhados com outras pessoas. “Nós sempre orientamos as empresas a utilizarem serviços atualizados, segurança em camadas, testes de segurança e programas de Bug Bounty, além de dar uma atenção especial para a conscientização em segurança dos colaboradores”, recomenda Telles.
Para os executivos, mesmo diante de todos os ataques, é possível observar que, com a pandemia, muitas empresas evoluíram, em meses, trabalhos que levariam anos, como a criação de arquiteturas para suportar o acesso remoto de todos os colaboradores. “O Brasil não tem um nível baixo de segurança, visto que temos excelentes profissionais da área, falta somente mais amadurecimento dos processos. Um grande ponto positivo também é que as empresas que não sofreram ataques no ano passado puderam observar o quanto isso pode ser prejudicial e já criaram, ou estão criando, um plano de segurança da informação”, destaca Riviello. “Além disso, esperamos que as empresas contem cada vez mais com a comunidade de especialistas em segurança ofensiva para identificar rapidamente possíveis vulnerabilidades e assim conseguir corrigi-las de forma eficiente. A proteção de dados pessoais, seja de colaboradores ou clientes, também deve estar no foco das ações das equipes de segurança da informação”, finaliza Telles.
Sobre a BugHunt
A BugHunt é a primeira plataforma brasileira de Bug Bounty, programa de recompensa por identificação de falhas, que une empresas comprometidas com a segurança da informação e privacidade de seus usuários e/ou clientes a pesquisadores do setor.
Com foco em inovação para reconhecimento e resolução de bugs e vulnerabilidades, a startup tem como objetivo democratizar o acesso à segurança de dados. Por meio de programas públicos e privados, a BugHunt gerencia a definição de escopo e recompensa, a escolha de especialistas, a avaliação e triagem de relatórios e a verificação e correção de falhas nos serviços avaliados.
Sobre a Compugraf
A Compugraf é a provedora de soluções de segurança da informação e privacidade de dados das principais empresas brasileiras. Responsável pela implementação e operacionalização de sistemas completos de segurança digital, da tecnologia ao comportamento humano, além disso, a empresa é a principal parceira brasileira de gigantes globais do mercado, como: Check Point, F5, Fortinet, OneTrust, Algosec, Senha Segura, entre outros.
Com mais de 35 anos de mercado e 100% brasileira, a Compugraf reúne um time de mais de 100 colaboradores qualificados e certificados que proporcionam operações mais seguras para mais de 300 clientes ativos em nível nacional.
