‘É impossível estar 100% seguro na internet’
Apesar de compreendermos que ataques cibernéticos são cada vez mais comuns, nocivos e criativos, temos também a falsa noção de que algumas medidas de segurança são suficientes para nos resguardar deles. Segundo a especialista Regina Braga, com bagagem de mais de 30 anos em tecnologia da informação e 18 anos em segurança da informação, nenhuma medida de segurança é suficiente quando se trata de informação on-line. “É porque os hackers vão se atualizando. Se uma ferramenta de segurança é criada, eles desenvolvem programas para contorná-la ou derrubá-la. Aí cria-se um novo instrumento de segurança, eles decodificam, derrubam. É um círculo vicioso. É impossível estar 100% seguro na internet. Mas é imprescindível fazer o possível para estar”, pondera a profissional, que passou por empresas como Petrobras, Módulo Security Solutions,IBM Brasil,BNDES e Banco Itaú.
Em entrevista à Tribuna, ela fala sobre ataques de escala planetária (como o que atingiu mais de 300 mil computadores de todo o mundo devido a uma falha no Windows), formas de prevenção, erros frequentes cometidos por empresas e pessoas e sobre crimes cibernéticos mais comuns, como os que usam criptografia, muito em voga na atualidade. “A criptografia é uma ferramenta de segurança. Ela foi criada para manter sigilo de informações caso elas se percam. Por exemplo, se uma empresa tem um e-mail criptografado, códigos o tornam ‘embaralhado’, ilegível para quem não tem a chave de criptografia, protegendo o conteúdo. Mas agora os hackers estão conseguindo ‘sequestrar’ dados das pessoas e criptografá-los, fazendo com que o próprio usuário deixe de ter acesso a eles. Então eles pedem um ‘resgate’ em dinheiro pela chave de criptografia, para que a pessoa volte a acessar suas informações”, explica Regina.
Tribuna de Minas – Quais são os crimes cibernéticos mais comuns e a quem eles se direcionam?
Regina Braga – Atualmente, os que visam alguma fraude financeira, um ganho monetário. Os sequestros de dados ocorrem por meio de malwares específicos chamados ransomware, que depois cobram resgate pelos dados “roubados”. Isto tem acontecido muito em Minas Gerais e em Juiz de Fora, especificamente. As empresas de médio e pequeno porte são os maiores alvos atualmente porque hoje em dia as grandes empresas têm um investimento relevante em segurança da informação. Então isso vem acontecendo em empresas de turismo, de contabilidade, escritórios, consultórios médicos e outros empreendimentos parecidos. Outros ataques comuns são a instalação de softwares espiões para descobrir dados bancários; o golpe de boletos falsos mas a partir de contas com os mesmos dados (roubados) de boletos reais.
– Quais são os erros mais comuns quando se trata de segurança da informação?
Uma série deles. O primeiro é acreditar em tudo que se lê on-line. Chega um e-mail, se identifica como banco, como prestadora de serviço, e a pessoa acredita. Na internet qualquer um pode ser qualquer pessoa ou instituição. Então pode-se criar um e-mail, uma página, um documento fingindo ser uma autoridade, um órgão, uma instituição e com isso o usuário revela dados, paga cobranças indevidas. Também há o clique em links com vírus, a pessoa clica em um arquivo ou uma janela e pode ser contaminada e ter seus dados roubados, seu computador invadido, enfim, o efeito depende do tipo de vírus. O importante é saber que não se pode clicar em qualquer coisa. Outro erro grave é pensar que não é um alvo. Hoje em dia todo mundo é um em potencial. E isso desencadeia outros erros: não ter antivírus, não fazer backup (recuperação de dados em outro lugar que não o computador), não ter uma senha minimamente segura. Não tomar estes cuidados é como ter um carro sem seguro.
– Existem dispositivos mais vulneráveis a ataques? Quais?
Todo e qualquer dispositivo que tem acesso à internet é um ponto vulnerável :celulares, computadores, tablets, gadgets em geral. Tem acesso à internet? Está correndo risco. O que vai acontecer em um futuro próximo está relacionado ao que vem sendo chamado de “internet das coisas”, uma tendência mundial em que mais e mais aparelhos e recursos estarão ligados à internet, com eletrodomésticos, energia elétrica e outros. Aí tudo se tornará um alvo. Governos e corporações hoje já se preocupam com uma possível guerra cibernética porque pela internet será possível atacar a infraestrutura de um país inteiro: luz, gás, telefonia, tudo. Alguns anos atrás, chegaram a cair com a internet de toda a cidade de São Paulo e isso tem efeitos na bolsa, na produção industrial, em tudo. Um mundo conectado oferece muitos benefícios, mas também aumenta muito os riscos de ataques.
– Como uma empresa pode se proteger contra possíveis ataques de fato?
A segurança deve ser pensada em camadas. Basicamente,é preciso investir em tecnologia de segurança (softwares como antivírus), processos e segurança física. Os processos estão ligados a regras de segurança que todos de uma empresa devem conhecer e seguir. É investir em treinamento, conscientização, em formação… E a segurança física é literal mesmo. Não dar acesso a tudo para todos.
– E uma pessoa?
Os mesmos de uma empresa, em escalas menores. Como disse antes, é ter antivírus, fazer backup, e ter processos seguros: não fornecer senha por telefone, por e-mail, não fazer transações bancárias em computadores públicos, coisas assim. E é preciso sempre se informar sobre possíveis golpes que estejam sendo praticados. Além disso, é preciso lembrar que na internet não há perímetro de segurança. Isso é muito importante para pais, por exemplo. Antes, se seu filho estava em casa, teoricamente ele estava seguro, hoje, qualquer arquivo pode ser lançado na rede e qualquer pessoa pode ter acesso a crianças e adolescentes, o que pode ameaçar até sua integridade física, como em caso de pedófilos que se passam por adolescentes ou crianças. Os pais têm o dever de ter atenção ao que os filhos fazem na internet.
– É possível ser atacado sem saber?
Acontece muito. Tem um tipo de ataque que see chama “deny of service” (DOS), ele implanta um software “zumbi” em vários servidores, de forma escondida, e aí os hackers acionam o comando de ataque, que pode ser a uma pessoa ou à central de uma grande empresa, por exemplo. Antes estes softwares pregavam pequenas peças, mas hoje os prejuízos são imensuráveis. E se você perguntar à direção de grandes empresas, elas dificilmente saberão se estão seguras. Pessoas então, nem se fala.