Neusa Alves, dona de casa de São Paulo, tem 82 anos e estava com um exame (holter) marcado no laboratório Fleury. Foi até uma unidade da rede, fez ficha, pegou senha. Esperou mais de uma hora quando foi informada pelos funcionários que o “sistema estava fora do ar” e que o exame não poderia ter sido realizado. Ela não sabia – e não recebeu nenhum aviso da empresa – que no dia anterior havia sofrido um ataque cibernético, que resultou em indisponibilidade em parte de seus sistemas e operação.

O Fleury disse, em comunicado à CVM (Comissão de Valores Mobiliários), que estava atuando para mitigar os efeitos causados pelo ataque hacker. Mas, segundo Neusa, ela mesma não recebeu nenhum telefonema ou orientação.

Em nota, o Fleury disse que está “com um grupo de profissionais altamente especializados em tecnologia e segurança da informação avançando consistentemente nas soluções para realizar uma retomada gradual e segura dos serviços.” Também acrescentou que a base de dados da empresa “está íntegra e que o atendimento em todas as unidades segue acontecendo”.

Avisar os clientes em caso de ciberataques é crucial, segundo uma pesquisa da Kaspersky, empresa especializada em segurança virtual. Feito em dezembro com mais de 5.200 profissionais de TI e cibersegurança – mais de 300 na América Latina, o levantamento mostrou que os custos de um ciberataque para uma pequena ou média empresa (PME) podem ficar entre US$ 93 mil e US$163 mil. O que diferencia um valor ou outro? A decisão de informar clientes e sociedade sobre o ataque.

“O prejuízo é maior quando a empresa esconde o ataque”, diz Fabio Assolini, analista sênior de segurança da Kaspersky. “Uma hora ou outra o consumidor vai ficar sabendo que seus dados também foram atingidos no ataque”, diz.

O próprio Assolini conta que recebeu uma vez uma segunda fatura de uma conta de telefonia. “Essa fatura apresentava o número de contrato correto, o meu telefone, vários dados, tudo certinho. Só desconfiei que era falsa porque eu já tinha pago a conta e estranhei o valor. Na realidade, foram golpistas que roubaram meus dados da operadora e mandaram a fatura.”

Mas nem todas empresas escolhem ser transparentes. Cerca de duas em cada cinco empresas (42%), conforme a pesquisa, decidiram revelar que sofreram ataques virtuais. Outras 31% delas preferiram não divulgar. Mais de um quarto (27%) das empresas tentaram ocultar o incidente, mas ele vazou para a imprensa.

“Não é recomendável esconder. Haverá danos à imagem de qualquer maneira. Mas se a PME oferece ajuda, pede para que o cliente, por exemplo, mude senhas ou cancele o cartão de crédito (no caso desses dados terem sido roubados), ela resgata uma parte da confiança do consumidor” diz ela.

Além disso, outro levantamento também feito pela Kaspersky, em 2017, mostra que 60% das PMEs atacadas acabam fechando as portas em menos de seis meses após o ataque. O dado continua valendo para os dias de hoje, diz o especialista. “O que acontece é uma fuga de clientes e a empresa não resiste. Além dos prejuízos financeiros”, diz Assolini.

Mas não são apenas as pequenas que sofrem. Há três semanas foi a vez da maior processadora de carne do mundo, a brasileira JBS ser alvo de cibercriminosos. Suas redes de computadores foram hackeadas, fazendo com que algumas operações na Austrália, Canadá e Estados Unidos fossem temporariamente fechadas, afetando milhares de trabalhadores.

O que diz a lei?

Em agosto, depois de mais um ano de prorrogação, entra em vigor a LGPD (Lei Geral de Proteção de Dados). A nova regra determina que o consumidor residente no Brasil precisa dar permissão para o uso de seus dados pessoais.

O dono da informação deve ser informado sobre para que fins a informação será utilizada, e por quanto tempo. Em caso de infração – ou de vazamento desses dados – a multa é pesada: 2% do faturamento, com teto de R$ 50 milhões.

Mas enquanto a lei não entra em vigor, os vazamentos correm soltos. A Kaspersky identificou um aumento de 330%, ou mais que o quádruplo, no número de tentativas de ataques cibernéticos no Brasil em 2020. Foram mais de 370 milhões de invasões a sistemas corporativos. Este ano, eles continuam acontecendo.

Por que acontecem tantos vazamentos?

“Se eu fosse apontar apenas um culpado, eu diria que é a adoção massiva de serviços na nuvem”, diz Assolini.

Para trabalhar e vender na internet, as empresas pagariam um valor muito alto para manter data centers, servidores e hardwares. A solução mais barata é colocar esses serviços na nuvem. “O problema é que, ao fazer isso, as companhias não fazem a configuração de segurança correta. Colocam dados em diretórios abertos, por exemplo. E aí ficam expostas e sofrem ataques.”

Os mais novos agora são os ransonwares – ou sequestro de dados. Os golpistas roubam as informações e pedem um resgate em criptomoedas para devolvê-las. Embora a empresa negue, foi isso o que, segundo fontes do mercado, aconteceu com o Fleury.

Como evitar?

Já ficou bem lá no passado o tempo em que as pequenas e médias empresas  resolviam problemas de informática com o “primo de não sei quem que sabe mexer em computador”.

“Hoje não dá mais para ser assim. As empresas precisam ter um profissional que entenda de segurança cibernética. Se não for contratado, que seja uma consultoria. E quando a LGPD entrar em vigor, vai ser ainda mais necessário, por conta da multa, que é bem pesada”, diz o especialista. Esse profissional fará ataques simulados aos dados da empresa para saber onde estão as vulnerabilidades e em seguida, as corrigirá. Ter programas que proporcionem solução de segurança para a proteger a empresa também conta.

Quer receber notícias do 6 Minutos direto no seu celular? Estamos no Telegram (t.me/seisminutos) e no WhatsApp (https://6minutos.uol.com.br/whatsapp).