O cibercrime tem sido um tema desvalorizado e raramente publicitado, mas com elevado custo e risco para as pessoas e organizações. A Symantec estimou em 2011 para o mundo todo um custo de 388 biliões de dólares anuais (114b$ de custos primários e 274b$ de custos secundários), e a McAfee em 2009 fazia manchetes indicando que 1 trilião de dólares teria sido gasto mundialmente devido ao cibercrime e roubo de dados.


Valores demasiado elevados que são pouco credíveis, pois os cálculos não são somas de casos reais mas extrapolações baseadas em amostras e critérios questionáveis. As bases destas extrapolações são no entanto indiscutíveis pois são casos reais analisados pelas empresas - e permitem-nos concluir que o impacto nas organizações é crítico, seja por roubo directo de dinheiro, perdas de imagem, quebras de serviço, roubo de dados ou outro efeito resultante de actividades provenientes do crime informático. O Risco para qualquer empresa, entidade pública, estado, nação ou pessoa individual é real e tem custos demasiado relevantes para serem ignorados.


O Instituto Ponemon apoiado pela HP publicou em Outubro/2012 um estudo com as estatísticas de 2012 para o custo de cibercrime. Os problemas e as tendências mantêm-se e agravam-se. Quase todas as empresas analisadas tinham sofrido um ataque de malware em 2012 e 71% tinham encontrado um computador seu a servir de bot (zombie). O estudo reporta um aumento de 42% no número de ataques, representando uma média de 102 ataques bem-sucedidos por semana, tendo ocorrido apenas 72 em 2011 e 50 em 2010. O panorama não está a melhorar e a nossa exposição como indivíduos tem aumentado significativamente.

[caption]Bruno Costa - Infosistema[/caption]

Os principais alvos em termos de sectores verticais da indústria para o roubo de cartões de crédito são o hoteleiro e o comercial, que têm tendência a guardar os nossos dados de cartões de crédito nos seus sistemas mesmo quando já não necessitam deles. Tornam-se assim alvos muito proveitosos para criminosos, que ao aceder aos seus sistemas encontram bases de dados completas de milhares de cartões.

Em Portugal, recomenda-se que quando realize compras on-line ou envie os seus dados de cartões de crédito para reservar hotéis, utilize um sistema como o MBNet em que o número do cartão de crédito é válido para uma só transação, ou em alternativa, o sistema Paypal (ou semelhantes).


Se são assim tão frequentes os ataques e os problemas, porque não se ouve falar mais deste tipo de ocorrências?


Julgamos que as razões são duas:

  • Por um lado, nenhuma empresa quer divulgar que foi atacada, devido a questões de imagem. Embora existam leis na Europa sobre a obrigatoriedade de divulgação de quebras de segurança "graves" às entidades reguladoras num período de 24h, não há uma definição clara do que é considerado grave pelo que muito pouco é reportado; Adicionalmente, as empresas vítimas normalmente têm prioridades mais relevantes nessas primeiras 24h após uma quebra de segurança, como o de se manterem a funcionar e controlarem o incidente;
  • Por outro lado, o público em geral não tem uma grande cultura digital, pelo que esse tipo de notícias não "vende" e é na maioria das vezes desprezada pelos editores jornalísticos. Nas situações em que as notícias são publicadas, referem-se a empresas conhecidas ou por envolverem grandes números" que façam manchetes e raramente é dada continuidade ao tema.




Neste ano tivemos alguns casos publicitados, mas quantos de vós os ouviram ou se lembram deles?

  • A deliberação publicitada em Janeiro/2012 sobre a possível multa à Optimus de até 7.5 Milhões de Euros, aplicada pela Comissão Nacional de Protecção de Dados, derivada de uma possível fuga de informação;
  • Um processo instaurado nos EUA ao LinkedIn de 5 Milhões de Euros, sobre a quebra de segurança que disponibilizou cerca de 6 milhões de passwords dos seus utilizadores em Junho/2012;
  • Uma falha de segurança na cadeia de livrarias Barnes&Noble, detectada em Setembro/2012 e que provocou a disponibilização de informação dos cartões de crédito de clientes, levou a que em Outubro passado a cadeia de lojas retirasse os 7.000 terminais POS das lojas para verificação, estando a aconselhar os seus clientes a modificarem os pins dos cartões e validarem os extratos;
  • No Reino Unido, a deliberação de uma multa de £50,000 em Novembro/2012 devido a uma falha na protecção de dados do banco Prudential UK que originou a mistura de dados de dois clientes diferentes.
  • Quando utilizamos meios digitais como smartphones, tablets e computadores, o perigo não está só no que os malfeitores nos podem fazer, mas também naquilo que nós mesmos fazemos. Não tendo consciência dos nossos actos e não pensando no impacto que pode surgir, provocamos situações inéditas e perigosas:
  • Um soldado israelita revela os planos de uma operação militar no Facebook na véspera da mesma (ainda bem que não existiam plataformas sociais durante o Dia D na segunda grande guerra);
  • Um empregado que revela na internet que uma fusão e aquisição de empresas não se vai concretizar, ainda durante as negociações oficiais entre as empresas e obviamente afetando as negociações;
  • Um jornalista que morreu na Alemanha e cujos colegas mencionam o facto com mensagens no Facebook antes da família ser avisada.

Quando se analisam as vulnerabilidades reais ocorridas, o relatório da Verizon de 2012 sobre dados comprometidos é claro, reportando em 92% dos casos o nível tecnológico dos criminosos como "simples", e em 97% dos casos teriam sido facilmente evitáveis pelas vítimas.


Na mesma direcção, a indústria de cartões de pagamento (PCI) definiu um standard para a segurança de dados (PCI-DSS), definindo uma aproximação prioritizada àquilo que considera necessário do ponto de vista de segurança. Composta por 6 milestones, as suas análises indicam que a implementação das 2 primeiras permitiria prevenir cerca de 97% dos casos, e que a partir das 4 milestones implementadas as empresas começam a ser recompensadas (não pagando multas). As melhorias simples passam por alterar passwords, utilizar firewalls e garantir a aplicação dos patches (atualizações) mais recentes para o software que utiliza. Estas sugestões são aplicáveis a empresas e a particulares.

Necessitamos de nos lembrar sempre que um malfeitor tem aversão ao risco e ao esforço, pelo que só precisamos de garantir que ele terá um risco maior ao nos atacar a nós, forçando-o a ter mais trabalho para o conseguir fazer, procurando desviar assim a sua atenção para outro ponto ou pessoa mais vulnerável.

* Infosistema