quero falar com um especialista

Artigos

Poucos minutos todos os dias para manter você atualizado sobre o que acontece na segurança cibernética de todo o mundo.

6 principais ciberameaças a que as empresas estão suscetíveis

Há uma crescente preocupação por parte das empresas em relação à segurança digital, sobretudo, devido ao aumento do número de ataques cibernéticos. Nesse contexto, por mais que as empresas invistam em segurança, as ciberameaças insistem em lembrar a todos que novos episódios podem ocorrer a qualquer momento.

Os ataques que se baseiam em IA (Inteligência Artificial) demonstram que os hackers estão utilizando algoritmos próprios ao Machine Learning, a fim de simular o comportamento humano.

Considerando que redobrar as medidas de segurança é uma necessidade absoluta, apresentamos, ao longo deste artigo, as principais ciberameaças a que as empresas estão suscetíveis. Boa leitura!

1. Ransomware

Trata-se de um sequestro de informações que o criminoso pode utilizar para chantagear a vítima, exigindo valores em dinheiro como “resgate” pelos dados que foram furtados.

Ele pode ser realizado mediante a invasão de uma conta, com a mudança das senhas de acesso, a interceptação de transmissões de dados e a modificação dos percursos de acesso aos servidores, a transferência das informações obtidas para um backup e a destruição dos originais etc. Para piorar, as devoluções não são garantidas.

A família de ransomwares engloba diversos malwares e vem sendo usada massivamente por indivíduos mal-intencionados que praticam crimes relativos à extorsão de dados (prática conhecida, também, como “sequestro de dados”).

O modus operandi do ransomware pode variar de acordo com sua versão, na medida em que cada um dos malwares lançados pode explorar diferentes brechas dos sistemas operacionais. Esse elemento, inclusive, contribui para tornar os ataques tão fatais e repentinos.

Embora a forma de manifestação do vírus possa variar consideravelmente, seu fim é sempre o mesmo: bloquear os arquivos dos computadores em sua totalidade, para impedir que os sistemas possam ser utilizados adequadamente, além de encaminhar mensagens requerendo pagamentos pelos resgates.

Algumas organizações tiveram que negociar altas somas junto aos criminosos para obterem a devolução de dados cruciais para os seus negócios. Realizar os pagamentos, entretanto, não é recomendável, pois não há garantia de normalização da situação (para não mencionar o fato de servir como uma espécie de estímulo ao crime).

Devido à quantidade e à frequência desses ataques, o ransomware é considerado por muitos especialistas como a mais grave ameaça da atualidade.

2. Phishing

Essa prática consiste na emissão de mensagens por e-mail, nas quais os invasores se passam por instituições confiáveis e legítimas (geralmente, serviços e bancos que operam com transações online). Tais mensagens induzem as vítimas a compartilharem suas informações e dados cadastrais. Trata-se de uma armadilha que, embora seja conhecida na internet há bastante tempo, segue atraindo inúmeras vítimas.

O phishing vem sendo usado recentemente em ataques de Business Email Compromise (BEC), cujo propósito é fazer com que os representantes da empresa vítima acreditem estar em comunicação com outros executivos.

Desse modo, as organizações são levadas a realizar depósitos em contas de terceiros sem se darem conta de que estão sendo vítimas de uma perigosa fraude. Para piorar, os criminosos não costumam deixar rastros, uma vez que as mensagens não contêm nenhum link ou anexos.

3. Falhas humanas

As falhas humanas continuam figurando como um dos mais fracos elos de quaisquer sistemas de segurança. Os operadores que têm acesso a todos os tipos de informações sensíveis devem estar plenamente cientes dos riscos que correm.

Basta clicar em um link suspeito, acessar uma rede desconhecida ou, até mesmo, trocar mensagens em ambientes digitais não garantidos para que uma potencial ameaça consiga encontrar a brecha necessária para causar sérios danos e prejuízos.

Além de capacitarem os colaboradores para todos os tipos de comportamentos comprometedores, os gestores também devem permanecer constantemente alinhados com a equipe de TI. Afinal de contas, as condições estratégicas de determinados itens devem ser esclarecidas.

Ao trabalhar em união, consolidando relações de confiança e profissionalismo, é possível diminuir drasticamente os riscos. Tenha em mente que os atores não humanos e humanos se mesclam nessas situações, de modo que todo o processo deve ser realizado com a máxima atenção.

4. Ataque às redes Wi-Fi

Os dispositivos móveis são tão seguros quanto as redes pelas quais transmitem dados. Na atualidade, em que todos estamos sempre conectados às redes Wi-Fi públicas, nossos dados não estão tão seguros quanto poderíamos supor.

No entanto, será que toda essa preocupação é realmente justificável? Antes de responder a essa pergunta, devemos levar em consideração que o spoofing de rede se elevou consideravelmente nos últimos anos e, mesmo assim, muitas pessoas não se preocupam em assegurar suas conexões enquanto dependem das redes públicas (por exemplo, ao viajarem).

Nos dias de hoje, é relativamente fácil criptografar o tráfego: se você não tiver uma VPN, deixará muitas portas abertas em seus perímetros. Escolher a VPN adequada não é uma tarefa fácil (sobretudo, uma de classe empresarial).

Tal como ocorre na maior parte das considerações relativas à segurança, certa compensação é, via de regra, necessária. Uma VPN eficaz precisa saber ativar apenas quando absolutamente necessário e não quando um determinado usuário acessar, por exemplo, um portal de notícias ou trabalhar em aplicativos que são reconhecidamente seguros.

5. Ataque à computação em nuvem

Os desafios trazidos pelos ataques à computação em nuvem têm motivado muitas empresas a desacelerarem a adoção e implementação de serviços baseados na nuvem, devido à ausência de capacidades específicas para lidar com as ciberameaças.

Embora existam muitos fornecedores de serviços que ofereçam excelentes controles de segurança e, inclusive, SLAs (sigla inglesa para Acordo de Nível de Serviço), há diversos fatores que também devem ser abordados, tais como:

• a possibilidade de visualizar e rastrear dados em ambientes na nuvem;
• uma consistente aplicação de políticas de segurança;
• o armazenamento de dados cruciais;
• a capacidade de responder prontamente às ciberameaças.

6. Uso de dispositivos desatualizados

Dispositivos, tablets, smartphones conectados — conhecidos comumente como IoT (sigla inglesa para Internet das Coisas) — representam novos riscos para a segurança corporativa. Diferentemente dos dispositivos tradicionais de trabalho, eles não tendem a oferecer garantias de atualização contínua e oportuna de softwares. Isso é válido, principalmente, para o sistema Android, no qual a maior parte dos fabricantes é ineficiente em manter seus produtos devidamente atualizados.

Muitos nem sequer contam com mecanismos embutidos de patch, o que os tem tornado cada vez mais vulneráveis às ameaças. O uso extensivo das plataformas móveis aumenta os custos totais de violação de dados e a abundância de produtos com Internet das Coisas apenas garante que esse número se eleve ainda mais.

A IoT é uma “janela aberta” para a violação de dados, com o potencial de gerar catástrofes para a sua organização. Sem embargo, políticas fortes percorrem longos caminhos: até que o cenário da Internet das Coisas seja um pouco menos selvagem, caberá às empresas criarem suas próprias redes de segurança em torno de seus dados críticos.

Os crimes que são praticados em ambientes virtuais aumentam em extensão e complexidade de danos. Os usuários particulares também estão inseridos nesse contexto, na medida em que os antivírus padronizados não são suficientes para entregar a proteção adequada aos ataques cibernéticos que nos rondam em uma base diária.

Cumpre ressaltar, por fim, que, para as empresas, essa realidade se apresenta de forma ainda mais contundente. Isso significa que o gerenciamento de riscos das ciberameaças aliado ao investimento em segurança digital deve ser considerado uma absoluta prioridade para negócios de qualquer segmento ou área de atuação.

Gostou do artigo? Então, fale com um dos nossos especialistas e saiba como se proteger!

Anteriores

Fale com a Aon

Nossos especialistas estão prontos para ouvi-los e conversar sobre os Riscos Cibernéticos
e as possíveis soluções que o mercado de seguros pode oferecer.

A Aon e outras empresas do grupo usarão suas informações pessoais para contatá-lo eventualmente sobre produtos, serviços e eventos que acreditamos ser de seu interesse. Toda informação coletada é usada de acordo com nossa Política de Privacidade.

Ao preencher os dados, você autoriza expressamente a Aon a coletar, usar, armazenar, transferir e processar seus dados pessoais conforme previsto em tal Política de Privacidade. Por favor assinale este campo caso NÃO deseje receber estes comunicados.