Tecnologia da Informação deixou de ser somente área-meio e precisa estar diretamente envolvida nas estratégias da organização
Cerca de R$ 800 milhões desviados em apenas duras horas e meia. O fato aconteceu no último 2 de julho e vem sendo apontado como o maior ataque cibernético da história brasileira. A ação contou com o envolvimento de um colaborador terceirizado na área de Tecnologia da Informação (TI) e expõe a importância estratégica de profissionais desse segmento para as organizações.
As brechas dos sistemas de segurança dos bancos somadas ao crime do funcionário que forneceu sua senha a hackers dispararam um alerta. É urgente reforçar nas organizações a importância de capacitar profissionais de TI continuamente, além de prever investimentos para essa área, com uma visão de estratégia de negócio e não somente de operações e suporte.
Como aconteceu o maior ataque cibernético do Brasil?
De acordo como o Banco Central, a C&M Software — empresa de TI que conecta bancos pequenos aos sistemas PIX — reportou um ataque às suas infraestruturas. Para fazer os desvios, os hackers usaram senhas que permitiram o acesso indevido a informações e contas de reserva de seis instituições financeiras.
O crime ocorreu em múltiplas fases bem definidas. Inicialmente, houve o comprometimento do acesso via engenharia social, seguido pela persistência e reconhecimento interno do sistema, onde os atacantes coletaram dados sem gerar alarmes. Posteriormente, obtiveram acesso administrativo a sistemas financeiros sensíveis e, finalmente, executaram transações rápidas fora do horário comercial, convertendo os valores em criptoativos.
Diante deste ataque cibernético, precisamos refletir sobre a fragilidade das estruturas de segurança do caso em questão. Apesar de termos inovações como o PIX, não é de hoje que estamos vulneráveis a ameaças internas. Em 2023, de acordo com relatório da Cybersecurity Ventures, os crimes cibernéticos causaram prejuízo na ordem de US$ 8 trilhões.
Empresas de segurança cibernética devem atuar nas estratégias de TI
A todo momento batemos na tecla de que falhas em segurança cibernética podem quebrar uma empresa. Contudo, este incidente ocorrido recentemente vai além. O fato nos mostrou que uma única brecha pode comprometer não apenas organizações isoladas, mas sistemas financeiros inteiros. Dessa forma, vivemos uma era que exige reflexões urgentes a respeito do setor de TI. Afinal, qual o verdadeiro papel da Tecnologia da Informação nas organizações brasileiras? É importante ter uma empresa de segurança cibernética atuando junto à TI para garantir operações em segurança?
Na visão de especialistas em segurança cibernética, já passou da hora de a TI ser reconhecida e valorizada pelas organizações como área estratégica e não meramente operacional. Afinal, este ataque não utilizou malwares sofisticados ou explorações de dia zero, mas, sim, a manipulação de um funcionário disposto a comprometer os sistemas por motivação financeira. É um caso que entrará para a história, quando um único colaborador comprometeu toda uma cadeia de segurança.
O Banco Central reforçou que o sistema Pix em si e as contas de pessoas físicas não foram comprometidos. Além disso, como resposta imediata ao incidente, determinou a suspensão cautelar das operações via Pix das seis instituições financeiras. Entre elas, a BMP, que reportou o maior prejuízo individual. A Polícia Civil de São Paulo confirmou que esta instituição perdeu aproximadamente R$ 541 milhões.
Em segurança cibernética, prevenir é melhor que remediar
O estrago está posto e o impacto reputacional e sistêmico para o mercado financeiro é inegável. Especialistas destacam três tipos de impacto: reputacional, com a exposição das empresas que utilizam os sistemas da C&M; sistêmico, que acendeu um alerta para falhas na gestão de acessos privilegiados; e operacional, que evidenciou a necessidade urgente de revisão dos protocolos de segurança. Vale lembrar que grande parte do estrago é consequência de uma cultura organizacional distorcida, na qual ações são tomadas somente depois de o problema estar instalado. Reforçamos, sempre, junto às organizações a importância de atuar de forma preventiva e contínua. Essa é a melhor estratégia para empresas que desejam se precaver continuamente contra ataques cibernéticos.
Capacitação urgente em TI e segurança
Após o devastador ataque à C&M Software, especialistas em segurança cibernética são unânimes: a capacitação em TI tornou-se uma questão de sobrevivência para empresas brasileiras. Para primar pela segurança digital, todos os profissionais, especialmente aqueles em cargos de liderança, devem estar aptos a identificar possíveis ameaças.
Dessa forma, as organizações devem capacitar não somente o time de TI, mas todos os colaboradores com acessos a sistemas relevantes. O nivelamento de informações em relação a boas práticas de segurança precisa ser uniforme, de maneira a minimizar, ao máximo, a exposição a riscos de ataques.
Brasil é o 5º país em ataques cibernéticos
O fator humano continua sendo o elo mais frágil e o baixo investimento em treinamentos especializados e em conscientização de segurança são fatores de risco que levam o Brasil a ocupar o 5º lugar em ataques cibernéticos.
Um levantamento recente revelou que 79% das organizações no país se consideram mais expostas a ataques cibernéticos, enquanto apenas 21% avaliam seus treinamentos como altamente eficazes.
É importante lembrar que a segurança cibernética não pode ser tratada como um problema meramente técnico, mas como parte fundamental da estratégia de negócios, com envolvimento direto da liderança. Estratégias como campanhas de phishing simuladas, treinamentos modulares e ações gamificadas são apontadas como as formas mais eficazes de educar equipes. Além disso, a implementação de uma cultura de segurança digital deve partir da disseminação de políticas voltadas para a proteção das informações, envolvendo todos os níveis hierárquicos da empresa.
A mensagem final é clara: a TI precisa ser vista como investimento estratégico, não como custo operacional. Analogamente, seus profissionais devem ser valorizados e continuamente capacitados, estabelecendo, assim, uma linha de defesa eficaz contra ameaças cada vez mais complexas e danosas ao sistema financeiro brasileiro.
Conte com a Any Consulting
Entre em contato com nossos especialistas e agende uma reunião para avaliarmos juntos as medidas de combate a riscos técnicos e humanos em sua organização. Estamos há 10 anos no mercado treinando equipes de TI em soluções de segurança da informação.
