Segurança cibernética: Brasil está mal na foto, mostram MIT e GAT Infosec

Por Victória Ribeiro

De acordo com o Índice de Defesa Cibernética do MIT Technology Review Insights realizado entre 2022 e 2023, o Brasil está em posição desfavorecida quando o assunto é cibersegurança. Após dois anos de uma pandemia que forçou e antecipou o processo de digitalização, o País ficou entre os cinco com progresso mais lento na criação das defesas cibernéticas, na frente apenas de Turquia e Indonésia.

Esse cenário, preocupante na opinião de especialistas, vem sendo observado de perto pela GAT Infosec, empresa brasileira de Gestão de Riscos de Segurança da Informação. Por meio da plataforma própria GAT Security Score, a empresa fez um monitoramento das 1.131 empresas cotadas para o 100 Open Corps. O estudo avaliou riscos de vazamento e sequestro de dados, espionagem corporativa e problemas nos sites.

Segundo o levantamento, 45% das aplicações web das companhias têm vulnerabilidades em seus cabeçalhos de segurança. Além disso, o score médio da avaliação, que engloba empresas como Itaú, Braskem, Petrobras e Vale, ficou em 618, de uma escala que vai de 0 a 950, o que indica grau de maturidade abaixo do esperado.

“O grande problema é que a segurança digital ainda é vista como um custo e não como garantia de uma boa reputação e credibilidade”, disse Leonardo Militelli, CEO da GAT InfoSec.

Conforme o executivo explica, o monitoramento da GAT foi realizado de forma não intrusiva, analisando dados que se encontram desde a camada mais superficial da web, como nos próprios sites das empresas, até a camada mais profunda, como Dark Weeb e Deep Weeb.

Por meio do levantamento também foi possível descobrir que:
• 7,5% dos sites usam protocolos inseguros (o antigo http no lugar do https, por exemplo),
• 7,7% dos e-mails públicos dessas empresas já tiveram senhas vazadas,
• e 1,24% dos sites pertencentes a essas companhias possuem bancos de dados, como financeiro, RH e CRM, expostos.

“Cada empresa tem, em média, 400 ativos expostos. Se pararmos para pensar que pouco mais de 1% dos dados estão vulneráveis, isso significa dizer que 4 bancos de dados por empresa estão expostos. E isso é muita coisa”, disse Militelli.

Quando se trata especificamente das empresas de grande porte, que representam 666 das 1.131 analisadas, o score médio ficou em 647, com 6,64% dos sites com protocolos inseguros e 11,38% dos e-mails com senhas vazadas. “Estamos falando de companhias que possuem participação expressiva no nosso PIB [Produto Interno Brasileiro]. E, muitas vezes, são aquelas indicadas como as cem ou mil maiores nos rankings que a gente conhece. Pensar nisso não nos leva até o problema principal, mas para a dimensão dele”, afirmou o CEO.

45%
das aplicações web das companhias cotadas para o 100 Open Corps têm vulnerabilidades em seus cabeçalhos de segurança

11,38%
dos e-mails públicos de empresas de grande porte já tiveram senhas vazadas

618
é o score médio de segurança digital das 1.131 empresas avaliadas, em uma escala de 0 a 950

FATORES DE RISCO

Disponível gratuitamente para avaliações iniciais, o GAT Security Score também pontuou que os setores que alcançaram os maiores índices de compliance em cibersegurança foram:
• embalagem (758),
• combustível (744),
• e esporte & lazer (727).

Em contrapartida, setores como entretenimento (500), organização de cooperativas (521) e instituições religiosas (538) mostraram as médias mais baixas.

Segundo Leonardo Militelli, um olhar não direcionado para a cibersegurança e os riscos por trás da quebra de confidencialidade e vazamento de dados coloca em jogo três principais problemas. Um deles é a reputação. “Apesar de ser um tema que ainda engatinha, as pessoas estão cada vez mais conscientes da importância dos seus dados e evitam comprar ou investir em empresas que já tiveram dados vazados”, afirmou ele.

Indisponibilidade de serviço, principalmente quando se trata de e-commerce, e perda de receita, também são riscos quando a segurança digital é falha.

Ainda assim, diversos fatores são considerados barreiras para alavancar investimentos em cibersegurança, a começar pelos valores de acesso à tecnologia no Brasil.

Além disso, segundo Militelli, existe a dificuldade de gestores de segurança da informação para comunicar adequadamente sobre os níveis de segurança e a necessidade de romper com a ideia de que aportes em segurança digital são um custo e não um investimento.

Em era de Inteligência Artificial, atravessar essas barreiras, segundo o executivo, é mais que necessário. “Cibersegurança é assunto atual e futuro. E quem pensa que IA vai resolver, está enganado. Inclusive, muitos problemas de privacidade e segurança podem surgir a partir dela”, afirmou o CEO da GAT.