Em apenas dois anos o número de incidentes de segurança digital nas empresas que envolvem roubo de senhas triplicou e, segundo o último estudo global sobre ameaças realizado pelo Instituto Ponemon, foram reportados pouco mais de 2 mil ataques no período. A pesquisa investigou três tipos de ataques – roubo de senhas, ameaças internas e negligência de empregados e contratados.

O estudo identificou que o roubo de senhas é a maior ameaça à segurança digital nas empresas e, segundo Paulo Tiroli, especialista em Produtos de Segurança Digital Corporativa da Atech, “as empresas brasileiras têm vivido em um cenário preocupante de segurança digital, principalmente se levarmos em consideração diversos casos recentes de grandes vazamentos de dados, incluindo informações pessoais e senhas de acesso de milhares de internautas e até de empresas”.

Um exemplo vem de um banco inteiramente digital que, após o vazamento de dados de seus clientes, foi condenado pelo Ministério Público do Distrito Federal e Territórios a pagar uma indenização de R$ 10 milhões por danos morais. O banco foi alvo de extorsão por um hacker que invadiu seus sistemas e, como não cedeu à chantagem, foram liberadas informações como fotos de cheques, transações, e-mails, dados pessoais e senhas de quase 100 mil pessoas.

Segundo Tiroli, é preciso prevenir invasões externas, “e o investimento em ações que priorizem o comportamento do usuário, como o uso de senhas seguras no combate a golpes de phishing e de engenharia social, por exemplo, pode ser um grande diferencial. Uma única senha fraca pode ser a porta de entrada para um ataque hacker, comprometendo o desempenho dos negócios e gerando altos prejuízos financeiros, problemas de conformidade e danos à imagem das empresas”.

O estudo do Instituto Ponemon aponta que o custo de um incidente envolvendo roubo de senhas pode ser superior a US$ 600 mil, acima do custo resultante de ameaças internas e da negligência de empregados e contratados.

Hábitos que facilitam o roubo de senhas

Especialistas em segurança digital recomendam a troca constante de senhas, principalmente as usadas em serviços bancários, redes sociais, e-mails e em compras online. Mas, na verdade, o mais comum é o usuário usar uma única senha em vários serviços, pessoais e corporativos.

“Caso haja algum incidente em um serviço de e-commerce, por exemplo, o usuário pode até mudar a senha do serviço, porém, ao usar a mesma senha para acessar algum serviço corporativo, torna simultaneamente o negócio vulnerável. Ou seja, mesmo que o usuário siga todos os passos básicos para criar uma senha considerada ‘forte’, como uso de números, letras em caixa alta e baixa e caracteres especiais, se ele a usar para outros serviços, a sua suposta força vai por água abaixo”, ressalta Tiroli.

As ameaças internas que afetam a segurança digital nas empresas

Além das ameaças de roubo de senhas, funcionários mal-intencionados também podem provocar grandes prejuízos. Segundo o Comitê de Segurança e Riscos Cibernéticos da ABES (Associação Brasileira das Empresas de Software), organização da qual a Atech faz parte, as principais causas e motivações das ameaças internas que podem afetar a segurança digital nas empresas são:

  • Sentimento de propriedade sobre as informações. Muitos colaboradores, pelo fato terem ajudado na criação ou mesmo na compilação de informações sigilosas, sentem-se donos das mesmas, confundindo uma eventual autoria com direitos sobre as informações
  • Vantagem competitiva ou mesmo concorrência futura. Em empresas comerciais ou que dependem de propriedade intelectual, conhecimento sobre contatos (e contratos), bem como tecnologias, possuem um enorme valor. Seja por mero oportunismo, seja de caso pensado, colaboradores podem extraviar informações sigilosas com intuito de usar (ou se proteger) no futuro
  • Reparação de “injustiças”. Seja qual for o motivo (real ou não), é bastante comum pessoas sentirem-se injustiçadas no ambiente de trabalho e buscarem formas de reparo ou simples vingança. Ao invés de acionar a Justiça do Trabalho, infelizmente muitos funcionários, após a sua demissão, usam informações sigilosas para chantagear a empresa ou auferir lucro vendendo os dados

Como avaliar e garantir a segurança das senhas

Tiroli afirma que um dos principais motivos para o fracasso das estratégias de segurança é colocar o usuário como o vilão do ecossistema.

“Entender o comportamento dos usuários é fundamental para estabelecer estratégias e ferramentas assertivas quando falamos de proteção dos dados. No entanto, muitas empresas pecam ao culpabilizar o usuário, pois ainda se tem a visão que o usuário precisa se adequar aos processos. No entanto, o sucesso para uma política de segurança é exatamente o contrário: é quando os processos se adequam às pessoas. Regras como senhas extensas e/ou recheadas de caracteres especiais e letras másculas são complexas para o usuário, mas não necessariamente mais difíceis de serem descobertas. Inclusive, o NIST – National Institute of Standards and Technology – recomenda o fim de senhas arbitrárias que misturam letras maiúsculas, símbolos e números. As melhores práticas atuais aconselham senhas com conteúdo semântico que faça sentido para o usuário, como por exemplo frases, pois são mais simples para o usuário, mas demandam alto poder computacional para serem descobertas.”

Assim, é preciso identificar padrões e comportamentos que possam colocar o negócio em risco, especialmente porque, na maioria dos casos, os hackers precisam de apenas uma senha para ter acesso a todas as informações sigilosas do negócio. Ao fazer um diagnóstico inicial das senhas da empresa e de como seus usuários se comportam quando precisam fazer determinadas escolhas que podem colocar as informações em risco, os responsáveis pela estratégia de segurança digital contam com informações valiosas para aprimorar suas táticas de proteção e monitoramento e começar a promover uma mudança na cultura sobre a segurança digital. Serviços como o de quebra de senha permitem que as organizações entendam o comportamento de seus colaboradores e tracem estratégias que parem de  “alimentar” hackers com informações sensíveis,  o que é essencial para qualquer processo de digitalização eficiente.