Dave Russell, vice-presidente de Estratégia Empresarial da Veeam, nos diz que as empresas devem entender a responsabilidade que têm com seus clientes e funcionários para proteger quaisquer dados dentro de sua jurisdição
Nos últimos anos, os ataques cibernéticos tornaram-se algo que o público em geral está cada vez mais ciente. No entanto, ainda existe uma percepção, certamente fora do setor de TI, de que os ataques cibernéticos são apenas algo que acontece na Internet.
É difícil relacionar e igualar o impacto do cibercrime em suas vítimas – seja um indivíduo que foi vítima de um golpe online ou uma empresa que foi forçada a pagar um resgate para restaurar seus sistemas. Por esse motivo, nem sempre parece que o cibercrime é visto ou tratado como um crime “real”.
Embora reconheçamos que o cibercrime é um crime real, para alguns pode ser difícil aceitar. A ideia de ficar totalmente indignada com um hacker derrubando uma corporação multinacional pode parecer um pouco absurda.
Isso se deve, possivelmente, aos estereótipos sobre os cibercriminosos serem pintados como gênios da ciência da computação descontentes, sem nada melhor para fazer. Considere que a maioria dos ataques cibernéticos são obra de grandes, organizados e ricos sindicatos do crime. São operações altamente sofisticadas com o objetivo de roubar dinheiro da empresa que paga seu salário e do governo que cobra seus impostos. Isso soa como um crime?
Somos culpados de culpar a vítima?
O fato é que o crime cibernético é um crime real e as empresas que são atacadas são vítimas. Eles sofreram um crime cometido contra eles. No entanto, o nível de simpatia em relação às organizações que são violadas é muito diferente do que daríamos a um indivíduo. Se alguém lhe disser que foi hackeado, teve informações pessoais comprometidas e dinheiro roubado, sua reação natural provavelmente não é dizer que é culpa dele.
As violações cibernéticas são uma fonte de danos duradouros à reputação das empresas. Nós tendemos a supor que eles fizeram algo errado ou agiram de forma descuidada. Como alguém que trabalha no setor de proteção de dados há mais de 32 anos, eu tenderia a concordar com isso. A grande maioria dos incidentes cibernéticos é evitável e é resultado de organizações que não seguem as melhores práticas, falta de cuidado digital e/ou software desatualizado ou sem patches.
No entanto, existe algum outro tipo de crime que se concentre quase exclusivamente em culpar a vítima e tão pouco em levar os criminosos à justiça? As empresas são vistas como a parte culpada e não como vítimas e aceita-se que os criminosos são impunes devido à falta de um quadro jurídico global acordado e de um sistema de justiça.
Se um criminoso de outro país viaja para os EUA, por exemplo, e comete um crime contra uma empresa em solo americano, há todo um processo diplomático para garantir que essa pessoa seja levada à justiça e a vítima seja indenizada. Isso simplesmente não é o caso quando se trata de ransomware.
A cooperação internacional e intercontinental é a única maneira de criar um ambiente onde os riscos são maiores do que as recompensas para os ciberataques. O flagelo do ransomware acelerou durante a pandemia, aumentando o apetite de líderes governamentais e empresariais para romper o impasse geopolítico que permitiu que os cibercriminosos se revoltassem. Mas não será fácil, e uma solução holística viável ainda está a anos de distância.
Aprenda a autodefesa
Na ausência de um sistema de justiça que nos proteja completamente dos bandidos, o instinto básico de sobrevivência humana exige que aprendamos a nos defender. No contexto da segurança cibernética, isso significa focar em alguns fundamentos.
Em primeiro lugar, toda empresa precisa de um líder de segurança de TI dedicado, com acesso à liderança do negócio e autoridade para liderar a iniciativa de segurança. Para empresas menores, você absolutamente precisa ter um recurso com responsabilidade designada para segurança cibernética e especializado em proteção de dados.
Em segundo lugar, as empresas precisam praticar um cuidado digital impecável. Isso inclui treinamento obrigatório para todos os funcionários para que eles reconheçam possíveis ataques, entendam a quem denunciá-los e entendam por que isso é importante. Quanto mais as pessoas aceitarem a necessidade de uma bom cuidado digital, mais alertas e dispostos eles ficam.
Finalmente, nunca pague o resgate. As organizações que pagam resgates alimentam a percepção de “dia de pagamento fácil” que significa que os cibercriminosos continuam fazendo isso. Assim que as empresas pararem de pagar resgates, veremos uma redução na popularidade do ransomware como uma técnica de extorsão.
Embora as empresas que sofrem ataques cibernéticos sejam de fato vítimas, elas são responsáveis por proteger todos os dados que usam, processam e armazenam. Pagar os cibercriminosos para que os sistemas voltem a funcionar é uma estratégia de defesa insustentável. À medida que os governos se tornam mais ativos na tentativa de impedir a disseminação de ransomware, podemos ver empresas que o fazem investigadas e repreendidas por reguladores independentes.
Claramente, lidar com a escala implacável e em massa da atividade cibercriminosa contra empresas e indivíduos será um esforço internacional tanto no setor público quanto no privado. Embora seja importante que o crime cibernético seja devidamente “criminalizado” e que os autores sejam levados à justiça, as empresas devem entender a responsabilidade que têm com seus clientes e funcionários para proteger quaisquer dados dentro de sua jurisdição.
Isso só pode ser feito com a implementação de uma estratégia de proteção de dados moderna que combina defesas eficazes de segurança cibernética de linha de frente com uma abordagem abrangente de backup de dados e recuperação de desastres.
Clique abaixo para compartilhar este artigo
