O crescimento de ataques cibernéticos a Pequenas e Médias Empresas (PMEs) no Brasil é, hoje, uma das principais preocupações do setor produtivo e, até mesmo, das instâncias governamentais debruçadas sobre o tema. Elas se valem de uma série de dados — além de relatos — que evidenciam que, de 2023 para cá, esses negócios se tornaram alvo de criminosos que atuam online, invadindo softwares para roubar credenciais (senhas) ou sequestrar informações (dados) e exigir resgate para devolvê-los. 

“Até alguns anos atrás, o foco eram instituições do governo e grandes empresas”, afirma a advogada Juliana Abrusio, que ocupa, desde o início deste ano, uma cadeira no Comitê Nacional de Cibersegurança. “Agora, porém, aumentou muito a atenção para a vulnerabilidade das PMEs. Eu vejo isso como um elemento central das discussões e das elaborações de políticas”, completa.

Juliana, que também é sócia de Direito Digital e Proteção de Dados do escritório Machado Meyer, em São Paulo, esteve presente na reunião do Conselho de Economia Digital e Inovação da Federação do Comércio de Bens, Serviços e Turismo do Estado de São Paulo (FecomercioSP), realizada na última segunda-feira (24), na sede da Entidade. Além da advogada, estiveram presentes no debate a CEO do Instituto Nacional de Combate ao Cibercrime (INCC), Luana Tavares; o consultor de proteção de dados da Federação, Rony Vainzof; o cientista político Andriei Gutierrez, que preside o conselho; a security advisor director da IBLISS, Eva Pereira; o líder de segurança e resiliência da Kyndryl Brasil, Maurício Suga; e o chief security advisor — Latam da Microsoft, Marcelo Câmara.

Segundo Eva, o problema é mais profundo, porque a imensa maioria das empresas — muitas destas PMEs — só entende a relevância de se proteger desse tipo de crime quando é efetivamente atacada. É por isso que, para ela, as estratégias precisam focar nas pessoas. “Ainda que projetos sejam feitos para funcionar a partir de estruturas, são elas que executam esses planos. Não há como agir em cibersegurança sem considerar os operadores e, ao mesmo tempo, quem está vulnerável aos ataques”, explicou. 

Vainzof entende, a partir disso, que este é o momento ideal para discutir o assunto no Brasil. Ele observou como, em um período de pouco mais de uma década, as preocupações envolvendo crimes cibernéticos no País cresceram significativamente, na medida em que as empresas se tornaram alvo sem contarem com proteção necessária — tanto dos pontos de vista prático quanto de uma regulação efetiva. “Passamos pelo Marco Civil da Internet; depois, por LGPD e Convenção de Budapeste; agora, debatemos o marco regulatório da Inteligência Artificial (IA) e, em paralelo, a Política Nacional de Segurança Cibernética (PNCiber). Não é à toa, pois essa não é uma pauta técnica, mas de caráter de segurança nacional”, afirmou o consultor.

O advogado, especializado em Direito Digital, contou, no encontro, que uma das discussões globais mais presentes atualmente diz respeito às regulações internacionais de cibersegurança como escopos estratégicos dos países. Vainzof foi um dos convidados para a reunião do G20 sobre o tema, em Brasília (DF), há algumas semanas. “As ameaças cibernéticas representam risco contínuo e crescente para empresas, investidores e clientes, bem como para nações inteiras. O custo da inação é alto. É preciso agir urgentemente. Vai muito além da proteção de dados pessoais e dos segredos de negócios corporativos, porque ataques cibernéticos podem travar organizações e países”, completou.

Cibersegurança movimenta trilhões por ano 

De fato, uma pesquisa da norte-americana Mastercard com empresas brasileiras realizada em 2022 mostrou que seis em cada dez desses negócios (64%) são alvos potenciais de ataques cibernéticos no País. Esse número fica ainda mais relevante quando se observa, no mesmo estudo, que apenas metade (48%) dispõe de políticas definidas para segurança digital dos colaboradores, ao passo que só 32% têm departamentos próprios para lidar com o assunto. 

Dados compartilhados por Eva, da IBLISS, na reunião, mostram que, se fosse uma nação, a cibersegurança seria a terceira maior economia global, movimentando cerca de R$ 43 trilhões por ano. “Além desses números, há os impactos sobre a resiliência das empresas. Quando um ataque acontece, compromete todo o sistema corporativo. A primeira ação é justamente evitar qualquer possibilidade de backup, enfraquecer as estruturas de proteção”, continuou Suga, da Kyndryl Brasil. 

Ele destacou um dado específico da pesquisa do INCC — de que 98% dos negócios brasileiros dizem que fazer backups regulares de suas informações —para mostrar como o País está bastante vulnerável. “Isso não resolve nada. Os ataques cibernéticos são feitos justamente para que não haja outra opção que não pagar o resgate. Quando as empresas dizem que essa é a ação mais importante que fazem no campo da cibersegurança, é porque ainda não entenderam nada”. De acordo com ele, “A resiliência é fundamental porque não se trata de se, mas de quando [um ataque pode acontecer]”. 

Mas como regular? Para Luana, do INCC, o Reino Unido é o principal modelo global existente hoje, cujo escopo pode servir de inspiração para o Brasil. O país europeu tem um orçamento de R$ 1,3 bilhão anual para lidar com o tema, além de medidas significativas como o Centro Nacional de Cibersegurança (NCSC, na sigla em inglês), criado em 2016 para fornecer soluções ao governo britânico. 

No caso brasileiro, os recursos despendidos para cibersegurança, no ano passado, foram da ordem de R$ 24 milhões, segundo o INCC. “Não estamos falando apenas de mais dinheiro, mas também da construção de estratégias inteligentes que dependam desse tipo de investimento”, finalizou Luana.

Debate sobre PNCiber

A FecomercioSP é uma das organizadoras de um evento que será realizado no Interlegis, em Brasília, na quinta-feira, dia 27, para discutir a Política Nacional de Cibersegurança (PNCiber). O encontro está sendo produzido em parceria com entidades relevantes do setor, como a Associação Brasileira das Empresas de Software (Abes), a Federação das Associações das Empresas Brasileiras de Tecnologia da Informação (Assespro) e a Federação Nacional das Empresas de Informática (Fenainfo). Além dos porta-vozes setoriais, estarão presentes ainda os senadores Esperidião Amin (PP/SC), relator da Subcomissão Permanente de Defesa Cibernética do Senado Federal, Izalci Lucas (PL/DF) e Sergio Moro (União/PR). Para mais informações e orientações de como participar, clique aqui.