Segurança > Segurança de Aplicação

Empresas no Brasil ainda negligenciam norma de segurança para pagamentos

Muitas organizações brasileiras ainda não aderiram completamente ao padrão de segurança de dados da indústria de cartões de pagamento (PCI DSS) e colocam seus negócios e de seus clientes em risco

08 de Agosto de 2017 - 12h04

Cerca de um terço de todos os computadores no Brasil estão infectadas por malware, deixando o país em segundo lugar no ranking mundial de fraudes bancárias online e malware financeiro. Como mais de 50% dos comprometimentos registrados no ano passado incluíram algum tipo de malware, de acordo com o Verizon Data Breach Investigations Report de 2017. Segundo o estudo, as empresas no Brasil estão sob alto risco de roubo e comprometimento de dados. 

Infelizmente, muitas organizações brasileiras estão despreparadas para se defenderem contra esses ataques. Segundo um estudo recente da Protiviti, as empresas estão fazendo progressos: aproximadamente 41% dos executivos do país afirmaram estar comprometidos com as melhores diretrizes de prática de cibersegurança em seu departamento de TI, mas esse avanço não está acontecendo suficientemente rápido. Na verdade, apenas 7% das empresas brasileiras têm capacidade de monitorar, detectar e prevenir potenciais incidentes de segurança, deixando-as vulneráveis a ataques como Wannacry e Petya, que paralisaram as empresas no Brasil e no mundo em minutos.

E essa taxa surpreendente de crescimento do cibercrime não tem sinais de desaceleração. Até 2021, os danos causados pelo cibercrime devem chegar a US$ 6 trilhões. Mesmo com as fraudes tendo diminuído significativamente no Brasil com a adoção do chip EMV, vemos agora que os criminosos mudaram o foco para o espaço online.  Houve de 2 a 3 milhões de ataques de ransomware bem-sucedidos em 2016 em nível global, e a frequência deve dobrar ano a ano até 2019. Os criminosos virtuais são uma ameaça constante para a comunidade de negócios mundial, infiltrando-se em sistemas de computador, roubando dados de pagamento confidenciais e vendendo-os para outros criminosos que vão cometer fraudes de pagamento.

A boa notícia é que, ainda que a cibersegurança possa ser intimidante, até mesmo o mais básico dos controles pode ajudar as organizações a se proteger contra ransomware e outros ataques virtuais, a deter criminosos e fazer a diferença entre ter dados violados e manter as informações de pagamento dos clientes a salvo.

O que as pessoas, muitas vezes, não percebem é que a maioria dos ataques cibernéticos bem-sucedidos não é sofisticada e nem emprega técnicas avançadas. De fato, a Verizon reportou que 80% dos ataques de criminosos cibernéticos poderiam ser evitados com o reforço de senhas e instalação de patches de software. No exemplo do ransomware WannaCry, os patches ficaram prontamente disponíveis - as empresas que foram violadas foram aquelas que deixaram de atualizar seus sistemas e computadores com os patches mais recentes.

Mais Lidas

As bandeiras de cartões American Express, Discover, JCB, MasterCard e Visa exigem das empresas de todos os tamanhos no Brasil e globalmente, que lidam com dados de pagamento, a seguir o padrão de segurança de dados da indústria de cartões de pagamento (PCI DSS), que descreve as práticas essenciais para proteger dados dos clientes, detectar, mitigar e prevenir ataques e falhas cibernéticas. No entanto, no Brasil, muitas organizações ainda não aderiram completamente a este padrão e colocam seus negócios e de seus clientes em risco.

As consequências do cibercrime podem incapacitar os negócios, abrangendo desde enormes perdas financeiras até danos irreparáveis à reputação — somente um registro de dados comprometido custa hoje a uma empresa no Brasil uma média de R$ 225. Por si só, um único dado pode não parecer tão caro, mas os cibercriminosos são implacáveis e vão atacar um sistema fraco várias vezes, extraindo potencialmente milhares e milhares de dados confidenciais. O prejuízo pode ser enorme.

Como os incidentes com WannaCry e Petya nos mostraram, a cibersegurança não pode esperar mais. Não importa o tamanho de uma organização, existem práticas recomendadas e recursos disponíveis para priorizar a segurança das informações dos clientes e protegê-las contra-ataques cibernéticos que podem gerar violações de dados muito custosas.

*Carlos Caetano é diretor regional associado no Brasil do Conselho de Normas de Segurança da Indústria de Cartões de Pagamento (PCI SSC).