Não pule esta matéria: precisamos falar sobre cibersegurança

No fim de julho, a Vivara foi a bola da vez. Poucos dias antes, aconteceu com a Netshoes – e pela segunda vez. Antes delas, com Renner, CVC, JBS. Sofrer um ataque hacker virou uma daquelas poucas certezas na vida das empresas e dos órgãos públicos – se não aconteceu ainda, pode confiar: vai acontecer. 

O assunto é árduo, mas quando tudo – de negócios a serviços públicos, passando por serviços financeiros e até entretenimento – depende de armazenamento e cruzamento de dados, a cibersegurança é um problema de toda a sociedade.

Os ataques ransomware – como o sofrido pela JBS, em que dados da empresa são “sequestrados” e há o pedido de resgate – custaram às companhias US$ 20 bilhões em 2021, valor que deve chegar a chocantes US$ 265 bilhões até 2031 em todo o mundo, segundo projeção da consultoria Ernest & Young. Este valor seria suficiente para organizar 30 Olimpíadas de Paris.

“Toda grande empresa sofre centenas, milhares de tentativas de ataques por dia”, pontua Demetrio Carrión, consultor em cibersegurança da EY para Brasil e América Latina.

LEIA MAIS: Inovação: como transformar uma ideia brilhante em um negócio de impacto

Carrión explica que as empresas também costumam ser orientadas a ficarem quietas por seus advogados, de forma que é difícil até mensurar o tamanho do problema, seja em volume de ataques ou em prejuízos envolvidos. Ou seja, o que chega ao conhecimento público por meio da mídia é só a pontinha do iceberg. 

O especialista destaca que o Brasil sequer tem legislação específica por parte da Comissão de Valores Mobiliários (CVM) a respeito de como companhias de capital aberto devem informar o mercado sobre ataques e prejuízos advindos deles. Ao InvestNews, a autarquia informou que há somente orientações sobre genéricos “vazamentos de informações”. Na prática, isso quer dizer que não há nada que obrigue as empresas a serem mais transparentes com seus investidores em relação a ciberataques. 

Ninguém quer falar sobre o assunto

Todas as companhias citadas nesta reportagem, por exemplo, foram procuradas pelo InvestNews. Mas nenhuma aceitou dar entrevista. Embora os casos sejam notórios – a JBS até reconheceu ter pago US$ 11 milhões aos hackers que sequestraram seus dados, em 2021 –, a postura padrão no mundo corporativo quando o assunto é ataque hacker segue sendo a “don’t ask, don’t tell”. 

“Há o medo de chamar a atenção e sofrer mais ataques ainda. Então o silêncio e a sombra são caminhos comuns na área da cibersegurança”, explica Gustavo Salviano, CTO da LWSA – antiga Locaweb. 

Para Carrion, a ausência de legislação específica sobre a questão ou de uma orientação clara da CVM é um baita incentivo para que as empresas empurrem para debaixo do tapete os ataques e prejuízos causados por hackers. 

A CVM dos Estados Unidos – SEC, na sigla em inglês – força as empresas listadas lá a reportar incidentes sofridos. Nos seus canais oficiais, a “polícia” do mercado financeiro americano compara ataques cibernéticos a incêndios que podem ocorrer em uma fábrica – ambos com potencial para sangrar o caixa e afetar a capacidade de produção. Logo, o investidor precisa ficar sabendo.

Empresas brasileiras cujas ações são negociadas nas bolsas dos EUA são obrigadas a seguir as regras da SEC.

LEIA MAIS: A vez do Brasil nos data centers: empresas colocam bilhões em campo à espera da explosão da IA

Mesmo assim, a legislação americana é recente – data de 2023 – e ainda causa dúvidas às empresas que negociam suas ações nos Estados Unidos, pondera Carrion. 

Em meio a tantas fragilidades, o negócio dos ataques hackers prospera. Estudo da EY mostra que o número de invasões conhecidas cresceu 75% globalmente entre 2019 e 2023.

Quem vigia os vigilantes? 

Dias atrás, o mundo ainda descobriu um outro grande problema relacionado à cibersegurança: o que fazer quando um software que deveria trabalhar para evitar ataques acaba provocando um bug em escala planetária e paralisa uma parte economia global? Foi o caso da pane cibernética causada por uma atualização no Falcon, produto principal da CrowdStrike, uma empresa americana de cibersegurança  

O incidente interrompeu a trajetória ascendente da CrowdStrike. A companhia tinha acabado de alcançar os US$ 90 bilhões em valor de mercado – praticamente o mesmo da Petrobras –, o que a levou ao índice S&P 500. Foi a empresa de cibersegurança a conseguir mais rapidamente esse feito – apenas cinco anos depois de listar suas ações na Nasdaq.

A CrowdStrike é uma estrela de sua área, mas este é um setor competitivo. Há players consolidados, como a Palo Alto Networks – US$ 102 bilhões em valor de mercado –, e menores, como a SentinelOne (US$ 7 bilhões). 

LEIA MAIS: Nos EUA, empresas brasileiras vão ter que jogar mais limpo sobre salários dos funcionários

A Microsoft também é uma concorrente importante e o Google quase se juntou à competição. Só não aconteceu porque a startup israelense Wiz recusou a proposta de US$ 23 bilhões da empresa americana, o que seria a maior aquisição da história do Google. A Wiz acredita que sua melhor opção é se manter independente e abrir capital em breve. 

A pane cibernética causada pela CrowdStrike está custando caro para a empresa. As ações caíram de US$ 343 para os US$ 228, um tombo de 33%. E o futuro próximo não parece tão auspicioso: a Delta Airlines calcula ter perdido até US$ 500 milhões por conta do apagão e decidiu processar a empresa de cibersegurança, abrindo um caminho que pode ser seguido por outras empresas afetadas pela pane. E são milhares delas, mundo afora. 

Se as cifras ajudam a dimensionar o gigantismo deste mercado, as imagens de aeroportos, hospitais, emissoras de TV e restaurantes parados por conta do bug foram bem didáticas para mostrar ao grande público como o mundo depende da infraestrutura cibernética fornecida por empresas como a CrowdStrike e a Palo Alto. 

Este é um debate que está apenas no início.

O CEO da CrowdStrike, George Kurtz, foi convocado a prestar depoimento ao Conselho de Segurança Interna dos Estados Unidos, órgão do governo americano que trata de questões que possam trazer risco ao país. A audiência deve acontecer nas próximas semanas. 

O InvestNews entrou em contato com a CrowdStrike, mas a empresa preferiu não se pronunciar sobre o assunto.