BugHunt: uma em cada quatro empresas brasileiras sofreram ataques cibernéticos

As medidas restritivas impostas pela pandemia e a consequente digitalização das rotinas de trabalho – um processo que não foi, em sua maioria, bem planejado – foram alguns dos principais fatores que levaram ao aumento de ciberataques no Brasil.

De acordo com a 1ª Pesquisa Nacional BugHunt de Segurança da Informação, realizada pela BugHunt, primeira plataforma brasileira de Bug Bounty, 26% das empresas brasileiras sofreram ataques cibernéticos nos últimos 12 meses. Phishing (28%), Vírus (24%), Ransonware (21%) e Vishing (10%) foram as ocorrências mais reportadas no período.

O estudo ouviu 58 empresas brasileiras – sendo a maioria do setor de tecnologia – com mais de 10 anos de experiência no mercado e quadro de funcionários superior a 60 colaboradores.

Segurança da informação e os impactos da pandemia
As medidas restritivas sociais impostas pela Covid-19 fizeram com que diversas instituições, como empresas e órgãos do governo, migrassem rapidamente para os sistemas online. O home office permitiu que milhões de pessoas trabalhassem de casa, tendo acesso diário a ambientes corporativos a partir de redes domésticas.

“Com muita coisa feita às pressas e sem o planejamento necessário, principalmente entre as empresas de pequeno e médio porte, que são a maioria no Brasil, a segurança digital das corporações acabou comprometida”, pontua Caio Telles, CEO da BugHunt.

De acordo com o estudo, mais de 36% das empresas não estavam preparadas para o home office. Por outro lado, o aumento na incidência de ameaças e ataques digitais tem elevado os cuidados de muitas empresas em relação à segurança da informação.

Investimentos em segurança cibernética
De acordo com a pesquisa da BugHunt, os investimentos na área mais que triplicaram nos últimos 3 anos, sendo o combate aos ciberataques e a adequação à Lei Geral de Proteção de Dados (LGPD) como os principais motivos da adoção de novas estratégias. Além disso, a maioria concentra seus esforços para o desenvolvimento do próprio time de TI.

Para a maioria das empresas (58,6%), R$ 50 mil por ano é o limite do orçamento destinado à segurança da informação. Já 15,5% das corporações investem entre R$100 mil e R$ 300 mil, 15,5% direciona mais de R$ 300 mil e 10,4% investe entre R$ 50 mil e R$ 100 mil. Além disso, 67,2% das empresas participantes iniciaram os investimentos em segurança da informação nos últimos três anos, 19% nos últimos três a cinco anos e apenas 13,8% há mais de cinco anos. Para os entrevistados, os investimentos foram iniciados com o objetivo de evitar ciberataques, garantir adaptação à LGPD ou porque já sofreram ocorrências anteriormente.

O estudo também revela que 64% das empresas entrevistadas estão em conformidade com a LGPD. Das instituições que ainda não estão, 47% estão executando projetos de adequação, 24% realiza a adequação pelo time interno, 12% não tem o apoio da alta gestão e 5% não conseguiu identificar um fornecedor para auxiliar.

Desafios para a implementação de segurança da informação nas empresas
A tão falada Transformação Digital é uma realidade em diversas companhias. Entretanto, segundo Telles, durante esse processo, muitas empresas acabam deixando brechas para ciberataques. “Por isso, os investimentos em segurança da informação se tornam cada vez mais urgentes. Essa deveria ser uma prioridade desde o nascimento de qualquer empresa. Porém, são poucas as que realmente integram a cibersegurança à sua cultura”, alerta.

De acordo com o estudo elaborado pela BugHunt, os principais desafios para a implementação de medidas de segurança da informação são a adesão dos funcionários (40%), o alto valor de investimento (31%) e o convencimento dos decisores (24%).

“Na maioria dos casos, os colaboradores são considerados brechas para ataques e vazamentos. Não por má fé, mas sim por falta de conhecimento e preparo. Eles podem ser alvos de phishing para roubo de dados”, explica o CEO. “Daí a relevância em oferecer treinamentos periódicos sobre os riscos e boas práticas em relação ao uso da rede e do compartilhamento de dados da companhia. Para isso acontecer, gestores e líderes precisam estar envolvidos no processo, garantindo que o conhecimento sobre segurança cibernética faça parte do dia a dia”, completa.

Segundo a pesquisa, 79% das empresas investem em programas de conscientização interna sobre segurança da informação, oferecendo ações como campanhas corporativas de conscientização (40%), palestras sobre segurança da informação para colaboradores (36%) e execução de phishing direcionado e controlado (12%).

O Bug Bounty como aliado da segurança da informação
Para o CEO da BugHunt, além dos programas de conscientização interna, outra ferramenta importante de prevenção aos ciberataques é o Bug Bounty. A prática usa o princípio do crowdsourcing – modelo de produção em que se usa conhecimentos coletivos e voluntários, geralmente recrutados pela internet – à cibersegurança. Os programas reúnem especialistas que realizam testes e buscam vulnerabilidades em sistemas e serviços de uma empresa, em troca de uma recompensa em dinheiro. Segundo o estudo, 83% das corporações participantes conhecem a ferramenta de Bug Bounty.

Trata-se de uma modalidade de compensação por bugs, oferecida por plataformas como a BugHunt, em que hackers éticos podem receber reconhecimento e retribuição monetária por relatar falhas e vulnerabilidades que colocam em risco a segurança de diversos sistemas. “Esses programas permitem que companhias identifiquem possíveis brechas de forma antecipada, reduzindo os riscos e evitando que seus negócios sejam impactados pela ação de agentes mal-intencionados”, explica Telles.

A remuneração acontece quando o hacker encontra uma vulnerabilidade e a premiação varia de acordo com o impacto que o bug traria à integridade da companhia. Para se ter uma ideia, os programas de Bug Bounty encontram sete vezes mais falhas críticas do que soluções de segurança tradicionais. Diante disso, 29% das empresas respondentes investem em Bug Bounty, e 34% pretendem fazer no futuro.

O cenário da segurança da informação no Brasil
Com a adoção massiva ao trabalho remoto, ataques cibernéticos têm ocorrido de forma mais frequente em empresas e instituições de todos os portes. “O cenário mostra que o tema cibersegurança é, agora, abordado como estratégia de negócios em boa parte das companhias”, pontua Telles.

Entretanto, segundo o executivo, ainda há espaço para amadurecimento, como transpor os programas de conscientização e desenvolvimento internos e investir na adoção de novas ferramentas com foco na segurança da informação, como o Bug Bounty. “O estudo mostra claramente que ainda existe espaço para as empresas brasileiras potencializarem a segurança contra ciberataques”, conclui o executivo.

A BugHunt é a primeira plataforma brasileira de Bug Bounty, programa de recompensa por identificação de falhas, que une empresas comprometidas com a segurança da informação e privacidade de seus usuários e/ou clientes a pesquisadores do setor. Com foco em inovação para reconhecimento e resolução de bugs e vulnerabilidades, a startup tem como objetivo democratizar o acesso à segurança de dados. Por meio de programas públicos e privados, a BugHunt gerencia a definição de escopo e recompensa, a escolha de especialistas, a avaliação e triagem de relatórios e a verificação e correção de falhas nos serviços avaliados.