A empresa Target está aprendendo a duras penas o verdadeiro custo do vazamento de informações que revelou os dados de cartões de crédito de 40 milhões de clientes. As consequências da falha incluem três ações coletivas, uma investigação formal, a perda da confiança dos consumidores e uma queda de três por cento nas vendas em relação ao mesmo período do ano passado. E talvez a maior ainda está por vir: um golpe em sua reputação.
Medindo o impacto
Como pode uma grande marca como a Target medir os danos à sua reputação? A resposta é o levantamento de opiniões, que foi desenvolvido durante a Segunda Guerra Mundial. Após a guerra, os gigantes industriais alemães como a Volkswagen o utilizaram para melhorar a eficiência do fluxo de trabalho para impulsionar o “milagre econômico alemão”.
Durante a última década, o levantamento de opiniões foi implantado em muitos setores, incluindo as opiniões dos consumidores sobre os filmes, alimentos e bebidas. A internet tem estimulado as pesquisas online desenvolvidas com as plataformas de mídia social.
Em 2014 o levantamento de opiniões será utilizado novamente pelas empresas a fim de conhecer as reações dos acionistas sobre as violações de dados, para medir a confiança pública na capacidade de uma empresa de implantar um plano de gestão de crises e também medir como a má reputação se reflete no valor das ações.
O exemplo do Citigroup
Um desses eventos aconteceu ao Citigroup há dois anos. “Em 10 de maio de 2011, o Citigroup descobriu que hackers haviam roubado 2,7 milhões de dólares dos cartões de crédito de 3.400 clientes, porém o custo sobre a avaliação da empresa no mercado foi muito maior”, de acordo com as estimativas fornecidas pela Corr Analytics.
“O ataque resultou em uma queda de 17% na rentabilidade de mercado da empresa entre a data da violação e um mês depois, em 8 de junho”, disse Dr. Anders Corr, formado em Harvard e fundador da Corr Analytics.
“O vazamento de informações de clientes do Citigroup contagiou o setor financeiro em geral. A perda durante este período de avaliação pública foi de aproximadamente 21,6 bilhões de dólares. A perda foi mais acentuada a partir de 3 de junho, quando a empresa anunciou a violação aos seus clientes.”
Os números dos ciberataques
O custo dos ciberataques supera o custo dos dados roubados. Os custos legais, das relações públicas, comunicações e a queda dos preços das ações podem ser quantificados.
Mais problemática é a deterioração da reputação de uma empresa. O dano colateral que uma empresa que sofreu roubo de dados sobre outras empresas também é importante, embora difícil de quantificar. Uma semana após o anúncio do roubo na Target, JP Morgan Chase anunciou que, devido ao roubo, as informações pessoais de dois milhões de clientes foram expostas. Chase é agora parte dos destroços causados pelo ataque hacker á Target.
Em um artigo na Business News Daily, o repórter Chad Brooks disse: “Apenas 10 por cento das organizações têm confiança em sua capacidade de analisar de forma eficaz a segurança das informações.”
“Kroll, uma empresa dedicada a investigações corporativas e consultoria de risco, prevê que as novas questões de segurança cibernética para 2014 serão as seguintes: o Instituto Nacional de Padrões e Tecnologia (NIST, da sigla em Inglês) e outras estruturas de segurança similares, se tornarão o padrão de boas práticas para todas as empresas”, disse Brooks.
O padrão do NIST estará concluído em fevereiro de 2014, coincidindo com a iniciativa de cibersegurança do presidente Obama. O que recomendará? “A segurança cibernética é vital para investidores, bancos e fundos de cobertura. Invasões podem causar perda de dados que comprometem as estratégias comerciais, a segurança dos fundos, a exposição de dados pessoais de clientes, e danos físicos aos ativos reais. Os custos da queda de reputação são muitas vezes mais importantes do que a perda real”, disse Dr. Corr, da Corr Analytics, uma empresa de análise de risco político que atende clientes que investem em nível mundial.
O Dr. Doug Bond, fundador e presidente da Virtual Research Associates, disse por e-mail: “Aqueles que usam as grandes ferramentas de dados hoje em dia, por vezes, não conseguem reconhecer os fundamentos teóricos sobre os quais são construídos. A análise do código operacional tem sido usado para antecipar as decisões dos líderes e é baseado nas percepções de um líder sobre o fluxo de eventos políticos. Esta linha de pesquisa de atitudes, crenças e valores e como estas moldam nossas interações e tomadas de decisão começou há mais de 65 anos atrás, logo após a Segunda Guerra Mundial”.
Redefinindo a Lei de Segurança
“Os países com altos níveis de corrupção, juntamente com as comunidades de hackers, representam o risco de ciberdelinquência de maior grau para os investidores. Desde uma perspectiva puramente dos riscos cibernéticos, alguns dos piores países para se investir são a Rússia, China, Brasil, Turquia, Romênia, Índia, Hungria, Ucrânia, Argentina e Polônia”, disse Corr.
Como as empresas podem reduzir o risco e a exposição às invasões cibernéticas? Parte da resposta está na Lei de Segurança que já tem 12 anos. De acordo com o Departamento de Segurança Nacional, a missão da Lei de Segurança é “apoiar a luta contra o terrorismo promovendo a Lei de Tecnologias Efetivas de 2002.”
A Lei de Segurança, que poderá ser modificada para adquirir uma linguagem cinernética mais forte, oferece um caminho claro para que as empresas se preparem melhor contra ataques cibernéticos, como também para tranquilizar as opiniões das partes interessadas, impedindo que se tornem negativas, e para responder a estas antecipadamente.
O problema de 90% das empresas que não sabem como reduzir a exposição e responder à opinião pública, começa com o gerenciamento dos dados. A maioria das empresas não tem uma visão completa de seus ecossistemas de Tecnologia da Informação.
Mais problemática foi a expansão do correio eletrônico, o fluxo de dados e a multiplicação dos terminais de usuário. Quando uma empresa é obrigada a atualizar os sistemas de banco de dados ou a migrar os dados para um ambiente de nuvem, muitas vezes o faz com pouco planejamento.
A exposição aos ataques cibernéticos
Foi o que aconteceu com a Knight Capital Group. Quando o mercado abriu em 1º de agosto de 2012, a Knight mudou os sistemas de informação, mas o fez sem antes ter os controles adequados. Durante os 45 minutos seguintes, milhões de operações errôneas significaram 460 milhões de dólares em perdas.
Este ano, a Comissão da Bolsa de Valores (SEC, da sigla em Inglês), que impôs um acordo de 12 milhões de dólares, escreveu em seus processos administrativos de 16 de Outubro que “a Knight não tinha controles de gestão de tecnologia nem mecanismos controle suficientes para garantir a implantação ordenada do novo código, ou para evitar a ativação de um código que não estivesse mais projetado para uso em operações atuais e que, apesar disso, se manteve nos servidores”.
Joe Buonomo, CEO da Direct Computer Resources (DCR), foi um dos primeiros a adotar a Lei de Segurança para os produtos de privacidade. Em uma entrevista com Buonomo, perguntei o que faria pela empresa a tecnologia de mascaramento de dados.
“Pense na criptografia como se fosse uma boa informação que está em circulação. Assim que os dados chegam ao seu destino, eles são descriptografados. Esse terminal é então exposto”, disse Buonomo, um veterano com 40 anos de experiência.
“O mascaramento ou encubrimento de dados remove a informação que leva aos arquivos, nomes, endereços e arquivos de transferência. Todos eles têm uma referência, ao contrário de sistemas de fita do passado”, disse ele. “Há muitas maneiras dos hackers seguirem essas referências, ou ciclos de CPU. Alguns dos desafios para a ocultação de dados são o tamanho e o tempo necessário para realizar o mascaramento. Tomemos como exemplo um grande banco da Inglaterra. Qual era o problema dele? Ele precisava de bilhões de registros para criptografar as 26 unidades de negócios. Nós lhes dissemos que primeiro fizesse de três unidades de negócios. Isso foi um pouco antes da crise financeira de 2008.”
Ele fez uma pausa e com um sorriso acrescentou: “Nós codificamos os bilhões de registros bancários, o que levaria 500 dias de tempo de CPU e lhes mostramos como fazê-lo em oito horas. Tínhamos mascarado sua transação. Se ele tivesse sido hackeado, as informações não coincidiriam, de modo que o mascaramento de dados não é apenas a criptografia, mas o mascaramento dos dados no momento em que eles são decifrados. Quando você combina essas duas coisas, os dados se tornam praticamente invioláveis.”
Com um pensamento final de Corr sobre a importância da Lei de Segurança e a busca de dados do NSA, acrescentou que “as revelações do NSA nos confirmaram que os antecedentes são insuficientes e que é preciso um maior grau de fracionamento das informações. Isso se aplica não só ao setor público, mas também ao setor privado. Informações confidenciais de negócios são altamente vulnerável a roubo por funcionários. Precisam ser implementadas melhores medidas de segurança da informação para proteger internamente informações empresariais de alta sensibilidade de qualquer um que não que não precise conhecê-la”.
Sean Singleton, CEO da Oglethorpe Capital, empresa dedicada a organizar financiamentos e facilitar a transferência de tecnologia para novas empresas online, disse: “Nós nos concentramos em empresas que entendem que a segurança cibernética é uma questão de risco empresarial que, além de trazer consequências financeiras, pode trazer insegurança jurídica e danos à reputação. “
Uma empresa combina essas e outras ferramentas para quantificar sua exposição aos riscos cibernéticos. New World Technology Partners, empresa na qual Singleton é consultor, usa métodos de análise de sistemas para medir e quantificar as consequências financeiras, de reputação, políticas, legais e regulamentárias dos ataques cibernéticos de alto impacto, em uma espécie de balanço dos riscos cibernéticos.
Quanto menos dados são mascarados, ofuscados ou fracionados, maior é o convite a hackers e maior é a exposição. A Lei de Segurança e o plano de segurança cibernética NIST nos mostrarão o caminho. Mas as empresas precisam enxergar a ameaça e a oportunidade de ficar um passo à frente dos cibercriminosos.
James O. Grundvig é colunista e jornalista freelance em Nova York e frequentemente colabora com o Epoch Times