No Varejo físico, quando há fraudes, quem assume o problema é o banco. No e-commerce não, é o próprio lojista. Tanto que essa é uma das maiores preocupações para varejistas nesta época do ano, na opinião de Felipe Penaranda, líder de Segurança da IBM para a América Latina. Segundo o executivo, os cibercriminosos se aproveitam da vulnerabilidade dos clientes para realizar ataques de phishing, roubar credenciais e outras informações sensíveis.
Quais os principais riscos para os varejistas?
A questão de fraudes em transações acaba sendo as maiores preocupações, principalmente, em portas de vendas online. É importante esclarecer que no varejo físico, quando há fraudes, quem assume esse problema é o banco. No caso de estabelecimentos online, quem lida com o problema é o próprio lojista.
Além disso, há o problema da disponibilidade de infraestrutura, ou seja, o acesso aumentado, ou mesmo de riscos de ataques DDoS, que são uma eminência nesse tipo de ocasião. Na verdade, devemos considerar que esse é um momento de “derrubar” sites. Isso porque este tipo de ataque busca visibilidade em grande escala e nada melhor do que aproveitar este momento para chamar a atenção.
Os roubos de informações, justamente tem a ver com a última questão, seguem nessa linha. Os cibercriminosos se aproveitam da vulnerabilidade dos clientes para roubar credenciais, fazer ataques de phishing e todas as informações sensíveis de usuários, além de suas senhas.
Como deve ser o preparo?
Tanto para essa data quanto para o final do ano, como as compras de Natal, você vê um movimento diferente dos varejistas no monitoramento de rede e dispositivos de segurança. De fato, isso acaba movimentando empresas, mas isso ocorre com cerca de uma semana de antecedência. No caso de companhias que não possuem tecnologia ou planejamento, há sim a possibilidade de aumento de mão de obra para suportar a demanda e evitar possíveis prejuízos.
A minha recomendação é ter Segurança da Informação contínua e proativa, mas infelizmente não existem muitas companhias com essa consciência.
Outra questão muito incompreendida é a adoção do padrão de Varejo PCI-DSS [Payment Card Industry (PCI) – Data Security standard (DSS)]. Ele foi criado há dez anos pelas principais bandeiras de cartões para ser seguido pelo varejista e são normas para garantir boas práticas no uso, manuseio e armazenagem de dados de cartão de crédito. Porém, isso não ocorre, pois não há uma correta fiscalização e as companhias de mercado online não são multadas por estar fora desta adequação.
Muitas empresas negligenciam essa segurança. E o mais interessante é que o PCI-DSS, com suas 12 sessões de controle de segurança, detecção de resposta a incidentes podem evitar possíveis fraudes e invasões a sistemas de lojas digitais.
Qual o legado de Segurança para as empresas?
A questão de segurança, compliance e gestão de riscos têm de ser contínuas e não só em datas específicas ou quando a companhia terá uma auditoria, por exemplo. Deve-se criar um legado que se estenda por todo o ano. Aliás, é importante ressaltar que muitas empresas online menores muitas vezes acabam por não ter segurança e são invadidas, deixando os clientes à mercê de cibercriminosos.
Qual a preocupação do board com datas especiais?
O divisor de águas para adoção ou não de Segurança da Informação por parte do segmento de varejo foi a Target, em 2014. Nesse caso, a companhia teve um prejuízo de R$1 bilhão de reais, queda de ações na bolsa, 100 milhões de pessoas afetadas e foi considerado o maior vazamento de informações da história. Acabou saindo do board executivo mais de sete pessoas, além do CEO e do CIO. Além disso, o padrão PCI-DSS também colaborou, pois impactou diretamente o varejo. Porém, nesse segmento, tradicionalmente, o board executivo não coloca Segurança da Informação como ponto focal. Infelizmente, eles ainda não enxergam essa prioridade como deveriam.
Como usuários devem se prevenir?
Aqui vão as minhas recomendações:
– Verifique se o portal é seguro e confiável; a presença do pequeno cadeado dourado no canto superior da barra de busca é um indicativo de que a transação está segura.
– Nunca utilize a mesma senha em todos os sites; muitas pessoas possuem esse costume, mas ele facilita as invasões por parte dos cibercriminosos.
– Busque sempre referências e reputações sobre o portal; existe uma black list do Procon e também o Reclame Aqui, que podem ajuda-los a não cair nas mãos de criminosos digitais.
– Certifique que a rede de internet é segura; atualmente, muitos compradores estão optando por comprar pelo celular – isso é inerente à própria evolução digital -, mas não se certificam que as redes Wi-Fi estejam seguras.
– Nunca clique em links desconhecidos enviados por Whatsapp ou mesmo SMS; podem ser promoções falsas que farão com que o consumidor caia em uma armadilha de phishing e tenha seu dispositivo infectado e suas informações comprometidas.