O caso C&A e a situação da Segurança no Varejo

Especialistas avaliam a maturidade da SI no setor após incidência de casos envolvendo vazamento de dados; Congresso TI & Varejo repercute o tema entre líderes varejistas

Compartilhar:

Aconteceu de novo. Mais um caso de vazamento de dados em uma grande rede varejista abalou novamente a confiança do já traumatizado consumidor brasileiro. Agora foi a vez da C&A que, no início da semana, teve seu sistema de compra, bloqueio e extrato do “Cartão Presente” invadido por hackers.

 

Ao que tudo indica o ataque foi uma represália à empresa, acusada de utilizar dados de currículos de candidatos para emitir cartões de crédito C&A sem que os mesmos tenham sido solicitados. O ato culminou na exposição de informações sensíveis de clientes, como número do cartão, CPF, e-mail, valor adquirido como presente, e-mail do funcionário que fez a transação, número do pedido e data da compra.

 

Casos como esse tornam aquela máxima de que toda empresa será invadida um dia (é apenas uma questão de tempo!) cada vez mais próxima da realidade, já que nos últimos meses é visível o aumento do número de incidentes envolvendo vazamento de dados.

 

O e-commerce cresceu 12,1% no primeiro trimestre de 2018 (comparado ao mesmo período do ano passado) e faturou R$ 23,6 bilhões, segundo o 38º Webshoppers, do Ebit/Nielsen, mas tem sido constantemente vítima de ataques cibernéticos bem-sucedidos. Por quê?

 

O tema foi abordado durante a 7ª edição do Congresso TI & Varejo, realizado nesta semana em São Paulo. O evento reuniu as principais lideranças do setor e debateu como o segmento está lidando com o desafio da Segurança Cibernética.

 

A preocupação com o assunto é tão real que “chega a tirar o sono” de Paulo Farroco, CIO da Riachuelo. Segundo o executivo, o Varejo é responsável em proteger os dados dos clientes e tem como missão estar constantemente em busca de maneiras para assegurar as informações sigilosas de seus clientes.

 

Ageu Pedro Junior, CIO da Construdecor, faz coro a Farroco e chama a responsabilidade para a TI. “O maior desafio nesse campo é equilibrar as iniciativas que trazem boas experiências para o consumidor e que ainda o mantenha protegido”, disse. “Isso é difícil, mas estamos aprendendo”, assume.

 

Proteção de dados

De fato, os negócios se transformaram nos últimos anos principalmente devido ao avanço da tecnologia a serviço dos usuários, que exigem e esperam uma melhor experiência de compra, seja na loja física ou online. Cada varejista precisou se reinventar para não perder a competitividade, oferecendo mais facilidade e rapidez nas compras.

 

Consequentemente, o setor coleta e acumula cada vez mais uma grande quantidade de dados dos clientes a fim de prover essa melhor experiência de compra. “Isso aumentou o interesse dos cibercriminosos, uma vez que existem mais possibilidades de sucesso num ataque, seja para um retorno financeiro ou fama para o atacante. Exemplo: os dados roubados podem ser vendidos por um valor muito atrativo na deep web e o invasor ficar famoso no cibercrime”, opina Carlos Cortizo, gerente de Engenharia de Sistemas da Fortinet Brasil.

 

Além disso, qualquer segmento que tenha informações de crédito dos clientes é um alvo em potencial. A fraude eletrônica no Brasil tem números impressionantes. “Este setor acumula uma série de dados sensíveis sobre os seus clientes e, mesmo assim, não investe tão intensamente em controles e sistemas de segurança como o setor financeiro”, avalia Alexandre Moraes, gerente de Pré-Vendas da Cylance.

 

“É mais fácil roubar um dado do Varejo do que de um Banco”, complementa. A justificativa para tal é que um funcionário do Varejo não passa pelos mesmos treinamentos ou auditorias que um colaborador do setor bancário, tornando muito mais fácil um vazamento de dados ocorrer por algum usuário interno.

 

Segundo os especialistas, este setor passou muito tempo focado em compliance e normas, deixando de lado uma postura mais integrada da segurança, como gestão de riscos e inteligência contra ameaças. Pelo fato de parte das empresas focarem muito nessas práticas, tende-se a “baixar a guarda” em determinado momento, deixando pontos vulneráveis na rede e nas estações de trabalho, que acabam sendo explorados por hackers.

 

Luz no fim do túnel?

Com a digitalização deste mercado, tanto no comércio online como nas lojas físicas (com redes wifi), o investimento em cibersegurança está deixando de ser visto como um custo e mais como proteção do negócio, aumentando a maturidade do setor.

 

Uma saída para o Varejo seria apostar no uso de tecnologias mais disruptivas e que utilizam Inteligência Artificial. “Essa pode ser a chave para bloquear e evitar que o malware seja injetado nos varejistas e realize todo este estrago. Estes ataques são bem-sucedidos porque estas empresas utilizam soluções de antivírus tradicionais, baseadas em assinaturas (vacinas) e que tem muito baixa efetividade contra ameaças de Dia Zero”, analisa Moraes.

 

Já Cortizo afirma que é necessária uma abordagem completa para poder fazer frente aos inúmeros ataques sofridos pelo varejista, entre eles o de vazamento de dados. A superfície de ataque (online, redes com e sem fio, IoT) é muito maior e uma ferramenta pontual não será capaz de mitigar o risco da melhor maneira possível.

 

Tecnologias como SD-WAN, acesso seguro, NAC, Analytics, DLP, relatórios de compliance e gerenciamento centralizado devem operar de forma integrada, rápida e transparente para que o varejista implemente sua estratégia de cibersegurança de maneira eficiente e efetiva.

 

Além da tecnologia, a Lei Geral de Proteção de Dados também chega para tornar empresas e consumidores mais seguros. Sob a nova regra, que entra em vigor até fevereiro de 2020, as violações custarão caras para organizações caso ocorram.

 

“Violações da LGPD podem estar sujeitas a sanções administrativas de até 2% do volume de negócios da entidade no Brasil no último ano fiscal, limitados a 50 milhões de reais (aproximadamente € 11 milhões) por infração. A LGPD também prevê possíveis multas que se acumulariam diariamente quando as violações forem consideradas recorrentes”, explica Greg Silberman, CPO e VP Jurídico da Cylance.

 

“Acredito que o Varejo estará cada vez mais próximo da maturidade do setor financeiro em cibersegurança nos próximos três anos, isto é, o serviço ao cliente só será oferecido se tiver cibersegurança integrada”, conclui Cortizo.

 

Conteúdos Relacionados

Security Report | Destaques

Cisco emite esclarecimento sobre suposto vazamento de dados

Publicações apontando um possível vazamento de dados anunciado em um fórum na Dark Web circularam durante essa semana. Em nota,...
Security Report | Destaques

Regulação da IA: CISOs e operadores do direito analisam Projeto de Lei

O Senado Federal aprovou a lei em plenário neste mês de dezembro, avançando com a possibilidade de estabelecer normas mais...
Security Report | Destaques

CISO no Board: o desafio de comunicar a linguagem da SI ao negócio

Como líderes de Cibersegurança podem ajustar seu discurso para estabelecer uma ponte efetiva com os conselheiros e influenciar decisões estratégicas
Security Report | Destaques

Unidas Aluguel de Carros identifica tentativa de invasão aos sistemas

Registros de que a companhia havia sido atacada por um ransomware começaram a circular nesta semana, quando grupos de monitoramento...