Empresas recorrem a ‘hacker do bem’ para proteger dados
Com aumento de casos de vazamento de dados e rigor da LGPD, companhias contratam profissionais em plataformas para caçar falhas de sistema
Os vazamentos de dados nos últimos anos e o rigor da Lei Geral de Proteção de Dados (LGPD), somados ao aumento da digitalização na pandemia, levaram as empresas a mudarem de atitude em relação à cibersegurança. Agora, elas mesmas caçam as falhas. E, para isso, contam com a ajuda de quem domina o assunto: os próprios hackers.
A conexão entre empresas e hackers acontece por meio de plataformas de bug bounty (recompensa por falhas, em tradução livre), bastante comuns no exterior, principalmente nos Estados Unidos. As companhias cadastradas nesses programas permitem que os profissionais tentem invadir seus sistemas e oferecem pagamentos conforme a vulnerabilidade encontrada.
A plataforma mais conhecida no exterior é a HackerOne, que atende empresas como Twitter, Uber e Starbucks. No Brasil, a primeira plataforma de bug bounty é recente: a BugHunt surgiu em março de 2020, no início da pandemia, e hoje presta serviços a cerca de 20 companhias, como TIM, OLX e Webmotors, com mais de 8 mil hackers cadastrados.
Pandemia, ataques e LGPD
A Enjoei, loja on-line de produtos usados, é uma das empresas que decidiu investir na prevenção por meio de um programa de recompensas. Em outubro de 2021, fechou parceria com a BugHunt, com pagamento de até R$ 1.500 por falha encontrada.
Responsável pela área de tecnologia da Enjoei, Carlos Brando explica que, com o aumento de tráfego na plataforma, foi preciso elevar o nível de maturidade da segurança da empresa, o que incluiu a criação de times especializados, processos internos mais rígidos e governança dos dados.
— No home office não temos controle de onde o funcionário está trabalhando, nem de qual rede ele usa para se conectar. Dados pessoais são, sempre que possível, criptografados. Mas, ainda assim, tomamos todas as providências para que essas informações estejam sempre seguras — afirma Brando.
Caio Telles, CEO da BugHunt, aponta a pandemia e o aumento do número de ataques, além da entrada em vigor da LGPD, como responsáveis pelo crescimento orgânico do mercado de cibersegurança no Brasil:
— É lógico que as empresas têm medo da multa, mas a LGPD também fez com que as companhias notassem que o risco existe. As áreas de TI passaram a ter mais importância.
Aprovada em agosto de 2018, a LGPD começou a valer em agosto de 2020. As sanções, porém, só entraram em vigor em agosto de 2021. Incluem desde advertência até multa de 2% do faturamento anual da empresa, limitada ao valor de R$ 50 milhões por infração.
Nos programas de identificação de falhas, as próprias empresas estabelecem o quanto estão dispostas a pagar pelos problemas encontrados. Na BugHunt, por exemplo, o valor varia, em média, de R$ 100 a R$ 10 mil por vulnerabilidade.
Fabio Assolini, analista sênior de Segurança da Kaspersky, explica que os valores tendem a variar de acordo com a gravidade da falha. A Kaspersky, por exemplo, participa da HackerOne desde 2015 e oferece recompensas de US$ 2 mil a US$ 20 mil, em média. Para a vulnerabilidade mais crítica, porém, o valor é de US$ 100 mil.
— Esse é o valor para a identificação dos bugs mais graves, que permitem a um hacker distribuir um código malicioso usando a atualização do antivírus da Kaspersky. Seria fatal para o nosso negócio — explica Assolini. — Mas até hoje essa falha não foi encontrada, ainda não pagamos esse valor.
Para Telles, da BugHunt, o maior desafio para o bug bounty é “educar o mercado” e mostrar para as empresas que os hackers “não são pessoas ruins”.
— A maioria dos hackers cadastrados na nossa plataforma, cerca de 90%, são profissionais formados na área de Tecnologia da Informação e que já atuam em grandes empresas. Os demais são estudantes.
Um dos hackers cadastrados na BugHunt é o analista de sistemas Guilherme Scombatti, de 34 anos. Ele começou a atuar nesse mercado nas plataformas americanas e europeias, e conta que já chegou a receber mais de R$ 10 mil por falha encontrada. Como tem emprego formal, ele dedica cerca de 15 horas por semana ao bug bounty.
— Nenhuma empresa é 100% segura, se você ficar procurando sempre vai encontrar algo. E a vantagem desse tipo de serviço para as empresas é que elas terão pessoas procurando por vulnerabilidades 24 horas por dia, mas que só serão remuneradas se encontrarem algum problema — ressalta.
Falta de regulamentação
Grandes empresas de tecnologia, como Google, Microsoft e Facebook, foram as primeiras a implementar esse tipo de programa de recompensa, no início dos anos 2000, conta Guilherme Damasio Goulart, sócio da consultoria de segurança da informação BrownPipe.
As plataformas de bug bounty ajudaram a democratizar o acesso a esse serviço por empresas menores. No entanto, ainda há a necessidade de uma regulamentação específica para esse tipo de atividade no Brasil.
A Associação dos Diplomados da Escola Superior de Guerra no Estado do Ceará elogia o dinamismo dos operadores do DCiber, os competentes e destacados pesquisadores, Richard Guedes e Marcelo Barros que fortalecem o Poder Nacional da nação brasileira na expressão científica e tecnológica em prol do bem comum.
COR UNUM ET ANIMA UNA PRO BRASILIA – CONHECER O BRASIL PARA MELHOR SERVI-LO
Fonte: https://dciber.org/
