O que fazer se a sua loja virtual for vítima de um ataque?

Se em 2020 os supermercados que ainda não tinham canais de vendas virtuais foram praticamente obrigados a se digitalizar, este é o ano de priorizar o pilar “segurança” nas estratégias digitais. Afinal, o número de ataques cibernéticos aumentou consideravelmente.

De acordo com informações da Fortinet Threat Intelligence Insider Latin America, só entre janeiro e setembro de 2020 aconteceram 3,4 bilhões de tentativas de invasões on-line no Brasil. Fora isso, desde o início deste ano já ocorreram três megavazamentos de dados no País.

Em tempos de Lei Geral de Proteção aos Dados (LGPD), imagine o prejuízo que isso pode trazer aos donos de um e-commerce? Para apoiar e amparar o pequeno e o médio varejista, entrevistamos a advogada especialista em LGPD, Melissa Fabosi, e o gerente do Centro de Atendimento a Incidentes de Segurança da Rede Nacional de Ensino e Pesquisa (RNP), Edilson Lima.

“A pandemia, ao provocar uma adoção mais rápida e, em muitos casos, menos estruturada de tecnologias e plataformas web por parte de pequenos e médios negócios, sem dúvida aumentou o risco de ataques cibernéticos, mas o foco desses ataques não mudou muito. Já é algo ao qual todo supermercado estava sujeito antes, só que agora isso foi potencializado”, esclarece Edilson Lima, gerente da RNP, organização social ligada ao Ministério da Ciência, Tecnologia, Inovações e Comunicações do governo federal.

No geral, grande parte dos crimes que ele elenca já são bem conhecidos e visam fraude financeira:

– roubo de credenciais para a invasão de sistemas e contas bancárias dos supermercados;

– criação de compras falsas;

– desvio da compra legítima (nesse caso o cliente é a vítima, através da plataforma do supermercado);

– uso de dados de clientes para cometer outras fraudes (com as novas implicações da LGPD, devem ser redobrados os cuidados com informações como nome, CPF e endereço dos clientes – dados básicos para qualquer operação de delivery).

Podem ocorrer de diversas formas. Ainda segundo Lima, a mais usual é a exploração de alguma brecha de segurança. “É comum que, ao adquirir um sistema para a operação on-line, toda a

atenção esteja nas funcionalidades e facilidade de uso e administração. No entanto, essa visão subestima questões de segurança que deveriam ser verificadas.”

Costuma estar na mira a senha “admin” compartilhada entre os colaboradores ou quando se utiliza a mesma que o fornecedor gera para todos os clientes. Configurações de segurança desabilitadas para dar maior agilidade ao dia-a-dia também são exploradas. “Nesses casos, o invasor obtém o acesso como se fosse um operador do sistema, e pode cometer os ataques com tempo, pois seu acesso se mistura aos dos colaboradores.”

Outro vetor de ataque está relacionado à arquitetura dos sistemas e à maturidade de segurança de quem o desenvolve. “Muitas empresas aproveitam o aumento da demanda e ofertam sistemas com pouca ou nenhuma maturidade de segurança, que não passam por testes, não têm uma rotina de atualizações e correções de bugs ou sem requisitos de segurança habilitados.”

Para o gestor da RNP, ter consciência dos riscos aos quais lojistas estão expostos é o primeiro passo para se proteger. A partir disso, vale se atentar para questões básicas de segurança. São elas: alterar a senha padrão do fabricante ou sistema e não as compartilhar; orientar os colaboradores a utilizarem senhas próprias e manterem em sigilo; avaliar os parâmetros de segurança de um novo sistema, bem como as medidas de segurança que o fornecedor adota para identificar brechas e aplicar correções; e fazer backups frequentes dos dados de clientes e operações.

“Também é fundamental que o supermercado tenha fornecedores e profissionais focados em segurança, nem que seja através de consultorias periódicas. A avaliação dos riscos deve ser algo constante e pode ser simples”, orienta.

As primeiras medidas são de contenção: é preciso entender e “estancar” o ataque. Depois, é necessário investigar quais brechas de segurança foram exploradas e corrigi-las. “Nesse momento entram questões como as responsabilidades do lojista e do fornecedor do sistema, quem deveria ter prevenido e, portanto, deverá remediar o caso”, diz Lima.

Caso haja comprometimento ou vazamento de dados pessoais de clientes, há ainda outras medidas a serem tomadas, de comunicação às autoridades e aos titulares dos dados pessoais. “Não existe uma receita detalhada do que fazer, e isso torna indispensável a atuação de um profissional de segurança. As pequenas e médias empresas precisam ter algum apoio. O quanto antes investirem nisso, menor será o impacto.”

Com relação aos prejuízos relacionados à LGPD, que seriam basicamente aqueles relacionados a vazamento de dados do shopper, a advogada especialista em LGPD, Melissa Fabosi, diz que “as sanções vão desde a advertência até a aplicação de multa simples e diária – que pode chegar a

2% do faturamento, mas com valor limitado a R$ 50 milhões –, além da suspensão parcial do funcionamento do banco de dados e proibição ou suspensão do exercício de atividades relacionadas a tratamento de dados.”

Em situações como essa, cada caso é analisado pela Autoridade Nacional de Proteção de Dados (ANPD), que aplica as medidas sancionatórias. “Vale destacar, porém, que elas não substituem a aplicação de eventuais sanções administrativas, civis ou penais definidas no ordenamento jurídico, interpretadas de maneira harmoniosa e complementar”, complementa.

Mas calma, ainda há tempo de amadurecer a segurança do seu negócio digital, pelo menos no quesito de proteção aos dados do consumidor. Embora a LGPD tenha entrado em vigor em meados do ano passado, as punições às empresas que descumprirem o decreto só serão aplicadas a partir de 1º de agosto de 2021.