setembro 07, 2012

[Segurança] O Futuro do mercado: Incidentes já não assustam ninguém

Nota: Este artigo faz parte de uma série sobre o futuro do mercado de segurança. Para ler o primeiro artigo, clique aqui.

Diariamente vemos diversas notícias sobre empresas de todos os portes que sofreram incidentes de segurança: defacements, invasões, ataques de DDoS, roubo de informações e roubos de dados pessoais (incluindo cartões de crédito) já fazem parte do nosso dia-a-dia.

Para exemplificar o tamanho do problema, o site DataLoss DB mantém estatísticas atualizadas de sites e empresas que sofreram roubo de dados, expondo informações de seus usuários. Eles mostram 942 incidentes de roubo de informações envolvendo dados pessoais em 2012 (até 6 de setembro deste ano).

Para exemplificar, um dos maiores incidentes da história foi noticiado em 2009, quando a 5a maior empresa processadora de transações de cartões dos EUA, a Heartland Payment Systems, foi invadida e foram roubados dados de cartão de crédito de 130 milhões de usuários. Mas nem precisamos ir tão longe: em Junho deste ano foram roubadas cerca de 6,5 milhões de senhas do LinkedIn e em Julho o Yahoo confirmou o roubo de 400 mil senhas.

Pelo dito acima, já dá para perceber que os usuários e executivos estão acostumados a ouvir notícias quase que diariamente sobre sites que foram atacados e dados roubados pela Internet. Mas, mesmo assim, a quantidade de usuários online cresce a cada dia. Nenhum site, mesmo após o ataque, deixa de existir. Porque será?
Os incidentes de segurança viraram "carne de vaca", e como os usuários já se acostumaram com estas notícias, o impacto para a imagem das empresas atacadas é minimo.

Salvo raras exceções, ou seja, empresas cujo negócio está diretamente relacionado a provacidade e a confidencialidade de dados realmente sigilosos (como instituições financeiras), os clientes não se assustam mais com notícias de ataques ou de roubos de dados, e não trocariam de fornecedor por causa dele ter sofrido um ataque.

Nos primórdios da Internet, a segurança e a reputação dos sites era fundamental, e qualquer notícia de ataque, na época, poderia causar um sério impacto para um negócio. Na época eu lembro de ter ouvido histórias de que o site de vendas de CDs CDNow.com tinha fechado após ter dados de clientes roubados. Mas uma simples pesquisa no Google mostra que, na verdade, a empresa fechou no início dos anos 2000 devido a concorrência com a Amazon e mais alguns gigantes do e-commerce (isso sem falar que esta foi a época da estoura da bolha da Internet). Pesquisando um pouco mais, eu achei a notícia de que o site CD Universe foi hackeado no início de 2000 e teve 300 mil dados de cartões de créditos roubados - o que foi considerado o maior caso de roubo de dados da época. Mas, mesmo assim, o site existe ate hoje!
Então, esta história de que a sua empresa vai perder credibilidade e pode até fechar, se sofrer um cyber ataque, é bravata?

Sim, na minha opinião este é um dos maiores FUDs da indústria de segurança.

Basta vermos alguns incidentes importantes que aconteceram recentemente:
  • Em 2007 aconteceu o terceiro maior roubo de dados de cartãod e crédito de toda a história: Alberto Gonzalez invadiu os sistemas da empresa americana TJX Companies Inc e roubou 94 milhões de dados de cartões de crédito. A TJX é dona da T.J. Maxx, uma cadeia gigantesca de lojas de roupas e acessórios para casa nos EUA. E a empresa continua existindo, firme e forte. Ou seja, as pessoas continuam comprando lá, mesmo sabendo que a empresas já teve os dados dos clientes roubados há poucos anos atrás.
  • Em 2009 a ANATEL mandou a Telefônica suspender a venda do Speedy, seu serviço de banda larga, depois que o serviço passou por vários problemas de instabilidade, alguns deles como consequência de ataques de DDoS na sua infraestrutura. O resultado? Após o fim da suspensão que durou dois meses, as vendas do Speedy explodiram, pois na verdade havia uma demanda reprimida de clientes.
  • Em 2011 a Sony sofreu uma série de ataques, em represália a decisão da empresa de processar o hacker Geo Hot, que quebrou a segurança do PS3 e descobriu como desbloquear o console. Por conta destes ataques, a empresa teve milhares de dados de clientes roubados, suspendeu a PSN por cerca de um mês e anunciou um prejuízo estimado de US$ 170 milhões. Apesar do roubo de dados dos clientes e do serviço ficar fora do ar por mais de um mês, o impacto em termos de quantidade de clientes e vendas de PS3 foi pequeno. Ou seja, os clientes não abandonaram a empresa. Afinal você iria jogar fora o seu console? Iria abandonar o seu avatar nível 50 e começar do zero? Os prejuízos foram causados principalmente pela parada no serviço em função da estratégia (lenta) de recuperação após os ataques, e não por conta dos ataques em si.

Moral da história: o usuário troca de fornecedor por problemas no serviço final ou por falta de atendimento de qualidade. Notícias de ataques, roubos de dados e de sites fora do ar por causa de DDoS são muito comuns hoje em dia, e os consumidores já se acostumaram com elas e com as desculpas que as empresas dão (mesmo que esfarrapadas).

Afinal de contas, você não vai deixar de ir na padaria porque ela foi assaltada na semana passada, nem mesmo vai trocar de banco só porque a agência perto da sua casa foi assaltada. Se você não for diretamente prejudicado, a chance de abandonar a empresa é pequena.

Nenhum comentário:

Creative Commons License
Disclaimer: The views expressed on this blog are my own and do not necessarily reflect the views of my employee.