Ataques Cibernéticos no Setor de Varejo

Por que o Varejo?

O setor de varejo está mais conectado, eficiente e confiável do que nunca através das plataformas de vendas e dos processos de pagamentos on-line. Com melhores funcionalidades e recursos, o setor cresceu consideravelmente, acelerado pelo lockdown e a expansão das compras on-line. Digitalização é crucial para um ser varejista de sucesso e aquelas organizações que falharem, correrão o risco de ficar de fora do negócio.

Dito isto, a digitalização tem também seu preço. Quanto maior a demanda para sistemas a fim de atender necessidades, como agilidade, eficiência, controle e conveniência, maior são as vulnerabilidades aos crimes cibernéticos ou a simples erro humano. Negócios varejistas se tornaram alvos por várias razões, incluindo:

  • O rápido crescimento do e-commerce, inovação, além do armazenamento de dados pessoais online;

  • Oportunidades para crimes cibernéticos de modo a causar prejuízos financeiros, como por exemplo, interrupção de atividades, inundando redes com grande volume de tráfego (na maioria das vezes, acontece de forma planejada em períodos de pico de vendas para aumentar a ameaça);

  • Constante mudança das estratégias de malware que ainda são uma grande ameaça para empresas que possuem ecommerce;

  • Oportunidades para criminosos cibernéticos para roubarem créditos de compra, cartões de presente e pontos de fidelidade;

  • Aumento de Internet das Coisas nos equipamentos das lojas físicas (controle de temperatura, umidade e vibração) aumentando a superfície de ataque;

  • Aumento de ataques phishing aos funcionários e a necessidade de treinamento e vigilância de forma contínua.

Nós estamos realmenteem risco?

Incidentes cibernéticos podem acontecer de várias maneiras, desde paralisação, diferentes sistemas maliciosos ou funcionários descontentes até um clique acidental num link nocivo ligado a um phishing e-mail. Contudo, a ameaça mais predominante é o ransomware. Tem ocorrido um crescimento imenso de ransomware nos últimos anos, acompanhado de tendência temerosa: não apenas o sistema é criptografado e um resgate é solicitado com a promessa de devolução do acesso mediante pagamento. Normalmente, os criminosos cibernéticos ameaçam divulgar os nomes das vítimas ao menos que o segundo resgate seja pago. As consequências dos ataques cibernéticos mudarão de acordo com a natureza do ataque, porém normalmente envolve vazamento de dados e/ou interrupção de atividades.

Exposição de Informação Confidencial

A exposição de informação confidencial pode gerar os seguintes prejuízos diretos e danos a terceiros:

  • Danos a terceiros associados ao vazamento não intencional de informações pessoais e sensíveis;

  • Custos de defesa associados à reclamação de terceiros;

  • Investigação forense

  • Notificação, custos legais e despesas com relações públicas para lidar com a resposta à violação;

  • Requisitos regulatórios, por exemplo: LGPD. Embora multas e penalidades sejam uma cobertura limitada em uma apólice de seguro, os custos para responder a uma solicitação regulatória de informações são geralmente cobertos por uma política de cyber "padrão";

  • Danos de reputação impactando a marca da empresa e causando desgastes com clientes.

Interrupção de Negócios

Os resultados financeiros de uma empresa de varejo podem ser profundamente afetados por um incidente cibernético devido a:

  • Indisponibilidade da plataforma de venda, causando abandono de carrinhos de compras e perda significativa das vendas online;

  • Perda de clientes para empresas concorrentes que não foram afetadas pelo incidente.

Estudo de caso

Normalmente inserido em redes (geralmente por meio de processos de injeção, incluindo “esvaziamento”, onde o código legítimo é substituído por código malicioso ou outras técnicas de evasão), o malware pode causar e causa danos significativos aos varejistas online.        

Uma consequência crítica é a perda de controle dos sistemas de computador e dados. Uma empresa de vendas online experimentou recentemente isso em primeira mão, um caso parecido com o que aconteceu no Brasil, causando um impacto financeiro e de reputação considerável. Um script de malware foi injetado no site da empresa por meio de um aplicativo malicioso Structured Query Language (SQL), permitindo efetivamente que os cibercriminosos acessem os bancos de dados de comércio eletrônico, teoricamente fornecendo acesso aos dados dos clientes.

Assim que tomou conhecimento do ataque, o time de resposta de segurança de TI (nomeado nas condições da apólice de cyber), foi apto a tomar providências imediatas para proteger sua rede, e também modificaram a maneira como os dados eram armazenados. Infelizmente, durante esse processo, ocorreu que dados de um determinado cliente foram comprometidos, incluindo credenciais da sua conta. Além da quebra de privacidade de dados, o ataque possibilitou o furto de extrato de contas, créditos de compra, cartões presentes e pontos de fidelidade. A empresa imediatamente tomou providências para notificar o órgão responsável. Com a ajuda do seu time jurídico, a empresa de varejo notificou seus clientes sobre o vazamento de dados, organizou um call center e envolveu uma assessoria de relações públicas, além de especialistas em gestão de crise para apoiá-los com a reação da sociedade. Por fim, uma multa foi cobrada pelo fato da empresa varejista ter falhado em tomar as medidas adequadas para protegerem os dados dos seus clientes. Além disso, a empresa varejista recebeu uma série de reclamações de clientes insatisfeitos por terem seus dados vazados. Os custos da investigação e da resposta ao vazamento foram cobertos pela apólice cyber da empresa varejista. Custos de defesa e responsabilidade também foram cobertos dentro dos limites segurados. O efeito do ataque, a quebra de privacidade e a repercussão gerada têm causado efeitos consideráveis na marca e reputação da empresa varejista. O desgaste com clientes foi significante e acabou gerando substancial perda de receita. Infelizmente, a empresa varejista não contratou a cobertura de reembolso a danos de reputação

Controle de mitigação e o seguro específico de Cyber

É vital proteger o sistema de negócios de modo que suas operações, clientes, reputação e receita também estejam protegidas. Identificar as vulnerabilidades no setor varejista também é crucial. Um ataque cibernético pode ter desdobramentos de grande alcance. Conhecer esses riscos e atuar proativamente para mitigá-los é essencial. Um importante processo de mitigação é transferir o risco para o mercado segurador.

Em oposição`à crença popular, as apólices de seguros patrimonial, responsabilidade civil e outras tradicionais não são desenhadas para responder a um incidente cibernético. Na realidade, durante os últimos anos, as Seguradoras nestas áreas atuaram especificamente para excluir cobertura relacionada a ataques cibernéticos dessas apólices. Seguro específico de cyber é geralmente a melhor opção.

Uma parte fundamental da apólice de cyber são os serviços de resposta em caso de violação, com o suporte de equipes especializadas em investigação de TI, conselho jurídico, bem como relações públicas e especialistas em gestão de crises para mitigar danos e assegurar que a operação retome o mais rápido possível. Tudo isso é em adição a cobertura para terceiros.