Pelo menos meia dúzia de grandes companhias norte-americanas cujos computadores sofreram invasão de criminosos cibernéticos ou espiões internacionais não admitiram os incidentes, apesar das autoridades
regulatórias agora recomendarem que esse tipo de ataque seja revelado. [Existirá algo parecido com essa exigência no Brasil?]
Importantes funcionários do setor de segurança de computação do governo
norte-americano acreditam que os ataques de hackers a empresas sejam
muito frequentes, e a Securities and Exchange Commission (SEC) divulgou
um extenso documento de “orientação”, em 13 de outubro, delineando como e
quando empresas de capital aberto deveriam reportar ataques de hackers e
riscos de segurança na computação. Mas, passado um trimestre dessa orientação pela SEC, algumas grandes
empresas que tiveram violações sérias em sua segurança digital continuam
a manter os incidentes sob sigilo, e não os reportaram às autoridades e
investidores.
A Lockheed Martin, uma companhia de defesa, por exemplo, anunciou em
maio passado que havia conseguido resistir a um ataque “significativo e
tenaz” de hackers às suas redes. Mas o recente relatório trimestral 10-Q
que a empresa submeteu às autoridades sobre o período que inclui o
ataque não menciona hackers nem entre os riscos genéricos, quanto mais
admitir o ataque.
Uma revisão pela Reuters de mais de 2 mil relatórios apresentados por
empresas desde que a SEC divulgou sua nova orientação constatou que
algumas companhias, entre as quais a VeriSign, que oferece serviços de
infraestrutura de Internet, e a VeriFone Systems, operadora de cartões
de débito, revelaram dados novos e significativos sobre ataques de
hackers.
Mas a vasta maioria das empresas que consideraram a questão em seus
documentos se limitou a empregar uma nova terminologia padronizada para
descrever uma situação de risco genérico. E algumas vítimas de ataques
de hackers nem isso fizeram. “Não entendo porque as empresas não reportam os riscos cibernéticos”,
nem que apenas para evitar ações disciplinares da SEC ou processos
privados”, disse Jacob Olcott, antigo assessor jurídico do comitê de
comércio do Senado dos EUA.
Stewart Baker, advogado e antigo secretário assistente do Departamento
de Segurança Interna norte-americano, disse que a orientação da SEC era
detalhada a ponto de forçar as empresas que sabem ter sido atacadas por
hackers a “trabalhar muito para não revelar coisa alguma sobre o escopo e
risco das intrusões”. “De outra forma, elas simplesmente estarão dando de bandeja uma oportunidade para intervenção da SEC”, acrescentou.
O porta-voz da Lockheed, Chris Williams, afirmou que o ataque de maio “não causou efeito material sobre nossos negócios”. Ele afirmou ainda que atividade hacker foi coberta no mais recente
relatório anual da empresa, que a classifica como um de muitos fatores
de risco “incluindo ameaça a nossa infraestrutura de tecnologia da
informação, tentativas de acesso não autorizado a informação secreta ou
proprietária, ameaça à segurança física de nossas instalações e
funcionários e atos terroristas".
A cibersegurança tem sido uma preocupação crescente em Washington e
Obama cobrou durante discurso do Estado da Nação por ação em termos de
ações de propostas legislativas. Especialistas de segurança acreditam
que hackers frequentemente têm como alvo informações valiosas como
planos estratégicos, cópias de projetos e fórmulas secretas.
Nenhum comentário:
Postar um comentário