Muito além de Hollywood: você investiria numa empresa que sofreu um ataque cibernético?

Olá, seja bem-vindo à Estrada do Futuro, onde conversamos semanalmente sobre a intersecção entre investimentos e tecnologia. Tenho certeza que, nas últimas semanas, você viu pelo menos uma ou duas manchetes sobre ataques cibernéticos a grandes empresas.

Muitos deles, imagino, com insinuações de um pano de fundo envolvendo a guerra na Ucrânia.

Neste contexto, recebi um convite para uma entrevista cujo tema, num primeiro momento, me soou até estranho: se o fato de uma empresa ter sido vítima de um ataque cibernético deveria afastar investidores das suas ações.

Sondando colegas analistas e jornalistas, percebi o quanto a cobertura de investimentos sobre o tema ainda é parecida com a visão de "Hollywood".

Na coluna de hoje, vou explorar esse tema em mais detalhes e responder à pergunta do título.

Ataques cibernéticos são mais comuns do que se imagina

Existe sim, diariamente, uma quantidade enorme de ataques cibernéticos ao estilo Hollywood, de pessoas brilhantes direcionando toda a sua inteligência para invadir os sistemas de terceiros.

Mas, acredite, esses casos são uma minoria.

Pelas estimativas da Okta (Nasdaq: OKTA), a maior empresa de gestão de logins do mercado, avaliada em mais de US$ 20 bilhões enquanto escrevo essa coluna, mais de 90% de todas as invasões acontecem por vazamentos de credenciais.

Na maioria das vezes, um funcionário distraído clicou onde não deveria e abriu as portas para um ataque cibernético.

Os exemplos mais famosos de "phishing" são as réplicas perfeitas de sites que os funcionários estão acostumados a acessar.

• MUDANÇAS NO IR 2022: baixe o guia gratuito sobre o Imposto de Renda deste ano e evite problemas com a Receita Federal; basta clicar aqui

Por exemplo, você recebe um e-mail da "Amazon" dizendo que precisa mudar sua senha. Ao clicar, é direcionado imediatamente para uma página que é uma réplica perfeita da Amazon.

Os mais atentos sequer irão clicar no e-mail,  pois sabem que a Amazon não requisitaria proativamente essa mudança; mas algumas pessoas também perceberiam um link poluído, repleto de símbolos e letras aleatórias na suposta página da Amazon.

Muitos, porém, após clicarem, acabam preenchendo os campos de senha. Ao fazê-lo, você está fornecendo a um terceiro os dados para acessar a sua conta na Amazon.

Essa é uma das portas de entrada mais tradicionais para crimes cibernéticos, e se baseia simplesmente em falhas humanas, e não em incríveis algoritmos altamente  complexos.

Muitos dos vazamentos corporativos de que ouvimos falar se originam assim: um funcionário com acesso privilegiado aos sistemas concede suas credenciais, muitas vezes sem perceber.

E depois?

No Brasil, me lembro recentemente de episódios de invasões envolvendo empresas como Lojas Renner, Fleury, Cosan e outras.

No exterior, me lembro de casos ainda maiores: nos últimos meses, a própria Okta que mencionei há pouco foi invadida, tal como a Nvidia, que está entre as dez empresas mais valiosas do mundo.

Em comum há o seguinte: o grande público nunca obtém o acesso completo ao que aconteceu.

Sob um véu de sigilo

Do lado da empresa, existe a necessidade de manter o sigilo e investigar a fundo, o mais rápido possível, qual a brecha que permitiu a invasão dos seus sistemas.

E do outro lado, existe também um incentivo a divulgar o menos possível: a maioria das invasões não ocorrem por motivações políticas ou pessoais; elas ocorrem por motivações financeiras.

Os invasores exigem das empresas um "resgate", um pagamento para que nenhuma das informações obtidas sejam reveladas.

Grandes episódios, como o famoso caso da SolarWind, empresa americana de tecnologia que teve seus sistemas comprometidos durante meses, no que muitos dizem ter sido um ataque político, mirando espionar pessoas e instituições americanas, são raros.

Na maior parte das vezes, o conflito é encerrado num acordo privado, sem que os detalhes sejam revelados.

Daí a pergunta: o fato de uma empresa ter sofrido um ataque cibernético bem sucedido deveria afastar os investidores da ação?

A resposta não é óbvia

A pergunta me causa estranheza pelo seguinte: todas as empresas estão sujeitas a ataques cibernéticos.

Repito: todas, sem exceção.

A corrente é tão forte quanto o seu elo mais fraco, e em muitos casos, as empresas não sabem qual o seu elo mais fraco.

Pense sobre como é difícil convencer executivos que não entendem os meandros da tecnologia a investirem na prevenção de algo que talvez nunca aconteça.

Em outros casos, mesmo quando todos estão plenamente cientes dos desafios, os vazamentos podem acontecer, como no caso da Nvidia.

Ataques cibernéticos serão cada vez mais comuns e frequentes

Ao investidor, cabe avaliar se a empresa será capaz de aprender com seus erros e investir em sistemas mais parrudos, ou se ela será eternamente uma vítima dos mesmos agressores.

Parte dessa análise deveria acontecer naturalmente, na avaliação da cultura de uma organização.

Por isso, se você investe numa empresa em que você acredita e admira as pessoas que trabalham lá, como para mim é o caso da Nvidia, é natural dar um voto de confiança à gestão após um evento como esse.

Em casos opostos, o vazamento dos sistemas emergirá apenas como mais um, em meio a tantos outros episódios, de uma gestão corporativa ruim, falhas estratégicas e tantos outros erros que levarão as ações da empresa a performar mal.

A resposta para a pergunta do título dessa coluna é diferente para cada empresa analisada: simplesmente não há uma regra universal para tomar essa decisão.