*Bruno Telles é COO da BugHunt
A necessidade de distanciamento social por conta da pandemia fez com que a sociedade precisasse se adaptar de forma imediata ao mundo virtual. Essa grande migração ao âmbito digital – muitas vezes sem a preparação e planejamento ideais – abriu espaço para diversas consequências, entre elas uma bastante negativa: o crescimento dos ciberataques contra redes de diversos negócios e companhias. De acordo com uma pesquisa liderada pela BugHunt, primeira plataforma brasileira de Bug Bounty, uma a cada quatro empresas do país sofreram ao menos uma tentativa de ataque cibernético nos últimos 12 meses.
Se o número de ataques aumentaram durante a pandemia, dá para dizer o mesmo sobre o prejuízo das empresas graças a esses golpes. Dados de um estudo feito pela Palo Alto Networks revelam que a quantia anual gasta pelas companhias para recuperar dados roubados saltou de US$ 303,7 mil, em 2020, para US$ 541 mil, no ano passado, representando uma significativa expansão de 78%.
Ainda que a perda financeira possa ser considerada o problema mais grave em decorrência desses ataques, é importante ressaltar os efeitos negativos relacionados à perda de dados importantes, além do risco à reputação da companhia junto a clientes e parceiros.
Um caso que exemplifica esse cenário foi enfrentado recentemente pelo Banco Pan. A instituição financeira sofreu um ataque virtual e teve 22 milhões de contas de clientes comprometidas com o vazamento de dados sigilosos. Ainda segundo fontes do mercado, o banco sofreu com uma tentativa de extorsão por parte dos infratores para que os dados violados não fossem divulgados, ampliando ainda mais a gravidade da situação.
Solução a partir do bem
Até por conta dessas crises e ataques cada vez mais recorrentes, as organizações já buscam encontrar maneiras para tentar evitar e reforçar a sua proteção contra os ataques virtuais. Nesse contexto, um dos programas que tem se destacado é o Bug Bounty.
Baseado na prática do crowdsourcing (modelo em que se usa conhecimentos coletivos e voluntários, geralmente recrutados pela internet), este método reúne especialistas que realizam testes e buscam vulnerabilidades em sistemas e serviços de uma empresa, em troca de uma compensação financeira.
Conhecidos como hackers éticos, ou hackers do bem, estes profissionais ganham a recompensa oferecida pelas companhias a cada nova falha descoberta. Quanto mais impactante e significativa a brecha encontrada, maior o valor recebido em troca. No Brasil, existem casos de pessoas que chegam a ganhar até R$ 120 mil por ano.
Tendência do mercado
Com os hackers do bem atuando de forma conjunta, trocando experiências e avaliando de forma simultânea a confiabilidade e segurança dos serviços das instituições, a prática do Bug Bounty permite que as empresas consigam se antecipar na corrida contra os malfeitores, encontrando soluções antes mesmo de uma vulnerabilidade se transformar num verdadeiro problema.
Dessa forma, os resultados obtidos por meio desse tipo de programa chamam a atenção. Tanto que, calcula-se que o Bug Bounty encontra sete vezes mais falhas críticas numa comparação com outras soluções de segurança tradicionais. Não à toa, as empresas já abrem o olho e começam a depositar esperança para esse tipo de solução. Ainda segundo o estudo da maior plataforma do setor no Brasil, 83% das corporações brasileiras afirmaram já ter conhecimento sobre os benefícios dessa prática. Diante disso, 29% das empresas respondentes já investem neste modelo de proteção, enquanto 34% pretende fazer num futuro próximo.
Aliás, não só o mundo corporativo tem se aproveitado dos benefícios dessa ferramenta. Os Estados Unidos, país número um quando se trata de Bug Bounty no planeta, já têm utilizado a prática inclusive para assuntos governamentais. Em 2016, autoridades federais dos EUA anunciaram seu primeiro programa de recompensas por bugs chamado “Hack the Pentagon”. Durante aproximadamente um mês, o evento rendeu ao Departamento de Defesa dos EUA o registro de 138 relatórios com falhas descobertas e distribuiu US$ 71.200 em recompensas.
No Brasil, essa prática começou a ganhar espaço principalmente após o início da pandemia, justamente no mesmo período em que os casos de ataques ciberciminosos cresceram de forma exponencial – mais de 90%. Neste contexto, está mais que claro que as empresas – e porque não o governo brasileiro – precisam estar cada vez mais atentas à segurança dos seus serviços. Levando em consideração os benefícios que o acompanham, o Bug Bounty surge como uma das soluções mais sólidas e eficazes nesse sentido, sem mencionar o custo relativamente baixo em comparação aos potenciais danos atrelados aos ataques cibernéticos.