quinta-feira, 2 de fevereiro de 2012

Empresas invadidas por hackers não revelam ataques a investidores

Pelo menos meia dúzia de grandes companhias norte-americanas cujos computadores sofreram invasão de criminosos cibernéticos ou espiões internacionais não admitiram os incidentes, apesar das autoridades regulatórias agora recomendarem que esse tipo de ataque seja revelado.
Importantes funcionários do setor de segurança de computação do governo norte-americano acreditam que os ataques de hackers a empresas sejam muito frequentes, e a SEC (Securities and Exchange Commission) divulgou um extenso documento de "orientação", em 13 de outubro, delineando como e quando empresas de capital aberto deveriam reportar ataques de hackers e riscos de segurança na computação.
Mas passado um trimestre dessa orientação pela SEC, algumas grandes empresas que tiveram violações sérias em sua segurança digital continuam a manter os incidentes sob sigilo, e não os reportaram às autoridades e investidores.
A Lockheed Martin, uma companhia de defesa, por exemplo, anunciou em maio passado que havia conseguido resistir a um ataque "significativo e tenaz" de hackers às suas redes. Mas o recente relatório trimestral 10-Q que a empresa submeteu às autoridades sobre o período que inclui o ataque não menciona hackers nem entre os riscos genéricos, quanto mais admite o ataque.
Uma revisão pela Reuters de mais de 2.000 relatórios apresentados por empresas desde que a SEC divulgou sua nova orientação constatou que algumas companhias, entre as quais a VeriSign, que oferece serviços de infraestrutura de internet, e a VeriFone Systems, operadora de cartões de débito, revelaram dados novos e significativos sobre ataques de hackers.
RISCO GENÉRICO
Mas a vasta maioria das empresas que consideraram a questão em seus documentos se limitou a empregar uma nova terminologia padronizada para descrever uma situação de risco genérico. E algumas vítimas de ataques de hackers nem isso fizeram.
"Não entendo porque as empresas não reportam os riscos cibernéticos, nem que apenas para evitar ações disciplinares da SEC ou processos privados", disse Jacob Olcott, antigo assessor jurídico do comitê de comércio do Senado dos EUA.
Stewart Baker, advogado e antigo secretário assistente do Departamento de Segurança Interna norte-americano, disse que a orientação da SEC era detalhada a ponto de forçar as empresas que sabem ter sido atacadas por hackers a "trabalhar muito para não revelar coisa alguma sobre o escopo e risco das intrusões".
"De outra forma, elas simplesmente estarão dando de bandeja uma oportunidade para intervenção da SEC", acrescentou.
O porta-voz da Lockheed, Chris Williams, afirmou que o ataque de maio "não causou efeito material sobre nossos negócios".
Ele afirmou ainda que atividade hacker foi coberta no mais recente relatório anual da empresa, que a classifica como um de muitos fatores de risco "incluindo ameaça a nossa infraestrutura de tecnologia da informação, tentativas de acesso não autorizado a informação secreta ou proprietária, ameaça à segurança física de nossas instalações e funcionários e atos terroristas."
A cibersegurança tem sido uma preocupação crescente em Washington e Obama cobrou durante discurso do Estado da Nação por ação em termos de ações de propostas legislativas. Especialistas de segurança acreditam que hackers frequentemente têm como alvo informações valiosas como planos estratégicos, cópias de projetos e fórmulas secretas.

Nenhum comentário: