Se a segurança digital já é um problema complexo para o uso casual da internet, tende a ser um desafio existencial para negócios online. Os ganhos em escala e a economia de tempo e dinheiro gerados pela digitalização têm como uma grande contrapartida a atenção permanente à cibersegurança.
Felizmente, os benefícios de uma loja digital geralmente compensam esse custo. Com efeito, grande parte do esforço dos lojistas em manter a segurança de uma loja virtual consiste em não arruiná-la, eles mesmos.
Posta dessa maneira, a observação pode causar estranhamento. No entanto, em um momento de expansão inédita do trabalho remoto, os riscos de invasões “vindas de dentro” aumentam exponencialmente. A possibilidade de fazer videochamadas diárias de trabalho até mesmo pelo celular levar muitos trabalhadores a usar VPN para Android para mudar a localização e preservar a privacidade na internet conectando-se para a rotina da loja.
Uma VPN é uma rede privada virtual, que criptografa a conexão entre um computador e seu destino — no caso, entre o trabalhador em sua casa e o servidor do comércio virtual, respectivamente. Uma VPN permite conectar-se à internet de maneira sem revelar a identidade do computador e nem o local, o que protege as conexões de observadores e invasores externos na internet.
O recurso a VPNs não é uma novidade para conexões corporativas, mas sim seu uso generalizado em empresas para trabalho a distância. Num cenário de operações convencionais, concentradas em escritórios, a intranet e a mobilização da equipe de T.I. de uma empresa geralmente são os mecanismos acionados para coibir as vulnerabilidades internas.
Com trabalho remoto, raramente os trabalhadores separam lazer e trabalho em computadores e celulares diferentes, tornando necessário fechar brechas. Estes são alguns pontos para se considerar a compra de uma VPN:
- Possibilidade de ocultar dados de navegação como IP e localização, algo muito importante para computadores usados na operação do e-commerce, seja essa loja grande ou pequena;
- Maior portabilidade: um grande perigo que os especialistas em TI apontam é o acesso a uma nuvem com informações valiosas feitas por computadores ou celulares não protegidos. Conseguir invadir esse dispositivo é a única atividade necessária para um hacker e uma VPN pode trazer uma camada de segurança extra além de uma senha segura;
- Acesso a conteúdo de qualquer lugar: com a possibilidade de mudar de país e ter um IP de acordo com essa mudança, você pode acessar conteúdo de qualquer lugar, algo importante porque são cada vez mais comuns as limitações geográficas em sites, softwares e apps.
A velha e sempre presente ameaça do phishing
Prestar atenção antes de clicar num link de e-mail ou resultado de busca não requer muito esforço. No entanto, o phishing é atualmente o cibercrime mais cometido no Brasil e no mundo.
O phishing é a atividade de criminosos virtuais de ludibriar internautas para que eles compartilhem dados confidenciais ou sensíveis, ou garantam acesso a seus sistemas. Esse golpe de engenharia social geralmente é feito por e-mails, que imitam fielmente fontes legítimas.
Esse tipo de crime vem se sofisticando. Hoje é possível encontrar incidentes de phishing até mesmo em redes sociais, como o LinkedIn. Na Black Friday brasileira, a incidência desse tipo de ataque foi de 10 mil casos entre 23 e 28 de novembro, de acordo com levantamento da empresa de segurança digital Axur.
A educação para evitar phishing é o inflexível condicionamento de suspeitar de tudo em que se clica. É uma prática difícil de adotar, mas eficaz. Em um momento de flexibilização das condições de trabalho com ferramentas digitais, é também uma prática necessária. Um trabalhador de ecommerce que clica num link de phishing de uma falsa promoção hoje pode causar a invasão do servidor da empresa amanhã, caso não use um computador ou celular exclusivo para o trabalho e outro para afazeres domésticos.
Segurança é importante, mas custa caro
Por fim, grande parte das vulnerabilidades dos sistemas de e-commerce precisam de um esforço mais concentrado e continuado do que atenção ao visitar endereços ou usar VPNs:
- fraudes de cartão;
- manipulações de preços;
- injeções SQL;
- cross-site scripting.
Todas essas são formas de ataques diretamente ligadas à programação estrutural das lojas virtuais. Por explorarem lógicas de programação e outras vulnerabilidades mais fundamentais, demandam muito tempo e trabalho de desenvolvedores — eis o desafio.
Esses ataques geralmente são direcionados aos carrinhos de compra e aos sistemas de pagamento de um negócio. Em algumas situações, a automatização e a terceirização são utilizadas para esses processos — o que pode ser um alento, quando os prestadores de serviço são vigilantes e bem-equipados, mas ainda mais preocupante quando não são.
Nem sempre os desenvolvedores de aplicações de comércio eletrônico têm a competência de implementar soluções realmente boas de segurança digital. Trata-se de uma constatação objetiva, não de um julgamento moral: o motivo pode variar muito, indo desde um prazo apertado e inexperiência a outras possibilidades.
Mas os problemas acabam aparecendo e precisam ser solucionados. Muitas vezes, a segurança é encarada como algo complementar por lojistas e desenvolvedores. Nesse pensamento, primeiro estrutura-se uma “fundação” e depois vêm as atividades de manutenção. Seria um pensamento razoável, mas a complexidade dos sistemas cresce muito rapidamente. Em muitos casos, aparecem outras prioridades inusitadas e não se consegue dar a atenção necessária às questões de segurança.
Administradores de negócios virtuais precisam atentar à segurança digital. Infelizmente, a mera presença de um “carimbo digital” sobre certificação SSL e outras precauções não são suficientes para manter as ameaças distantes. Uma mudança de percepção ainda é necessária, para entender que o aumento da conversão de vendas ou os ganhos de eficiência da automação podem ser perdidos em minutos em ocasiões de ataques virtuais. Esse diagnóstico é tão verdadeiro quanto soa catastrofista.
Nesse sentido, o treinamento de pessoal para boas práticas é essencial. Também a busca por bons profissionais na área e o acesso a relatórios e eventos ligados ao tema pode ser uma boa transição para um perfil mais cauteloso de funcionamento. A alta complexidade do problema e os altos custos implicados (ferramentas modernas, profissionais altamente especializados) tornam a cibersegurança mais um vetor a considerar nas decisões administrativas. Abrir os olhos para a existência dele é o primeiro passo para evitar uma involuntária autossabotagem.