Empresas atacadas por hackers não revelam ataques a investidores

quinta-feira, 2 de fevereiro de 2012 12:06 BRST
 

Por Joseph Menn

SAN FRANCISCO, Estados Unidos (Reuters) - Pelo menos meia dúzia de grandes companhias norte-americanas cujos computadores sofreram invasão de criminosos cibernéticos ou espiões internacionais não admitiram os incidentes, apesar das autoridades regulatórias agora recomendarem que esse tipo de ataque seja revelado.

Importantes funcionários do setor de segurança de computação do governo norte-americano acreditam que os ataques de hackers a empresas sejam muito frequentes, e a Securities and Exchange Commission (SEC) divulgou um extenso documento de "orientação", em 13 de outubro, delineando como e quando empresas de capital aberto deveriam reportar ataques de hackers e riscos de segurança na computação.

Mas passado um trimestre dessa orientação pela SEC, algumas grandes empresas que tiveram violações sérias em sua segurança digital continuam a manter os incidentes sob sigilo, e não os reportaram às autoridades e investidores.

A Lockheed Martin, uma companhia de defesa, por exemplo, anunciou em maio passado que havia conseguido resistir a um ataque "significativo e tenaz" de hackers às suas redes. Mas o recente relatório trimestral 10-Q que a empresa submeteu às autoridades sobre o período que inclui o ataque não menciona hackers nem entre os riscos genéricos, quanto mais admite o ataque.

Uma revisão pela Reuters de mais de 2 mil relatórios apresentados por empresas desde que a SEC divulgou sua nova orientação constatou que algumas companhias, entre as quais a VeriSign, que oferece serviços de infraestrutura de Internet, e a VeriFone Systems, operadora de cartões de débito, revelaram dados novos e significativos sobre ataques de hackers.

Mas a vasta maioria das empresas que consideraram a questão em seus documentos se limitou a empregar uma nova terminologia padronizada para descrever uma situação de risco genérico. E algumas vítimas de ataques de hackers nem isso fizeram.

"Não entendo porque as empresas não reportam os riscos cibernéticos", nem que apenas para evitar ações disciplinares da SEC ou processos privados", disse Jacob Olcott, antigo assessor jurídico do comitê de comércio do Senado dos EUA.

Stewart Baker, advogado e antigo secretário assistente do Departamento de Segurança Interna norte-americano, disse que a orientação da SEC era detalhada a ponto de forçar as empresas que sabem ter sido atacadas por hackers a "trabalhar muito para não revelar coisa alguma sobre o escopo e risco das intrusões".   Continuação...