Ameaças internas provocam prejuízos milionários, exigindo novos modelos de vigilância, cultura de segurança e gestão de riscos nas organizações
Imagem: Shutterstock
Uma ameaça interna se origina de funcionários ativos ou ex-colaboradores que, por possuírem acesso privilegiado, podem interagir diretamente com ativos, redes e dados de uma organização. Um insider malicioso apresenta, em geral, motivações associadas à espionagem, à apropriação indevida ou exfiltração de propriedade intelectual, à divulgação não autorizada de informações sensíveis, à sabotagem de processos ou ativos, à prática de fraude, bem como a atos de violência ou intimidação no ambiente de trabalho — todos caracterizados pelo potencial de comprometer a segurança cibernética da organização. Consultores, parceiros e provedores de serviços terceirizados também podem representar potenciais vetores de ameaça interna. Essas ameaças podem ser intencionais ou não intencionais, e nem todas as atividades são necessariamente maliciosas. Em alguns casos, os incidentes decorrem de pessoal não treinado ou de erros involuntários que comprometem a confidencialidade, integridade ou disponibilidade (CIA) de sistemas de tecnologia da informação (TI) e/ou operacional (TO).
Pesquisas recentes revelam que a maior parte das organizações enfrentou ao menos uma ameaça interna durante o ano de 2024, e que o custo médio de remediação após um ataque interno variou entre US$ 100.000 e US$ 499.000 para a maioria delas. Todavia, existem ocorrências em que o custo médio superou US$ 1 milhão, assim como há instituições que sofreram mais de seis ataques internos em 2024. Consequentemente, o impacto financeiro pode ser severo e, infelizmente, reflete uma tendência.
Em âmbito internacional, a CrowdStrike anunciou, em novembro deste ano, ter identificado um insider que compartilhou externamente capturas de tela de seu computador. Paralelamente, capturas de tela de sistemas da CrowdStrike foram postadas no Telegram por supostos integrantes de grupos de crime cibernético, como Scattered Spider e LAPSUS$.
No contexto brasileiro, foram registrados, dentre os casos conhecidos, dois incidentes contra o setor financeiro envolvendo insiders durante o ano de 2025. Em junho de 2025, ocorreu o caso da C&M Software, que resultou em acesso não autorizado a contas de reserva pertencentes a, pelo menos, seis instituições financeiras, culminando no desvio de mais de R$ 800 milhões. A violação foi facilitada por um insider, um funcionário que vendeu suas credenciais de acesso e, posteriormente, foi subornado para executar código malicioso nos sistemas da organização, em troca de R$ 15.000.
O segundo incidente envolveu a apreensão de um celular e de um notebook pertencentes a um funcionário do Banco do Brasil, o qual, supostamente, teria exigido R$ 1 milhão para facilitar uma intrusão cibernética nos sistemas bancários por meio da venda de suas credenciais de acesso a agentes maliciosos. Segundo as informações divulgadas, o Banco do Brasil detectou e interrompeu a tentativa por meio de mecanismos internos de monitoramento, acionando imediatamente as autoridades competentes.
No domínio das redes de TO e de sistemas de controle industrial (do Inglês, industrial control systems [ICS]), destaca-se o incidente de Maroochy, amplamente conhecido pela comunidade de cibersegurança industrial. Esse incidente ocorreu no então Maroochy Shire, na Austrália, entre fevereiro e abril de 2000, e envolveu um insider malicioso. O indivíduo sabotou a operação dos sistemas de controle de esgoto da comunidade, resultando no despejo de mais de 800.000 litros de esgoto não tratado em parques, rios e áreas residenciais. Relatórios apontaram consequências ambientais significativas, particularmente afetando a vida marinha da região. Testemunhas relataram o escurecimento de córregos e um odor intenso, considerado insuportável pelos residentes nas proximidades.
Seja em uma rede corporativa de um banco ou em uma rede industrial de uma planta siderúrgica, não se deve presumir que os colaboradores apresentem um grau de lealdade tal que jamais possam ser influenciados por ideologias, mudanças de alinhamentos ou incentivos pessoais capazes de caracterizá-los como ameaças internas. De modo semelhante, nenhum programa de monitoramento de comportamento de colaboradores é plenamente capaz de impedir a atuação de um insider sob coerção ou coação. Gestores e equipes de segurança não devem presumir que regras e procedimentos estabelecidos estejam sendo rigorosamente observados. Em determinadas circunstâncias, prioridades concorrentes podem levar supervisores a instruir suas equipes a flexibilizar políticas de segurança para cumprir metas. De modo semelhante, colaboradores podem deixar de seguir integralmente as diretrizes de segurança por diferentes razões, incluindo a percepção de que tal flexibilização aumentaria a produtividade ou reduziria eventuais inconvenientes no desempenho de suas funções.
As principais medidas de segurança contra ameaças internas compreendem a adoção de programas de conscientização em segurança, voltados ao treinamento contínuo dos colaboradores, e, de forma mais estruturada, a implementação de um programa de gerenciamento de riscos internos. Esse programa deve abranger o rastreamento, o monitoramento e o registro das interações dos usuários com os ativos da organização, bem como a implantação de controles de acesso compatíveis com o nível de criticidade dos sistemas de TI e TO.
Para informações adicionais sobre ameaças internas e estratégias de mitigação desses riscos, recomenda-se a consulta à terceira publicação do volume de 2025 das Ind.Cyber.Sec Letters, intitulada Understanding Insider Threats.
Luiz F. Freitas-Gutierres é pesquisador do Think Tank da ABES e professor adjunto no Departamento de Eletromecânica e Sistemas de Potência (DESP) da Universidade Federal de Santa Maria (UFSM). As opiniões expressas neste artigo não refletem, necessariamente, os posicionamentos da Associação.
*Artigo originalmente publicado no IT Forum em 15 de dezembro de 2025
