Crónica de um ciberataque anunciado

Os equipamentos dos colaboradores são mais vulneráveis nas suas redes “caseiras” e as infiltrações nas redes corporativas por esta via tornam-se mais fáceis. Por outro lado, a ciber delinquência tornou-se acessível. Existe software de intrusão na internet e algumas formas de ataque já têm lógica as-a-Service: Ransomwares-aaS; Malware-aaS. Por 50 euros é possível ter um software que rouba passwords.

É altura das empresas, independentemente da sua dimensão, criarem um plano de cibersegurança. O “Plano de Resposta a Emergências e Medidas de Autoproteção” aplicado em caso de incêndio deve ser alargado à cibersegurança, obedecendo aos mesmos três vetores principais:

Aumentar a defesa

Perceber quais são os maiores perigos. É pelos browsers e pelo e-mail que se distribui muitos dos malwares e, mesmo sem estar ligado à internet, é possível ser-se alvo de ataque. O Stuxnet na Central Nuclear Iraniana, desligada da internet, foi inserido através de uma Pen Drive.

Os perigos não são novos. Invariavelmente acontecem e passam muito pelo comportamento dos utilizadores: Distribuição de Malawre, phishing, privilégios de administração, utilização de equipamentos corporativos para uso pessoal, etc. E as soluções passam pela aposta na formação e awareness, investimento em tecnologia (SW/HW atualizados), passwords fortes, bons End Point Management tools, etc.

Mitigar o risco

Estar preparado para absorver a onda de choque de um ataque. Tal como numa catástrofe, os fatores mais devastadores são o pânico e o descontrolo, que geram más decisões. É importante saber reagir, saber que decisões devem ser tomadas e de que forma.

Algumas empresas optam pela transferência do risco para um seguro contra incidentes de segurança em TIC mas, de acordo com o Relatório Nacional de Cibersegurança de 2020, apenas 10% das empresas portuguesas dispunham desta possibilidade. Geralmente, os cartões de débito/crédito estão protegidos por seguros, mas o elevado número de incidentes recentes e os rankings sobre segurança nas empresas fazem o prémio do seguro variar.

Outra Best Practice é fazer backups regulares. No caso de um ransomware, é importante conseguir reconstruir o sistema noutro local através dos backups existentes, não só dos dados, mas de toda a infraestrutura. No caso do NotPetya, a Maersk recuperou a AD através de uma cópia que existia noutro escritório.

Recuperar a operação

Cada dia que passa sem operar representa perdas significativas. Em março deste ano, uma empresa portuguesa foi atacada e nos dois que esteve parada para reconstruir os sistemas de informação teve uma perda de 2,5 milhões de euros.

A recuperação deve por isso ser planeada. As grandes empresas têm um plano de Disaster e Recovery e de Business Continuity, tendo algumas o adaptado para a cibersegurança, mas as de menor dimensão também devem ter essa preocupação. Os ataques são muito mais nefastos que a destruição um disco de um sistema e podem significar a perda de muito trabalho.

Conclusão

Ainda não sofreu nenhum ciberataque? Se ainda não implementou estas Best practices teve, provavelmente, sorte.

Empresas totalmente seguras não existem. A Segurança total é infinitamente cara e torna o trabalho dos colaboradores impraticável. É um equilíbrio difícil de alcançar.

Adicionalmente, as empresas tornaram-se peças no xadrez da ciberguerra mundial. Serão alvo de Supply Chain Attacks que bloqueiam a sua operação, sobretudo se forem estratégicas. Estes ataques são capazes de inviabilizar a capacidade de resposta de países, sem que estes consigam perceber quem está a atacar.

As empresas devem encarar a cibersegurança como um departamento estratégico. Ter um CSO, criar um Security Operations Center e ter práticas bem definidas sobre privilégios e acessos são elementos básicos na garantia do seu bom funcionamento.

Em suma, invista em tecnologia própria e atual (SW e HW), mas nunca delegue nesta toda a responsabilidade. Invista no fator humano, no combate à leviandade de utilização e responsabilize quem não cumpre. Tenha um plano de resposta e crie regras de monotorização da atividade da sua rede, mesmo no trabalho remoto. Ou seja, prepare-se… porque vai acontecer.