Nos últimos dois anos, o grupo Impresa, os laboratórios Germano de Sousa, a Sonae MC, o Hospital Garcia de Orta, a Eletricidade dos Açores, a TAP e a Segurança Social sofreram ciberataques. São instituições insuspeitas de descuidarem a prevenção. Como se explica isto? A prevenção não é afinal suficiente?
Todas as instituições acima mencionadas têm uma dimensão que não permite descuidos na prevenção, certamente com rubricas nos seus orçamentos que endereçam a cibersegurança. No entanto, e mesmo com inúmeras camadas de proteção e uma boa estratégia de prevenção, não existe uma garantia a 100% que não haverá ataques. Os cibercriminosos estão a evoluir a uma velocidade astronómica, reinventando-se constantemente com novas técnicas para passar pelas camadas de segurança e, mesmo com um acompanhamento e monitorização 24/7, os ataques podem ser bem-sucedidos.
Por isso, as questões pertinentes que se colocam nesta fase passam a ser: Qual é a melhor solução? Aquela que me dá mais garantias? Como consigo garantir que a minha escolha é a mais acertada?
Não é por ter um conjunto de camadas de proteção que, mesmo assim, não se pode ser atacado.
Um museu pode ter um sistema de alarme sem fio, câmaras de segurança, sensores de movimento, fechaduras e segurança a fazer rondas periódicas e, ainda assim, ser assaltado.
A resposta é escolher a solução mais acertada e que garanta a resposta mais profissional, capaz e rápida possível. O mesmo se passa com a cibersegurança. Sabendo que hoje a corrida entre gato e rato é cada vez mais apertada e que, tendencialmente, o rato consegue ganhar.
Qual o perfil destes ataques? Incidiram essencialmente sobre o quê?
Se, por um lado, um ataque, por mais pequeno que seja, afeta a reputação das organizações com uma rápida exposição, por outro a incidência destes tipos de ataques tem como principal objetivo o roubo da informação e, por consequente, a divulgação dos dados roubados ou a capitalização do cibercrime com um possível pagamento do resgate. Por norma, estas organizações têm serviços ativos e críticos diretamente ligados à população. Por isso, qualquer paragem e exposição dos dados roubados pode trazer perdas enormes para as organizações, sendo um alvo só por si mais apelativo. Assim, enquanto empresas com mais exposição mediática, existe sempre uma predisposição assumida do pagamento de um resgate dos dados em detrimento de uma paragem alargada dos seus serviços.
O que é mesmo essencial fazer, do ponto de vista preventivo, para diminuir a exposição a ataques informáticos?
Se puder resumir em tópicos, diria que a formação e educação do utilizador; tecnologia; estratégia ‘’zero-trust’’; desenvolvimento de políticas de segurança e serviços geridos. Estes são os cinco principais tópicos que devem ser explorados para a diminuição da exposição.
É fundamental fornecer formação em segurança cibernética aos colaboradores. A consciencialização e a adoção de boas-práticas, como não clicar em links ou abrir anexos de fontes desconhecidas, relatar imediatamente qualquer atividade suspeita e mesmo conhecer os tipos de ataques mais comuns são dos primeiros passos que devem ser adotados para minimizar o risco. Muitas vezes, é pelo erro humano que se abre uma porta para os atacantes, e a consciencialização destes temas é crítica no combate ao cibercrime.
Para além da escolha de antivírus e antimalwares eficazes e atualizados para proteger os computadores e dispositivos móveis (endpoints), devem ser implementadas firewalls pessoais e na rede – de forma a controlar o tráfego e impedir acessos não autorizados -, bem como políticas de segurança para limitar o acesso a dados sensíveis.
Formação e educação do utilizador; tecnologia; estratégia ‘’zero-trust’’; desenvolvimento de políticas de segurança e serviços geridos. Estes são os cinco principais tópicos para diminuir a exposição ao ciberataque.
Outra questão crucial é garantir que todos os sistemas operativos, aplicações e softwares de segurança estão sempre atualizados com as versões mais recentes e patches de segurança.
O princípio de “zero trust” que há pouco referi implica que todos os acessos, internos ou externos, sejam verificados e autorizados, independentemente da localização da rede. Também os acessos aos dados devem ser restringidos ao máximo, garantindo que os colaboradores apenas acedem ao que lhes é necessário para o cumprimento das suas funções.
A utilização de autenticação de vários fatores (MFA) é fundamental, sempre que possível, para adicionar uma camada adicional de segurança às contas dos utilizadores, no entanto, deve-se também evitar compartilhar senhas e incentivar a criação de senhas fortes e exclusivas para cada conta ou serviço.
As políticas de segurança são medidas que devem ser desenvolvidas com base nas especificidades das organizações. Mas há bases comuns a todas as organizações, das quais destaco: manter os registos de todas as atividades e realizar auditorias regulares de forma a detetar aquelas que são suspeitas ou até violações de segurança e, também, ter um plano de business continuity e de recuperação de desastres, para poder lidar com incidentes de segurança de forma eficaz.
Muitas empresas/organizações começam a optar por terem um Security Operations Center (SOC) interno ou externo. Nos externos, a opção passa por contratar empresas neste segmento de mercado ou soluções já disponíveis em alguns fabricantes. Enquanto equipas de especialistas com experiência neste tipo de ataque, concentram as atividades na monitorização, deteção precoce, resposta e mitigação de ameaças em todas as camadas de segurança da organização.
E no pós-ataque, o que fazer técnica e juridicamente?
Como já referi, apesar da prevenção ser crucial, não impede que um ciberataque aconteça. Por isso, em caso de ataque, existe um conjunto de medidas que devem ser asseguradas de forma a minimizar o impacto e controlar os danos.
A nível de medidas técnicas, é fundamental seguirmos cinco ou seis passos como o isolamento e avaliação do ataque; isolar os sistemas afetados e avaliar a extensão do ataque; remover o malware e restaurar os sistemas com recurso a profissionais especializados; se houver backups, proceder à recuperação dos mesmos assim que o sistema estiver limpo; através de uma análise, perceber a origem do ataque para encontrar quais as vulnerabilidades que foram exploradas e abriram porta ao ciberataque de modo a fortalecer a cibersegurança no futuro; proceder à alteração de todas as passwords que foram comprometidas e garantir sempre a autenticação de dois fatores e, por fim, é fundamental fazer uma análise profunda da política de cibersegurança e das ferramentas utilizadas de forma a investir nas soluções que melhor se adequem à proteção dos dados e sistemas, garantindo sempre a formação e consciencialização dos colaboradores.
No que diz respeito a medidas jurídicas, é importante registar todos os detalhes – data e hora em que ocorreu o ataque, como foi descoberto e quais as consequências – e notificar as autoridades, Polícia Judiciária e Centro Nacional de Cibersegurança (CNCS); recorrer a um advogado especialista em direito digital, de modo a perceber qual o impacto jurídico do ciberataque e conhecer os direitos e obrigações legais a cumprir; caso tenham sido violados dados pessoais, deve-se comunicar à Comissão Nacional de Proteção de Dados (CNPD) dentro do prazo estabelecido e seguir as indicações que forem recebidas; recolher provas para a investigação a decorrer e, se for o caso, para o processo legal é importante ter todos os registos de acesso, logs do servidor ou qualquer outra informação relevante e, por fim, é necessário acompanhar as investigações, mantendo contacto com as autoridades responsáveis e colaborando ativamente.
