Por Nuno Cândido Cloud 6 Security associate director na Noesis
E.D.: De acordo com o novo relatório da Verizon sobre Data Breaches (DBIR), o ransomware registou em 2021 um aumento de 13%. Este é o maior problema de cibersegurança com que as empresas têm de se preocupar?
N.C.: Sim, este é, de facto, um dos maiores desafios que as organizações enfrentam nos dias de hoje, independentemente do seu perfil, sector de actividade ou dimensão. A evolução tecnológica e a sofisticação dos ataques são cada vez maiores, e em maior número. A cibersegurança é um problema que nos afecta a todos, não só a nível empresarial, mas também a nível individual. É muito importante analisar os riscos a que estamos expostos e definir roadmaps que os permitam mitigar. A cibersegurança já não é apenas um tema dos departamentos de TI, é um tema central que deve estar na agenda de qualquer CEO.
E.D.: Este aumento foi tão grande no último ano como nos cinco anos anteriores combinados. Como se explica esta "explosão" de ransomware?
N.C.: A "explosão" de ransomware deu-se essencialmente devido ao facto de que os últimos dois anos redefiniram a forma como as empresas vivem, governam e conduzem os seus negócios. O salto tecnológico foi de tal forma, que proliferou a incorporação de novas capacidades tecnológicas e o desenvolvimento de estratégias cloud, suportadas por modelos flexíveis de IaaS e PaaS e pela corrida ao consumo de aplicações SaaS. A pandemia de Covid-19 e a consequente adopção do teletrabalho veio adicionar ainda maior dificuldade na segurança de informação das empresas. Com negócios cada vez mais digitalizados, milhões de colaboradores a trabalhar a partir dos seus escritórios domésticos, e outros milhões de consumidores a adquirir produtos a partir dos seus telemóveis, proteger os dados confidenciais tornou-se crítico. A evolução digital veio facilitar o quotidiano das pessoas, bem como a eficiência nas organizações, é verdade, mas veio também colocar à prova os sistemas de cibersegurança das empresas. A aceleração digital foi "terreno fértil" para um aumento exponencial de ciberataques, nomeadamente ataques de ransomware. Deste modo, é imperativo que as equipas tenham à sua disposição todas as ferramentas
E.D.: Desde o início da guerra na Ucrânia, os ciberataques de uma forma geral, e não apenas o ransomware, têm vindo a aumentar. As empresas portuguesas têm noção deste acréscimo exponencial de risco?
N.C.: Diria, genericamente, que sim. Os temas da cibersegurança estão cada vez mais na agenda do dia e no topo das preocupações das empresas. Todas as empresas, independentemente do seu sector de actividade, devem estar preparadas, e é verdadeiramente relevante que as organizações desenvolvam uma cultura de ciberdefesa com a premissa de que um dia serão atacadas. Começando pelos CEO e terminando nos colaboradores, que no dia- -a-dia garantem a operação. O foco deverá estar no trabalho cooperativo entre a organização, colaboradores, fabricantes de soluções de cibersegurança e consultoras TI especializadas neste tipo de serviços. É necessário garantir as capacidades de segurança da tecnologia, holísticas em relação à especificidade das arquitecturas de TI, que permitam minimizar o risco e mitigar o impacto de um ciberataque.
E.D.: Quais os aspectos que tornam este tipo de actividade tão apetecível para os cibercriminosos?
N.C.: Além das vulnerabilidades existentes em hardwares e softwares, os cibercriminosos também têm explorado as vulnerabilidades em torno dos colaboradores das empresas. Assim, investir numa Arquitectura de Segurança é fundamental. Fenómenos como a clonagem de websites ou esquemas de ransomware são formas recorrentes de tentativa de intrusão e de captação indevida de credenciais de acesso e dados pessoais/pagamento, entre outros dados críticos. A transmissão de dados pessoais, sem uma prévia fiscalização, é o primeiro passo para sermos vítimas deste tipo de ataques.
E.D.: É comum as empresas pagarem resgates para recuperar os seus dados?
N.C.: Não temos dados que o possam aferir, até porque muitas vezes as empresas que são atacadas não o divulgam, com receio que essa informação possa provocar danos reputacionais. Da mesma forma, é ainda menos frequente que assumam o pagamento de um resgate, no caso de o terem feito. De qualquer forma, com a entrada destes temas na agenda mediática e nas prioridades das organizações, há cada vez maior consciência nas organizações de que o pagamento de um resgate não é, de todo, a melhor abordagem em caso de ataque. O pagamento de resgates, no fundo, legitima, perpetua e, de certaorma, incentiva estas acções criminosas.
E.D.: Que outras formas existem para recuperar deste tipo de ataque?
N.C.: No que à tecnologia diz respeito, as organizações estão a apostar na aplicação de procedimentos de backup & restore, soluções de Endpoint Detection & Response (EDR), soluções de Mobile Device Management (MDM) e implementação de Multi Factor Authentication (MFA). É necessário mudar o paradigma na prevenção - procurar comportamentos anómalos, ao invés do foco na procura de comportamentos maliciosos. E esta mudança de paradigma está mais próxima do que possamos pensar. Os algoritmos de inteligência artificial são um dos pilares fundamentais para a automatização da cibersegurança, e uma resposta aos limites da capacidade humana. A inteligência artificial é um forte aliado ao serviço da cibersegurança e um investimento essencial nos dias de hoje.
E.D.: O que podem as empresas fazer para prevenir este tipo de ataques?
N.C.: No que à segurança diz respeito, o que defendemos junto dos nossos clientes é a necessidade de se focarem na Arquitectura de Segurança, através de uma abordagem holística que inclua capacidades tecnológicas "inteligentes" e que contemple standards, guidelines, processos e práticas, que garantam mecanismos de salvaguarda das políticas de segurança e de privacidade da informação e dos acessos.
Esta visão pode ser, muito sucintamente, apresentada na framework Security & Privacy by Design:
- Soluções e serviços cloud-oriented: que apoiem o uso crescente de ambientes Multicloud, capazes de controlar os acessos em pontos onde a política de segurança deve ser aplicada, desde on-premise até aos diferentes modelos de deployment. Soluções de Intelligent Monitoring capazes de detectar todos os tipos de ameaças: internas, ciberataques, filtragem, manipulação de dados e ameaças do supply chain.
- Mecanismos de Compliance e Auditing: adequados a cada um dos diferentes modelos de deployment. A segurança das aplicações e dos dados que transitam entre elas não pode ficar sob a responsabilidade individual de cada Service Provider.
- Governante de dados: com o aumento da mobilidade, da crescente adopção de aplicações SaaS e do shadow IT, a capacidade de governar o uso de aplicações na cloud é essencial para assegurar o cumprimento das políticas de segurança E2E.
- Digital Identity: as soluções de Identity and Access Management (IAM) devem possuir níveis de sofisticação que permitam federar a autenticação em multiambientes e gerir o aprovisionamento de forma integrada e segura.
- Cybersecurity Managed Services: serviços que actuem 24x7 com talentos altamente qualificados e experientes, versados na utilização de tecnologias de ponta e princípios proactivos de prevenção e neutralização de ameaças.
- Next-Gen Cybersecurity: ambientes cloud mais complexos e esquemas de intrusão cada vez mais sofisticados exigem paradigmas e soluções mais exigentes, automatizadas e sofisticadas, com recurso a soluções que incorporem AI e algoritmos de auto- -aprendizagem.
E.D.: O erro humano ainda é a maior porta de entrada nos sistemas para os hackers?
N.C.: O phishing é urna ameaça bem presente, cada vez mais sofisticada e preocupante, e um exemplo ilustrativo da vulnerabilidade do factor humano. É, por isso, importante que todas as organizações, independentemente da sua dimensão ou sector de actividade, estejam cada vez mais atentas e preparadas para este tipo de fenómenos. Também ao nível individual, exige-se atenção redobrada aos colaboradores, quando respondem a emails, ou quando acedem a informação.
E.D.: A formação dos colaboradores chega para resolver o problema?
N.C.: Não chega, mas é uma componente fundamental. O relatório anual da Expel conclui que a maioria dos ataques de ransomware em 2021 foi auto-instalada. No referido relatório, os investigadores identificaram que oito em cada dez ataques por ransomware ocorreram por erro humano, depois de as vítimas terem aberto um ficheiro com código malicioso. É, por isso, fundamental que todas as organizações estejam cada vez mais atentas e preparem os seus recursos humanos. Os colaboradores são partalada. No referido relatório, os investigadores identificaram que oito em cada dez ataques por ransomware ocorreram por erro humano, depois de as vítimas terem aberto um ficheiro com código malicioso. É, por isso, fundamental que todas as organizações estejam cada vez mais atentas e preparem os seus recursos humanos. Os colaboradores são parte essencial no processo de ciberdefesa. Assim, a formação assume um papel muito importante. As organizações podem e devem realizar simulações de ransomware regulares junto dos seus colaboradores. Este tipo de iniciativas e testes permitem não só avaliar o nível de preparação e atenção dos colaboradores a possíveis ataques, mas também para que todos se preparem da melhor forma possível para lidar com ameaças reais. Por outro lado, também é essencial que sejam criadas comunicações internas regulares e acções de sensibilização que expliquem às equipas os diferentes tipos de malwares, e as sensibilizem para a questão. É crítico apostar na formação constante das equipas, preparando-as para agir deforma adequada em caso de ataque. O que as organizações estão (ou deviam estar) a fazer é a colocar a segurança na sua agenda e o foco no aumento da resiliência das suas infra-estruturas, a medir continuamente o níve de maturidade dos seus componentes tecnológicos e a criar programas internos de criação de uma verdadeira cultura de cibersegurança, numa lógica contínua e de longo prazo. Mas a formação dos colaboradores não chega. É necessário acompanhar o desenvolvimento tecnológico e a sofisticação crescente dos ciberataques. Nesse capítulo, a inteligência artificial surge como um forte aliado ao serviço da cibersegurança e um investimento fundamental para aumentar a segurança nas organizações e capacitar as próprias equipas de TI, retirando-lhes grande parte do esforço de análise e permitindo-lhes um maior foco no que é importante, o negócio e os objectivos da organização.
E.D.: Em que situações o investimento em tecnologia se torna fundamental para proteger os sistemas?
N.C.: É fundamental que as organizações apostem na sofisticação tecnológica, e na capacitação das suas equipas para a defesa dos seus sistemas mais críticos. Nesse sentido, há alguns passos que ajudam as organizações e, consequentemente, os seus colaboradores, a reduzir o risco. Olhando para os indicadores do Global Risks Report 2022, verifica-se que os riscos tecnológicos são ameaças críticas a curto e médio prazo, onde factores como a desigualdade digital e falhas de cibersegurança aumentaram exponencialmente.
Olhando para o futuro, é fundamental que o tema da cibersegurança seja cada vez mais central nas organizações e que o investimento nesta área seja efectivo e parte de qualquer estratégia de negócio.
A tecnologia de protecção está a conseguir acompanhar os avanços da tecnologia de ataque? Numa altura em que os ataques maliciosos são cada vez mais sofisticados, criativos e recorrentes é fundamental que os sistemas empresariais estejam à altura do desafio, capacitando as equipas de TI para detectar possíveis ameaças e agir sobre elas. E não existe melhor forma de o fazer do que através de IA e machine learning. Torna-se necessário que as organizaçõesapostem em soluções de segurança mais sofisticadas, monitorização avançada, observabilidade e automação, mais eficientes não só ao nível da detecção das ameaças, mas também na resolução e anulação das mesmas. Com a IA ao serviço da cibersegurança, é possível retirar grande parte do esforço de análise dos recursos humanos, permitindo às organizações proteger-se e prevenirem possíveis ataques de forma mais eficiente.
Publicado em Executive Digest
