Como foi possível acontecer isto?

Esta é a pergunta típica da administração ao diretor de sistemas ou de segurança da informação da empresa quando um ataque informático ou a fuga de dados ocorre. Nos casos mais mediáticos até já pode ser notícia nos media.

As pessoas comuns interrogam-se como é possível que empresas com recursos tecnológicos, humanos e financeiros não consigam ter proteções mais robusta. Numa época em que usamos tanto e estamos tão dependentes das tecnologias como acontece isto? E porque acontece com tanta frequência e com tantos prejuízos?

Um estudo da Gartner de 2021[1] refere que 88% dos conselhos de administração reconhece que a segurança cibernética é um risco de negócio e não apenas um problema de IT — acima dos 58% de cinco anos antes. Em 2022 o incidente da Vodafone foi um exemplo seja pelo impacto que teve na empresa, na sua rede, nas pessoas, nos seus clientes e em organizações críticas como hospitais. Foi também um caso de estudo de comunicação e de gestão da crise ao mais alto nível.

No último ano tivemos conhecimento de inúmeras organizações alvo de ataques bem sucedidos, de todos os setores, das mais variadas formas e com impactos muito diversos[2]. Muitos mais terão ocorrido sem virem a público. Inga Beale, a CEO do Lloyds Bank afirmou[3]: “Só há 2 tipos de organizações: aquelas que sabem que foram atacadas e aquelas que foram atacadas, mas não sabem”. No site Information is Beautiful é possível ver a cronologia dos principais ataques e fugas de informação[4].

A guerra da Ucrânia tem outra paralela a decorrer no ciberespaço. Já em 2017 a Maersk sofreu um rude golpe operacional e financeiro de 300 milhões, num dos maiores ataques da história, como dano colateral de um ataque russo à Ucrânia que visava interromper e danificar infraestruturas críticas[5].

Alguns defendem que o crescimento deste fenómeno está ligado à atual crise económica que leva a que muitos se dediquem a isto para ganharem dinheiro. A tendência será continuar a crescer num ciclo em que mais dinheiro vai dar origem a mais recursos num círculo vicioso muito negativo[6].

Os motivos

As motivações são variadas. Muitas são financeiras seja pelo pedido de um resgate (ransomware) para recuperar a informação entretanto encriptada e que impede a sua utilização, para evitar a venda de dados pessoais na darkweb ou para evitar as pesadas multas por não cumprir com a lei.

Outras motivações devem-se ao desejo de perturbar ou parar a operação das empresas ou organizações seja para fins económicos ou como trofeus dos atacantes (hackers) que mostraram as suas capacidades. O roubo de informação, seja de dados pessoais ou se informações industriais relevantes, é outro motivo importante. Existem também motivos de vingança, por exemplo destruir para prejudicar organizações concorrentes, atacar estados, organizações políticas ou movimentos com os quais existem fortes divergências.

Como acontecem os ataques?

Por vezes é possível saber como acontecem os ataques. No caso da fuga da Target em que os dados de 70 milhões de americanos foram expostos, nomeadamente de cartões de crédito, a porta de entrada foi por um fornecedor de ar condicionado. Os atacantes estiveram na rede durante semanas a recolher dados, fazendo as suas atividades nas horas normais para não serem detetados.

Muitas vezes a análise forense tem bastantes dificuldades em desenhar o processo de ataque porque as pistas foram cuidadosamente apagadas. Estas análises por vezes acabam por não ser possíveis porque os registos de autenticações na rede foram desligados para não consumirem espaço em disco, ou porque determinados programas não foram devidamente atualizados, ou porque não se teve a segurança e os registos como prioridades no desenvolvimento das aplicações. Por vezes os sistemas de deteção alertam para muitos falsos positivos o que leva ao desligar desses sistemas ou a não valorizar os alertas recebidos.

Assiste-se a uma sofisticação cada vez maior dos ataques e a combinação de vários métodos o que torna mais difícil a sua deteção e combate. Se antes eram indivíduos isolados, hoje são cada vez mais grupos organizados e cooperantes com outros que executam ataques concertados. A criatividade humana e o poder crescente da tecnologia estão a ser amplificados pela inteligência artificial que coloca esta questão num patamar de relevo muito significativo. Estes ataques acabam por ter implicações profundas na confiança das pessoas, das organizações e da sociedade em geral.

A confiança e a cooperação

A confiança e a cooperação são aspetos cruciais da cibersegurança. A falta de confiança pode levar as pessoas a não fornecerem informações confidenciais, a não usarem sistemas específicos, e a desconfiar das autoridades e organizações que gerem essas informações e sistemas.

Por outro lado, quando as pessoas confiam em um sistema ou em uma organização, elas podem fornecer informações confidenciais, usar os sistemas e seguir as orientações. A confiança é construída através da transparência, comunicação aberta e honesta, e a demonstração de que as informações e sistemas estão seguros e protegidos.

Além disso, a confiança é uma parte importante da continuidade dos negócios, se as pessoas não confiam numa organização ou em um sistema, isso pode afetar a sua capacidade de operar eficazmente. Assim, as organizações devem trabalhar constantemente para ganhar e manter a confiança das pessoas, através de práticas e políticas de cibersegurança sólidas e transparentes.

A cooperação é importante porque a segurança cibernética é uma tarefa complexa que envolve muitos atores diferentes, incluindo organizações, governos, e indivíduos. A cooperação entre esses atores é essencial para identificar e responder rapidamente às ameaças cibernéticas. Isso inclui a cooperação entre organizações para partilhar informações sobre ameaças e vulnerabilidades, bem como a cooperação entre organizações e governos para desenvolver políticas e regulamentos de segurança cibernética.

Reforçar a confiança nas organizações

Existem várias maneiras de reforçar a confiança nas organizações em termos digitais, nomeadamente:
1.    Transparência: As organizações devem ser transparentes sobre como os dados são recolhidos, armazenados e utilizados. É importante fornecer informações claras e fáceis de entender sobre as políticas de privacidade e segurança.
2.     Comunicação aberta e honesta: As organizações devem ser honestas e abertas sobre quaisquer incidentes de segurança que ocorram. Isso inclui fornecer informações precisas e tempestivas sobre como os incidentes foram detetados e corrigidos.
3.     Segurança de dados: As organizações devem investir em medidas de segurança robustas para proteger dados confidenciais, como criptografia, autenticação de utilizadores e proteção contra ameaças cibernéticas.
4.     Compliance: As organizações devem seguir normas e regulamentos aplicáveis, como o RGPD, HIPAA, ISO 27001 e outros, para garantir que estão a proteger os dados e sistemas de forma adequada.
5.     Formação e sensibilização: As organizações devem investir em formação, para sensibilizar, responsabilizar e seguir as melhores práticas de segurança informática.
6.     Monitorização contínua: As organizações devem vigiar constantemente seus sistemas e redes para detetar e responder rapidamente a qualquer ameaça.
7.     Certificações: As organizações podem obter certificações reconhecidas internacionalmente, como a ISO 27001, PCI DSS, SOC 2, entre outras para demonstrar o seu compromisso e resultados em segurança de dados e sistemas.

Estas são apenas algumas das maneiras pelas quais as organizações podem reforçar a confiança das pessoas em termos digitais. É importante notar que estas medidas precisam ser constantemente revistas e atualizadas para garantir a melhoria contínua da proteção de dados e sistemas.

Tipos de ataques

Existem várias formas pelas quais as organizações podem ser atacadas de forma digital, por exemplo:
1.     Phishing: Os atacantes enviam e-mails ou mensagens de texto falsas que parecem ser de fontes confiáveis, como bancos ou organizações governamentais, pedindo informações confidenciais, como senhas ou números de cartão de crédito.
2.     Ransomware: Os atacantes infetam um computador ou rede com malware que criptografa os dados, tornando-os inacessíveis, e exigem um resgate para desbloquear os dados.
3.     Ataques de negação de serviço (DoS ou DDoS): Os atacantes inundam um sistema ou website com tráfego falso, tornando-o incapaz de responder a solicitações legítimas, ou impedindo o acesso ao sistema/website.
4.     Exploração de vulnerabilidades: Os atacantes procuram e exploram vulnerabilidades conhecidas em sistemas ou aplicativos para ganhar acesso não autorizado.
5.     Ataques de engenharia social: Os atacantes usam técnicas de persuasão para obter informações confidenciais, como senhas ou números de cartão de crédito, de funcionários da organização.
6.     Ataques de APT (Advanced Persistent Threat) : Ataques onde os invasores conseguem entrar em uma rede e permanecer ocultos durante muito tempo enquanto recolhem informações valiosas, ou se preparam para causar danos, como no caso da Target.

Esses são apenas alguns exemplos de como as organizações podem ser atacadas de forma digital. É importante estar atento e preparado para lidar com esses tipos de ameaças, através de medidas de segurança robustas e de monitoramento contínuo de suas redes e sistemas.

A segurança de uma organização, e dos seus dados, é uma tarefa da responsabilidade de todos. Alguns dedicam-se a isso e está na sua lista de tarefas, mas cada um tem de a ter bem presente nos seus conhecimentos, preocupações, decisões e comportamentos. As pessoas podem ser o elo mais forte ou o mais fraco na cadeia de segurança e isso depende de nós.


^[1] https://www.gartner.com/en/articles/whose-job-is-it-to-manage-cybersecurity-hint-stop-pointing-at-the-cio

^[2] https://securityintelligence.com/articles/13-costliest-cyberattacks-2022/ 

^[3] https://www.bain.com/insights/future-of-the-digital-economy-world-economic-forum-video/ 

^[4] https://www.informationisbeautiful.net/visualizations/worlds-biggest-data-breaches-hacks/ 

^[5] https://seginfo.com.br/2020/10/08/caso-maersk-saiba-como-o-notpetya-foi-responsavel-por-um-dos-maiores-ataques-ciberneticos-da-historia/ 

^[6] https://securityintelligence.com/articles/cybersecurity-trends-ibm-predictions-2023/