Fullcover

Métodos de ciberataque e impacto nos negócios

Os riscos cibernéticos não se limitam apenas a grandes empresas, infraestruturas críticas, governos ou grandes cadeias de abastecimento; ninguém está a salvo.

Métodos de ciberataque e impacto nos negócios
Quando Jimi Hendrix cantou Bleeding Heart de Elmore James, estava longe de imaginar que viria a ser vítima de usurpação de direitos de autor após a sua morte em 1970. A canção falava de desolação e desgosto, e o Heartbleed Bug, que em 2014 colocou 300 000 servidores da Internet em situação de vulnerabilidade, veicula, ironicamente, a mesma mensagem.

Juntamente com inúmeros outros métodos de ciberataque, este bug ameaça desviar centenas de milhões de dólares de empresas e instituições governamentais de diferentes nacionalidades, provocando grande preocupação e ansiedade. O resistente Shellshock Bug afeta de cerca de 70 % das máquinas em termos de vulnerabilidade e tem permanecido indetetável nos últimos 20 anos.

Com 120 000 novos ciberataques por dia, e um crescimento anual de 60%, não é de surpreender que a ciber-segurança comece a adquirir uma crescente importância nos orçamentos das áreas das Tecnologias de Informação (TI) e nos programas de gestão do risco das empresas.

Em 2013, 3000 empresas norte-americanas não tinham conhecimento de que estavam a ser alvo de intrusões cibernéticas até serem notificadas nesse sentido pelo FBI e, em 2014, as organizações que sofreram quebras de segurança registaram uma média anual de perdas pecuniárias de cerca de 400 000 dólares.

Os riscos cibernéticos não se limitam apenas a grandes empresas, infraestruturas críticas, governos ou grandes cadeias de abastecimento; ninguém está a salvo. Como poderão as empresas enfrentar a necessidade urgente de um programa sólido de segurança cibernética? 

Apesar de existirem vários frameworks de qualidade, a maior parte começa pela classificação e identificação de métodos de ciberataque que são decisivos para a análise da motivação e para a mitigação dos danos.

Quer se trate de incidentes patrocindos por Estados, propaganda, atos criminosos em si, ou levados a cabo por hactivists (hackers ativistas), o custo anual da cibercriminalidade para a economia global é de 300 a 500 mil milhões de dólares, na estimativa da McAfee. A gravidade do problema esteve na origem da "Executie Order” do Presidente dos EUA de 2013, e da criação do Cyber Security Framework, pelo National Institute of Standards and Technology (NIST).

Infelizmente, o panorama da cibercriminalidade não se limita apenas ao roubo organizado, tendo igual- mente a ver com uma crescente complexidade e técnicas sofisticadas. Um mapeamento dos principais ciberataques identifica combinações criativas de métodos cibernéticos conhecidos, designadamente os seguintes: (1) Malware: vírus, worms, cavalo de Tróia, spyware, adware, scareware; (2) Injeção de SQL: comandos SQL; (3) Spear phishing: e­mails fraudulentos; (4) DDoS: ataques que bloqueiam a disponibilidade de serviços na rede, no sistema ou on­line; (5) Ataques XSS: scripts maliciosos escondidos em websites; (6) Watering Hole: ataque oportunístico através da introdução de um código malicioso numa página na Internet; (7) APT ou "Advanced Persistent Threat”: ataque persistente, implacável e indetetável visando dados confidenciais ou propriedade intelectual, sendo a operação de deteção e recuperação dispendiosa.

A gravidade destes ataques sofisticados pode ser demonstrada pelo facto de, em 2013, a Adobe ter visto comprometidos os dados de 150 milhões dos seus clientes como resultado de malware e APT injetados nos seus sistemas.

A Target Inc. também teve de pagar um preço elevado pelo facto de dados pessoais de 70 milhões de pessoas e de os dados de 40 milhões de cartões terem ficado comprometidos na sequência de um ataque que combinou APT, malware e spear phishing. Em 2014 a JP Morgan foi alvo, durante três meses, de um ciberataque não detetado que conferiu aos hackers o mais elevado nível de acesso a mais de 90 dos servidores do banco. Consequentemente, foi violada a confidencialidade dos dados de 76 milhões de famílias e de sete milhões de pequenos negócios. Surpreendentemente, nove outras instituições financeiras foram também alvo de ataque pelo mesmo grupo, alegadamente originário da Rússia.

Novas tecnologias têm permitido novas táticas de ataque. Sistemas de ponto de venda (POS), sistemas de pagamento digital, a Internet das Coisas, a computação em nuvem e a utilização de suportes móveis têm acrescentado novas dimensões, com um número crescente de worms e vírus penetrando em sistemas vulneráveis.

Independentemente dos métodos utilizados – externos ou internos, em desktop ou sistemas móveis – as empresas são hoje confrontadas com a necessidade de manter a credibilidade corporativa e de proteger dados confidenciais, com enormes consequências no que diz respeito aos custos após um ciberataque.

A perda de negócio e a diminuição da confiança dos clientes podem ter consequências duradouras para a imagem da marca e para a reputação da empresa, construídas ao longo dos anos, enquanto as entidades governamentais têm de enfrentar as consequências nocivas da ciber-espionagem que constitui uma ameaça para os serviços públicos ou mesmo para a segurança nacional. O ransomware é a nova tendência de ataque cibernético que ameaça tanto os utilizadores individuais como as empresas com pedidos de resgate para a recuperação dos seus próprios dados.

Para se protegerem da cibercriminalidade, as empresas de hoje precisam de compreender de que forma poderão implementar medidas preventivas através de um sistema organizativo de cibersegurança.

Uma abordagem faseada para delinear uma estratégia de cibersegurança incluirá:

1. Efetuar uma análise da vulnerabilidade do sistema de TI para identificar e avaliar as fontes internas e externas, incluindo adjudicatários, fornecedores subcontratados, e empregados;

2. Definir procedimentos de segurança no dia-a-dia;

3. Proteger os sistemas de TI:
a. Ativar firewalls,
b. Testar os sistemas dos fornecedores antes de lhes dar acesso à rede interna,
c. Utilizar as versões mais atualizadas de software antivírus e antispyware,
d. Testar a vulnerabilidade dos dispositivos móveis,
e. Monitorizar a ligação à Internet;

4. Utilizar hackers ‘de chapéu branco’1 para testar a implementação;

5. Celebrar acordos de proteção da propriedade intelectual;

6. Executar atualizações periódicas do sistema e ativar atualizações automáticas para todos os sistemas operativos;

7. Atualizar e avaliar o software mais utilizado: Java, Adobe Reader, Microsoft Office, Flash, Internet Explorer: todos estes programas revelaram vulnerabilidades, em determinada altura;

8. Alterar frequentemente as palavras-passe e manter uma atitude prudente ao utilizar computadores públicos;

9. Nunca clicar em hiperligações de e­mail nem efetuar o download de anexos sem verificar a sua autenticidade;

10. Assegurar a existência de informação frequentemente aos colaboradores, por parte da administração e direção da empresa, sobre comportamento seguro no ciberespaço e sobre programas de sensibilização para a segurança.

Estudos recentes revelam que boas práticas, tais como a avaliação da vulnerabilidade dos sistemas de TI, uma política de gestão de contas / palavras-passe, a inclusão de riscos cibernéticos nos programas de gestão do risco, ou a adoção de sistemas de deteção de intrusões, têm sido consideradas como medidas preventivas de sucesso nas organizações governamentais.
 

Por Ernest Legrand, CEO Webcbg


Descubra o mundo MDS