Madrugada de sexta-feira, 10 de dezembro de 2021. Um grupo hacker derruba o sistema do Ministério da Saúde. No ar, a seguinte mensagem: “Os dados foram copiados e excluídos. Nos contatem caso queiram o retorno”. O aviso era assinado por Lapsus$ Group. A quadrilha apareceu de novo em 19 de fevereiro de 2022. Agora, derrubando todos os ambientes de e-commerce das Lojas Americanas por cinco dias. O prejuízo, divulgado no balanço trimestral da empresa, foi estimado em R$ 1 bilhão. Há incontáveis coletivos de criminosos virtuais como o Lapsus$. E a ação deles cresce de maneira exponencial.
O Brasil registrou mais de 16 bilhões de tentativas de ataques a empresas só no primeiro semestre de 2021. O volume quase dobrou nos primeiros seis meses do ano seguinte – 31 bilhões (alta de 94%). Os dados são do FortiGuard, um laboratório de inteligência e ameaças cibernéticas. Em paralelo a isso, os investimentos em tecnologia para proteção de dados também crescem. A IDC, gigante do setor de inteligência de negócio, calcula que o mercado brasileiro fechará 2022 com alta de 10% nesses aportes. As cifras passam de R$ 5 bilhões. E só o setor bancário deve bater R$ 3,5 bilhões no ano, de acordo com a Federação Brasileira de Bancos (Febraban).
Casos como os do Ministério da Saúde e das Americanas são emblemáticos em razão do porte das vítimas. Isso demonstra que, apesar do investimento, o embate frente aos criminosos tem sido marcado por derrotas. “Quando se trata de ameaça cibernética, não é se, mas quando uma empresa vai sofrer um revés nos seus negócios”, afirma André Fleury, diretor executivo da Accenture para cibersegurança na América Latina. Em um cenário assim, o mindset de segurança precisa estar sempre atualizado.
Evitar o ataque a qualquer custo passa a ser só a primeira parte do trabalho. Tão importante quanto manter cadeados fechados é saber como reagir caso eles sejam violados. “No futebol, sofrer um gol faz parte. Não quer dizer que o jogo acabou. O mesmo vale para os sistemas digitais”, compara Georgia Benetti, especialista em perícia forense e segurança da informação da DGKey Cibersegurança. Estar pronto para reagir é um dos pilares da resiliência cibernética.
Aliás, segurança cibernética e ciber-resiliência são conceitos complementares. O primeiro refere-se ao esforço de antecipação e proteção a ameaças. Isso está baseado, sobretudo, em estratégias e sistemas de defesa. O problema é que mesmo a mais avançada das engenharias pode ruir. Às vezes, a falha não se origina de um ataque cibernético. Há brechas que surgem por erro humano, seja do usuário ou de um colaborador. E a pandemia agravou esse quadro.
A migração das equipes para o home office ou o híbrido diminuiu o controle de segurança e aumentou a chamada “superfície de ataque”. O conceito engloba, entre outros fatores, o total de dispositivos conectados à internet e que abrem frestas para os criminosos. A lista vai de computadores e impressoras a sensores de presença instalados em lâmpadas. Há tentativas de ataque até pela rede de ar-condicionado. Com o trabalho em casa, é como se essas possíveis portas entreabertas se multiplicassem.
Construir muros e instalar alarmes ainda é fundamental. Mas também é preciso ter um plano para não sucumbir quando a sua guarda não resiste. “Resiliência cibernética é a capacidade de contra-atacar de forma consciente e rápida para manter o negócio em operação e minimizar os danos”, define Georgia. Aqui, a mitigação não é apenas do prejuízo material, mas também da própria reputação.
Em setembro de 2022, um hacker invadiu o Slack – um software de mensagens – de um funcionário da Uber. Ele chegou até as contas da Uber na Amazon Web Services e na Google Cloud, obtendo acesso a dados financeiros internos. O jornal The Washington Post noticiou que o criminoso poderia divulgar o código-fonte do aplicativo de transportes. A Uber negou o vazamento de dados, mas o estrago na imagem já estava feito.
O caso da Uber mostra o caráter híbrido dos ataques. A origem foi o smartphone de um usuário – um dos principais desafios atuais do sistema financeiro. Cerca de 87% dos brasileiros concentram suas transações nos canais mobile, de acordo com a Kantar Ibope Media. Ou seja, um universo de oportunidades para os hackers.
A pauta se torna ainda mais complexa devido à usabilidade. Segurança e conforto sempre foram antônimos. Entretanto, na era do cliente no centro, devem ser combinados para garantir a qualidade da experiência do usuário. “Soluções que já nascem com a preocupação de segurança tendem a ter menos fricção. Daí a importância de aproximar os times de desenvolvimento e de segurança”, aconselha Ricardo Nenê, diretor de Tecnologia e Inovação da Bem Promotora.
Outro catalisador das ameaças é a sofisticação metodológica dos hackers. A cada dia, surgem novas técnicas, táticas e procedimentos (TTPs) de ataque para os quais não existem soluções de defesa. Fatores políticos e sociais, como a ocorrência de guerras, aceleram essas inovações. Além disso, os grandes grupos de ransonwares trabalham no modelo de franquias, repassando suas TTPs para os franqueados.
Também há dificuldade de identificar de onde parte a ofensiva, mesmo sabendo o autor. “Uma empresa pode ser atacada pelo LockBit [uma das principais quadrilhas de ransonware em atividade], mas não saberá se os criminosos estão em Nova Lima ou na Rússia”, explica Fleury, da Accenture. Fatores assim formam uma tempestade perfeita, aumentando a lacuna de proteção às organizações. No Brasil, onde a maioria das empresas é de pequeno e médio porte, a segurança ainda é abalada por outras carências, como escassez de soluções automatizadas com foco em negócios menores, falta de acurácia na gestão de riscos e escassez de recursos.
Admitir a falibilidade do sistema é o primeiro passo para a adoção de uma postura ciber-resiliente. A partir daí, o assunto vai para a alçada da inteligência de negócio. Abraçar a resiliência cibernética passa por uma orientação top-down, que precisa, aos poucos, consolidar-se na cultura organizacional. O surgimento da Lei Geral de Proteção de Dados (LGPD), em vigor desde 2020, deu um empurrão importante nesse processo.
A regulamentação do uso e do tratamento de dados pessoais estabelece punições pesadas na hipótese de não cumprimento das regras. Isso obriga uma maior conscientização sobre os riscos associados à governança da informação. Com dados classificados e organizados, fica mais fácil acertar nas escolhas das camadas de segurança e desenhar processos e ações de resiliência cibernética.
Nesse sentido, a pauta alinha ainda mais a cibersegurança à gestão. O tema também toca às áreas de compliance, com a aferição da maturidade das políticas e práticas de segurança. Já os colaboradores devem ser envolvidos em uma cultura de comportamento seguro, sendo treinados para entender os riscos gerados por suas ações.
Medidas assim desenham um escopo básico da ciber-resiliência. Mas a missão é mais ampla. E não dispõe de um modelo 100% replicável. Há, entretanto, referências adaptáveis para as necessidades de cada negócio. Antes de mais nada, é fundamental conhecer o mapa de ameaças para definir as prioridades de investimentos. Uma farmacêutica, por exemplo, tem um mapa de ameaças diferente de uma rede de varejo.
O porte da empresa também importa: uma maior quantidade de colaboradores, fornecedores e tecnologias aumenta os riscos. Aqui, vale uma menção aos ecossistemas. Uma pesquisa global da KPMG mostra que esse fator é uma das dores de cabeça dos executivos ao redor do mundo. Para 79% deles, alcançar níveis de segurança em toda a cadeia é tão importante quanto construir as próprias defesas cibernéticas da organização. Como se sabe, uma corrente é tão forte quanto o seu elo mais fraco.
Outro ponto fundamental é a capacidade de reação. André Fleury, da Accenture, atuou na resposta a incidentes em três de cada quatro grandes casos ocorridos no Brasil nos últimos dois anos. Ele é enfático ao destacar que nenhuma das empresas possuía um plano de reação. “Em todos os casos, o ataque era evitável se as pessoas estivessem treinadas, as tecnologias atualizadas e os processos fossem postos em prática”, explica.
Além de protocolos, como um plano de resposta a incidentes, a resiliência cibernética depende da manutenção de um centro de operações de segurança composto por um time robusto de profissionais. Sempre em plantão, o setor tem monitoria permanente (24/7) e analisa logs – documentos que registram os eventos relevantes em um sistema computacional – de todos os sistemas, em busca de irregularidades. “É preciso investir em treinamento, realizar simulações e manter um time com papéis bem definidos, até para esses momentos de crise”, sugere Nenê, da Bem.
Tamanho esforço costuma valer a pena no fim do dia. Investimentos em políticas ciber-resilientes podem reduzir os custos com violações em até 71%, conforme projeção da Accenture. O caixa e a imagem da sua empresa agradecem.
Cartilha da resiliência
A resiliência cibernética exige melhoria contínua para acompanhar a evolução dos ataques. Além disso, o foco deve estar em três frentes: tecnologia, processos e gestão
Tecnologia:
- Atualize constantemente os sistemas para a última versão do fabricante;
- Utilize redes segmentadas, isolando determinados endereços de IP do restante da rede;
- Tenha um inventário dos dispositivos da empresa;
- Em caso de ataque, desconecte a internet, mas não desligue os computadores.
Gestão:
- Admita os riscos;
- Alinhe os esforços de cibersegurança com a estratégia de negócios;
- Dê ao CISO um lugar na mesa de decisões;
- Treine os colaboradores para desenvolver uma cultura de comportamento seguro.
Processos:
- Desenhe um mapa de ameaças;
- Tenha um plano de resposta a incidentes;
- Crie um centro de operações de segurança;
- Mantenha uma equipe de monitoramento em plantão.