Por que o número de ataques cibernéticos continua a aumentar exponencialmente, apesar dos milhões investidos pelas empresas em segurança cibernética?
Prof. Dr. Antonio Celso Ribeiro Brasiliano, CEGRC, CIEAC, CIEIE, CPSI, CIGR, CRMA, CES, DEA, DSE, MBS
Doutor em Ciência e Engenharia da Informação e Inteligência Estratégica pela
Université Paris – Est (Marne La Vallée, Paris, França); presidente da Brasiliano INTERISK.
30/11/2021
Novembro | 2021
Essa pergunta não é minha, mas de dois pesquisadores norte-americanos que levantaram que os custos em consequência dos ataques cibernéticos cresceram exponencialmente na última década. Isso já sabemos, mas a pergunta de um milhão de dólares é: por quê?
Em 2017, as perdas financeiras decorrentes do ataque utilizando o malware WannaCry foram estimadas em oito bilhões de dólares. Em 2018, a Marriott descobriu que uma violação do sistema de reserva de sua subsidiária Starwood havia exposto as informações pessoais e de cartão de crédito de 500 milhões de hóspedes.
Os hackers parecem ser cada vez mais eficazes, mas a experiência dos consultores e pesquisadores da empresa de segurança cibernética Archefact, Thomas Parenty e Jack Domet, em artigo publicado na Havard Business Review em abril de 2020, afirmam que o motivo principal de as empresas continuarem vulneráveis às ameaças dos hackers é que não compreendem nem conhecem os riscos cibernéticos críticos de suas áreas consideradas relevantes. Isso porque essas empresas estão focadas somente em vulnerabilidades tecnológicas.
Quando as iniciativas de segurança cibernética são abordadas apenas sob o prisma da tecnologia, os executivos ficam sem compreender o jargão técnico especializado – alienados, portanto, da busca de uma solução para o problema. A responsabilidade por lidar com os riscos é relegada à área de segurança cibernética, a cargo da equipe de TI, que foca sua atenção nos sistemas informáticos. Não há um Plano de Segurança Cibernética Baseado em Riscos – PSCBR.
O resultado tende a ser uma longa lista de tarefas para cobrir uma enorme quantidade de vulnerabilidades, sem qualquer priorização.
O resultado é previsível: quem busca defender toda a frente de combate consegue apenas, no mais das vezes, tornar-se fraco sistemicamente, apesar de todo o esforço. As empresas não têm como dar proteção em toda a superfície de ataque cibernético.
Eu concordo com esta visão da falta de Gestão de Riscos em Segurança Cibernética no Brasil, principalmente em razão de os ataques cibernéticos, na sua grande maioria, ocorrerem explorando vulnerabilidades básicas, decorrentes de erros crassos praticados pelos usuários, sem qualquer orientação ou sensibilização.
As principais vulnerabilidades exploradas pelos hackers, segundo o relatório da Gat Infosec, de maio de 2021, são:
-
Risco do fator humano, pela engenharia social ou técnica de indução. O fator humano é a vulnerabilidade número um e as empresas não elaboram programas estruturados abordando as referidas técnicas. As estratégias de conscientização tradicionais são ineficientes e os dirigentes das empresas não mudam seu modo de pensar. Não pensam fora da caixa para ministrar treinamentos contínuos e dinâmicos. Não adianta treinar uma ou duas vezes ao ano. Está provado que não funciona.
-
A partir da engenharia social e das técnicas de indução, temos ataques por Phishing, que é indução ou engenharia social direcionada, em que os usuários são induzidos a clicar em links maliciosos e propiciam a entrada de malware do tipo Ransomware. Essa é a maior causa da fragilização de grandes, médias e pequenas empresas.
-
Outra vulnerabilidade é o gerenciamento precário de senhas e autenticações, no que tange ao controle das senhas vencidas e à utilização, por parte dos diretores e presidentes, de senhas de fácil identificação pelos hackers, pois são em sua maioria datas de aniversário de esposa, filhos, netos, apelidos, entre outros. E para piorar a situação, recusam-se a trocá-las periodicamente.
-
Temos também a falta de atualização dos aplicativos e dos sistemas, o que gera um grande número de vulnerabilidades para as empresas.
-
A segurança diante da ação de terceiros que acessam a rede das empresas para realizar a manutenção é outra vulnerabilidade, principalmente na área de TA ou TO, áreas “core” das empresas, pois com um ataque direcionado eles simplesmente podem paralisar todo o negócio. Assistimos neste ano ao que aconteceu com a Colonial PipeLine, com a JBS, com os Laboratórios Fleury, entre outros casos .
Um ponto que chama a atenção é o tempo tomado para corrigir as vulnerabilidades. Vejam a tabela abaixo:
Fonte: Relatório Gat Infosec, maio de 2021.
É uma fragilidade enorme deixar as vulnerabilidades críticas e altas com um tempo muito elástico para serem arrumadas, 136 dias em média. É o mesmo que estarmos em um bunker todo blindado e deixarmos a porta aberta. O hacker entra pelo caminho mais fácil.
Uma das 10 tendências em segurança cibernética é o aumento de ataques às redes de operação das empresas, que mantém as máquinas funcionando e trocando informações.
Pergunto eu a você leitor: as áreas de Tecnologia de Automação ou Operacional estão protegidas? Existem análises de riscos cibernéticos? Existem cenários de ataques cibernéticos elaborados? As empresas conhecem seus agressores? A resposta é NÃO na sua grande maioria, na maior parte das empresas.
A Brasiliano INTERISK realizou Risk Assessment, nos últimos 3 anos, em 169 empresas de médio e grande porte, englobando quase todo tipo de segmento. Aplicamos o questionário NIST 800 – 82 Revisão 2, Guia de Segurança de Sistemas de Controle Industrial (ICS). Essa NIST engloba sistemas de controle e supervisão, aquisição de dados (SCADA), sistemas de controle distribuído (DCS) e outras aplicações, como controladores lógicos programáveis (PLC). A média da maturidade encontrada é de 2,71, numa escala de 1 a 10. INSUFICIENTE. Esse dado é apenas um indicador de como nossas empresas estão fragilizadas.
Fonte: Brasiliano INTERISK em 169 empresas desde 2019 até outubro de 2021.
Fonte: Software INTERISK
Minha conclusão, que aliás partilhei em minha palestra gravada no evento Open Insurance Week 2021, nos dias 18 e 19 de novembro, é que as empresas não identificam sua Joias da Coroa. Elas não priorizam suas áreas críticas, as informações relevantes das áreas críticas, os sistemas que suportam as áreas e as informações, nem medem a maturidade dos gestores e executivos que detêm acesso a essas informações, sistemas e áreas.
Precisamos mudar o nosso MINDSET, pois só desta forma iremos combater com eficácia os ataques cibernéticos, colocando maior dificuldade em suas intrusões. Para isso é preciso saber priorizar os controles cibernéticos que irão bloquear, identificar e responder a um ataque.
Espero que consigamos! Assistam ao evento Open Insurance Week 2021 para que possam melhor refletir.