Covid-19 aquece Mercado Cibernético no Brasil: número de ataques tiveram consequências massivas em inúmeros segmentos
Prof. Dr. Antonio Celso Ribeiro Brasiliano,
CEGRC, CIEAC, CIEIE, CPSI, CIGR, CRMA, CES, DEA, DSE, MBS
Doutor em Ciência e Engenharia da Informação e Inteligência Estratégica pela
Université Paris – Est (Marne La Vallée, Paris, França); presidente da Brasiliano INTERISK.
30/09/2020
A falta de um Risk Assessment Cybersecurity nas empresas e instituições brasileiras, mostrando sua maturidade, potencializou de forma exponencial os ataques, com impactos massivos em vários segmentos, entre eles o hospitalar. A pandemia do Covid-19 elevou as ameaças cibernéticas, o Brasil foi um dos principais países alvos desses ataques. Falta sensibilização dos executivos C–level?
A resposta infelizmente é sim. Tanto a nível de Conselho de Administração como de presidência e diretoria. No artigo publicado em Harvard Business Review, em junho de 2020, os autores e especialistas de segurança cibernética, Thomas J. Parenty e Jack J. Doment, ambos fundadores da empresa de cibersegurança Archefact Group, identificaram que o primeiro foco de atuação para avaliar os riscos cibernéticos deve ser identificar as fragilidades das principais atividades da empresa, aquelas que são o “core business”, e não as tecnologias em si.
Apesar dos bilhões gastos com segurança cibernética, os danos causados pelas violações continuam crescendo a cada ano, isto tem uma explicação lógica: as empresas não entendem e não conhecem seus riscos cibernéticos críticos.
Esta foi a principal razão que o Brasil, nos seis primeiros meses de 2020, foi o oitavo em número de recebimento de e-mails com temas ligados ao COVID-19.
No total foram 132 mil mensagens eletrônicas contendo algum tipo de arquivo malicioso. No mundo, os países que mais receberam ameaças desse tipo foram Estados Unidos, Alemanha e França. Estes e-mails maliciosos, detectados pela empresa Trend Micro, o Brasil computou mais de 447 mil phishing no período, sendo o sétimo principal alvo dos atacantes no mundo.
A pandemia do COVID-19 fez com que os hackers encontrassem a vulnerabilidade do fator humano: curiosidade em clicar nas mensagens com temas relevantes do coronavírus. Por esta razão que é muito importante a sensibilização, evitando de ser alvo desta natureza. Manter os sistemas críticos, que suportam as informações críticas das atividades estratégicas é crucial para ter eficácia na segurança cibernética, além do usuário ter cautela ao abrir conteúdos de e-mails, é primordial nesse momento atípico em que estamos vivendo.
Abaixo temos a Matriz do COVID-19 Cruzando a Taxa de Reprodução x o Nível de Criticidade dos Estados do Brasil, dia 28 de setembro de 2020.
Figura 1: Metodologia CSR: Cybersecurity Risks – Matriz de Cruzamento RT x Matriz de Riscos Pandêmico.
Fonte: Software INTERISK - Brasiliano INTERISK, 2020
A pandemia no Brasil está com um quadro, hoje, considerado instável, pois os índices de reprodução variam muito de um dia para outro. Tínhamos uma média da Taxa de Reprodução Brasil de 0,91, hoje temos de 0,95. Temos 08 estados com a Rt acima de 1, que é preocupante, em função da volatidade. Embora a média Brasil esteja em um nível, 0,95, que significa Pandemia controlada.
Não há nenhum estado com taxa acima de 1,5, que significaria pandemia descontrolada. Mas há variação, ou seja a nossa volatidade é grande. Não estabiliza.
Como as atividades começaram a voltar nas empresas, comércios e indústrias, e as pessoas começam a relaxar, isso possui como consequência esta volatidade, o que traz abertura na brecha da segurança cibernética.
Em todo o mundo, nos seis primeiros meses do ano, a empresa de segurança cibernética Trend Micro bloqueou 8,8 milhões de ameaças desse tipo, das quais quase 92% baseadas em e-mails. Entre janeiro e junho, os cibercriminosos mudaram seu foco para se aproveitar do interesse global na pandemia. O risco para as empresas foi agravado por falhas de segurança criadas por uma força de trabalho completamente remota.
As detecções de comprometimento de e-mail corporativo (BEC, na sigla em inglês) aumentaram 19% em todo o mundo em relação ao apurado no segundo semestre de 2019. Isso decorre em parte da maior exposição de pessoas, durante trabalho em Home Office e às técnicas de engenharia social.
Dentro deste contexto é que o processo de Risk Assessment em CyberSecurity Risks é essencial para a prevenção. A empresa irá enxergar seu real grau de maturidade frente as nomeadas “Joias da Coroa”, ou seja, frente aos processos críticos de negócio, suas informações estratégicas e críticas dos processos críticos e os sistemas que suportam as informações e processos.
O processo CyberSecurity Risks, metodologia da Brasiliano INTERISK para a Gestão de Riscos Cibernéticos, o Risk Assesment compõe a elaboração da primeira e segunda etapas do processo para identificar os pontos deficientes e o nível de maturidade da empresa em termos de Cybersecurity. Na figura abaixo podemos ter a noção do processo como um todo e as fases do Risk Assessment.
Figura 2: Metodologia CSR: Cybersecurity Risks – Fases. Fonte: Brasiliano INTERISK, 2020
Frente a “Joias da Coroa” da empresa – processos críticos – informações estratégicas e críticas – sistemas críticos e saber mapear a maturidade das pessoas que lidam com as informações confidenciais e críticas, a empresa deve fazer um Risk Assessment, através do questionário NIST com as inclusões ainda das melhores práticas do COSO Cyber e da ISO 27032 – Segurança Cibernética e ISO 27701 – Segurança da Privacidade.
O questionário NIST possui cinco funções da segurança cibernética, Identificar, Proteger, Detectar, Responder e Recuperar. Cada uma destas funções são parte do Sistema Integrado de Segurança Cibernética – SISC. A empresa com base nas respostas, passa a entender suas fragilidades e com isso pode ter seu nível de maturidade em segurança cibernética.
Figura 3: Estrutura do NIST- Fonte NIST 2018
Figura 4: Funções da Estrutura CSF - NIST- Fonte NIST 2018
No sistema INTERISK temos o questionário automatizado, sendo necessário somente identificar as não conformidades e conformidades, para ranquear a Maturidade de Segurança Cibernética.
Figura 5: Questionário da Estrutura CSF – NIST 2018. Fonte: Software INTERISK - Brasiliano INTERISK
Figura 6: Indicador das Funções da Estrutura CSF – NIST 2018. Fonte: Software INTERISK - Brasiliano INTERISK
A Maturidade da Segurança Cibernética, é elaborada automaticamente, com base em cinco níveis de criticidade:
Figura 7: Níveis de Maturidade. Fonte: Software INTERISK - Brasiliano INTERISK
O resultado automatizado pelo INTERISK é o Gráfico denominado Radar, onde é colocado o Nível Desejado e o Nível Atual. Com esta visão a empresa possui seu nível de fragilidade cibernética.
Figura 08: Nível de Maturidade de Segurança Cibernética – Gráfico Radar. Fonte: Software INTERISK - Brasiliano INTERISK
Neste caso a empresa em estudo possui um nível de maturidade muito baixo, o que a deixa fragilizada para ciberataques.
O gráfico Radar é mais lúdico, e faz com que a alta gestão fique mais consciente da necessidade de investimento e onde, e o que investir.
O Risk Assessment é parte da Metodologia Cybersecurity Risks, que ao ser completada, passa a ser uma ferramenta de extrema utilidade, pois faz com que a empresa enxergue quais são seus cenários de ataques cibernéticos, com a descrição de como pode ser agredida, com qual perfil de hackers, tendo em vista seu negócio e o modus operandi.
Com estas informações, temos condições de realizar investimentos pontuais, otimizando recursos e tendo uma relação custo benefício muito mais equilibrada.
Por exemplo, o ransomware foi um fator constante de ameaça. As organizações globais também foram sobrecarregadas por um aumento significativo nas vulnerabilidades recém-divulgadas.
Com a pandemia, ainda em estado de alerta e as empresas mantendo o Home Office e empresas retornando a CyberSecurity Risks passa a ser uma ferramenta de análise estratégica para focar e otimizar os investimentos, fechando as vulnerabilidades existentes no seu sistema de proteção.