Empresas brasileiras são alvos fáceis de hackers por falhas de segurança cibernética
Prof. Dr. Antonio Celso Ribeiro Brasiliano,
CEGRC, CIEAC, CIEIE, CPSI, CIGR, CRMA, CES, DEA, DSE, MBS
Doutor em Ciência e Engenharia da Informação e Inteligência Estratégica pela
Université Paris – Est (Marne La Vallée, Paris, França); presidente da Brasiliano INTERISK.
06/05/2021
O vazamento de dados praticamente virou febre no mundo, crescendo ainda mais na pandemia. Por falha de segurança, o Brasil virou alvo muito fácil para que os criminosos abusem de suas ousadias estratégicas, fazendo vazar dados pessoais e sensíveis das empresas.
Os seguidos vazamentos de dados de brasileiros têm mostrado ao mundo e, principalmente aos hackers, que o Brasil é um campo muito fértil para que os criminosos cibernéticos possam agir de forma mais ampla e com certa tranquilidade. Nas últimas semanas, não tem sido raro nos depararmos com notícias sobre megavazamentos de dados nas empresas brasileiras. O perímetro de segurança sofreu alterações, principalmente na pandemia, ampliando e muito a dificuldade dos responsáveis em cibernética das organizações a darem a respectiva tranquilidade aos gestores da alta gestão. Hoje os perímetros cresceram em função da pandemia que chegou no home office, com o Novo Normal. À medida que a força de trabalho se espalhou, a criatividade dos criminosos cibernéticos também teve que ter criatividade, elaborando novas formas de ataques e aproveitando a maior fragilidade do ecossistema: o recurso humano. Só que aí o Brasil tem um outro grande problema: sua alta gestão, diretoria, presidência e conselhos de administração, como conhecem pouco sobre segurança cibernética, os investimentos não ocorrem, fragilizando ainda mais todo o ecossistema.
Apesar de toda propaganda realizada por parte dos fabricantes e consultores por meio de seminários, webinar, lives, a realidade é que muitos gestores, continuam alienados a realizar investimentos de segurança cibernética.
O estudo “Percepção do Risco Cibernético na América Latina em tempos de Covid-19”, encomendado pela Microsoft e desenvolvido pela consultoria de risco e de seguros Marsh, aponta que devido ao baixo investimento, 30% das companhias observaram aumento nos ataques de phishing, malware e aplicativos web.
Ainda assim, mais da metade das companhias nacionais (56%) afirmam à pesquisa que investem 10% ou menos do budget de TI na área de segurança cibernética. Isso significa que o mercado nacional ainda não está maduro como se esperava após tantos eventos de 2020. Ou seja, somos a “bola” da vez em ataques cibernéticos por pura falta de maturidade!
Mas como investir em segurança? Deve haver critérios e um modelo estruturado para evitar o desperdício nos pontos denominados de ruptura. No passado, a era dourada de antivírus e firewalls, o custo das soluções de segurança representava uma mínima fração. Hoje, a realidade é muito diferente. As consequências sempre são severas ou massivas.
Antigamente um vírus levava até 3 meses para infectar o mundo. Hoje em dia isso acontece em alguns cliques. A dinâmica do mercado mudou radicalmente, saímos do mundo VUCA (volátil, incerto, complexo e ambíguo) e entramos abruptamente no mundo BANI (frágil, ansioso, não linear e incompreensível).
“BANI é uma estrutura para articular as situações cada vez mais comuns nas quais a simples volatilidade ou complexidade são lentes insuficientes para entender o que está acontecendo”, diz o criador da terminologia em seu artigo oficial. “Situações em que as condições não são simplesmente instáveis, são caóticas; nos quais os resultados não são simplesmente difíceis de prever, e sim completamente imprevisíveis. Ou, para usar a linguagem particular desses frameworks, situações em que o que acontece não é simplesmente ambíguo, é incompreensível.” Interessante é que o criador do anacrônico BANI, o antropólogo Jamais Cascio apresentou esse novo conceito, no evento do Institute for The Future (IFTF) em 2018, dois anos atrás da pandemia começar, porém já com sinais de novos comportamentos. Argumentou que agora nós não vivemos mais no mundo VUCA, mas sim no mundo BANI. A ampliação do perímetro aumentou a exposição e as oportunidades de lucros dos criminosos.
Figura 1: Mundo BANI – Situações Caóticas – Reações Extremas. Fonte: Brasiliano, Antonio Celso Ribeiro. Apostilas de Aula de Gestão de Riscos
Para termos uma ideia mais clara, em fevereiro deste ano, vazaram em nível mundial, 3,2 bilhões de senhas de e-mail. O Brasil ficou atrás somente dos Estados Unidos, Inglaterra e Austrália, em uma lista de 50 países. Com este ranking, segundo a empresa de segurança cibernética Syhunt, o Brasil possui a quarta posição na sua administração pública. Embora tenhamos leis adequadas e que tratam do tema cibernéticos, para variar, não conseguimos colocar em prática. Com a criação da ANPD – Agência Nacional de Proteção de Dados, essa ainda necessita especificar e estabelecer de forma clara e transparente como as fiscalizações ocorrerão.
Dois pontos são atrativos para os criminosos cibernéticos no Brasil:
1) Baixíssimo investimento em segurança cibernética pela falta de sensibilização e conhecimento da alta gestão das empresas, tendo deixado inúmeras avenidas virtuais de acesso aos hackers;
2) A aproximação da vigência da LGPD, com as respectivas multas. O fato abriu espaço para crimes de extorsão e sequestro de dados pessoais e sensíveis das empresas.
Isso significa que a proteção das empresas deve ser cada vez mais robusta, estruturada e pensada. Os gestores devem estar sempre atentos e alinhados aos modelos de arquitetura como SASE (Secure Access Service Edge) e Zero Trust. Estes modelos, somados, permitem análise de comportamento de usuários, para evitar exposição de informações sensíveis e gerenciamento de soluções na nuvem para que todos os colaboradores estejam conectados a redes seguras.
Além disso, é importante destacar a necessidade de conscientização dos colaboradores e evitar o uso de dispositivos pessoais para fins profissionais. A pesquisa encomendada pela Microsoft destacou que apenas 23% das empresas afirmaram que seus funcionários estão usando exclusivamente equipamentos da empresa. Uma nua e crua realidade nas corporações. A Shadow IT representa um enorme risco às empresas e só pode ser evitada com investimento e educação de usuários.
Podemos enumerar sete principais causas do aumento exponencial dos vazamentos de dados:
1) Pouco e mal aplicado os investimentos em Segurança Cibernética;
2) Pandemia ajudou na formação de hackers em função da crise econômica brasileira. Os crimes cibernéticos fornecem uma visão de ganho sem riscos;
3) Falta de sensibilidade em relação aos phishing de e-mails, principalmente nas contas de e-mails pessoais;
4) Grande quantidade de mensagens, via apps. Neste turbilhão de informações, o número de mensagens falsas é muito grande. Tem que haver autenticação de mensagens;
5) Os apps dos bancos sempre serão alvos dos criminosos cibernéticos em função da existência das informações bancárias, que são uma mina de ouro para os golpistas;
6) Redes Sociais. Neste quesito, a sensibilidade dos usuários é chave. A publicação de fotos e comentários pode dar mais informações para os criminosos cibernéticos do que o roubo de dados;
7) Compras online, são extremamente cômodas, principalmente na pandemia. Mas se não tiver cuidado, trará riscos massivos para os usuários. Como já tem acontecido.
Como evitar então o vazamento de dados? Na nossa experiência e vivência nas consultorias, ao longo dos últimos 22 anos, é por meio de um Framework Preventivo Contra Vazamento de Dados Robusto, com processos e ferramentas consistentes. É difícil? Não. É trabalhoso? É, porque há necessidade de aculturar o mercado. Este é o grande desafio e a maior dificuldade, pois exige muita resiliência e uma cadência constante.
Nós, da Brasiliano INTERISK, definimos a prevenção contra vazamento de dados como sendo um conjunto importante de políticas, métodos e tecnologias, utilizadas para tentar evitar que dados estratégicos ou sensíveis – quesitos legais – sejam compartilhados indevidamente, subtraídos da empresa ou enviados para ambientes inseguros ou manipulados por usuários não autorizados.
Qualquer empresa deve entender que para evitar o vazamento, tem que aceitar o fato de que as informações e dados estratégicos e críticos podem ser conseguidos de forma voluntária ou involuntária. Isso mesmo. Se um funcionário de médio escalão possui uma informação estratégica e não sabe o valor disso para a empresa, ele pode facilitar um grande vazamento por meio de conversas informais com grupos de amigos ou até mesmo virar vítima de engenharia social e/ou técnica de indução.
Para isso, as organizações devem apostar num Processo Estruturado Contra Vazamento de Dados, com metodologia e critérios parametrizados. A Brasiliano INTERISK acredita em metodologias, por isso estruturou um processo simples e prático por meio da nossa ferramenta INTERISK, que dispõe os seguintes passos:
PRIMEIRO PASSO
A empresa precisa identificar na sua cadeia de valor quais são os processos críticos que suportam o “core” do negócio. Esses processos devem merecer toda atenção do pessoal de segurança da informação, cibernética e segurança corporativa.
Pode-se utilizar como critério e parâmetro o BIA – Business Impact Analysis, onde medimos as consequências em termos de vazamento e sua falta nas tomadas de decisões e/ou em processos de negócio.
Abaixo, temos um exemplo no qual os processos localizados no quadrante vermelho são estratégicos e/ou sensíveis.
Fonte: Software INTERISK
SEGUNDO PASSO
O segundo passo é o mais estratégico e importante, pois a empresa deve classificar as informações pelo seu conteúdo estratégico e também pelos requisitos legais. Ressalto que grande parte das empresas mundiais, cerca de mais de 85%, não praticam essa etapa. A classificação das informações deve constar na Política de Segurança das Informações e Cibernética. É lá que precisa estar claro a classificação e o que ela irá demandar proteção diferenciada.
A classificação das informações não tem um critério definido, mas em termos de benchmarking pode-se classificá-las em quatro níveis:
1) Informações confidenciais – o mais alto nível;
2) Informações ou dados restritos – médio nível de confidencialidade;
3) Uso interno – o mais baixo nível de confidencialidade – público interno da empresa sabe da informação;
4) Informações e dados são públicos – todos podem ter a informação.
Com as informações já classificadas, elas devem ser rotuladas e tratadas, conforme sua política, podendo até integrar o IP da máquina e o e-mail do usuário a fim de saber se ele pode mandar essa informação para fora da empresa. Desta forma, o sistema de proteção de dados funciona. Percebem que se a empresa não classificar as informações, os sistemas serão inócuos.
Abaixo, um critério que utilizamos para identificar informações ou dados estratégicos.
Fonte: Software INTERISK
Estas informações, para melhor visualização, vão para uma Matriz de Relevância:
Fonte: Software INTERISK
Com as informações estratégicas e sensíveis identificadas, podemos classificar utilizando sua relevância versus sua confidencialidade, tal cruzamento vai para outra matriz denominada de Classificação de Informações e Dados. Trata-se de uma matriz que de forma direta, ao cruzar os dois parâmetros, automaticamente já disponibiliza o nível de tratamento desejado pela sua importância.
Nesta fase, é fundamental saber também qual é a característica das informações e dados em relação a movimentação, ou seja, saber se elas estão:
- Em uso nas máquinas dos usuários;
- Em movimento na rede corporativa ou fora dela;
- Se estão armazenadas, como por exemplo em servidores.
A característica da movimentação irá direcionar a demanda da segurança necessária dessas informações.
Fonte: Software INTERISK
TERCEIRO PASSO
Com base nos processos críticos para o “core” da empresa, as informações e dados classificados quanto sua confidencialidade necessitam de uma identificação. Em geral, questionamos: quais são os Sistemas de Tecnologia da Informação que sustentam os dois pilares? Usamos essa informação também para selecionar o inventário de sistemas, o BIA – Business Impact Analysis.
Exemplo de utilização do BIA para sistemas, com sua criticidade no quadrante vermelho.
Fonte: Software INTERISK
Teoricamente, estou com minhas joias da coroa protegidas, certo?
Errado!
Ainda falta o elo mais crítico deste sistema: o fator humano!
QUARTO PASSO
O quarto passo significa identificar quais são as pessoas, e não o cargo, que manipulam ou têm acesso às informações. Temos que saber o nível de maturidade destas pessoas. Isso mesmo! Temos que fazer uma avaliação e identificar seus pontos fracos nos quesitos:
• Engenharia social;
• Técnicas de indução;
• Phishing;
• Controle de senhas – de que forma controla e nível de complexidade;
• Nível de segurança de seu computador ou aparelho mobile: criptografado, utilização de senhas, entre outros;
• Nível de tratamento com segurança de documentos físicos: leitura em locais públicos, deixar o documento em cima de mesas, poltronas, salas de reunião, etc.;
• Segurança digital - trabalha em locais públicos com computador e aparelhos mobile;
• Segurança de redes: utiliza redes abertas públicas, tais como hotéis e aeroportos.
Qual a importância de sabermos a maturidade sobre confidencialidade das informações dessas pessoas sensíveis e estratégicas para as empresas?
A importância é identificar as fraquezas e tratá-las. Assim, é possível evitar que as organizações sejam alvos de possíveis agressores. Podemos montar uma régua, com base nos oito quesitos e termos um range de maturidade:
Fonte: Software INTERISK
Vejam que temos que avaliar a pessoa e não o cargo, pois cada um possui características e atitudes diferentes. Por esta razão, é primordial sabermos as pessoas na organização que manipulam as informações e dados sensíveis e estratégicos.
Em seguida, temos que saber quais informações essas pessoas manipulam e a criticidade apurada. No exemplo abaixo, Carlos Antunes – que é presidente da empresa, possui um nível de maturidade boa. Classificado como verde, ele manipula algumas informações sensíveis.
Fonte: Software INTERISK
Com esses quatro passos estabelecidos, poderemos identificar os riscos possíveis e a gestão dos ativos primordiais para a empresa. Vejam que as empresas ficam míopes em relação aos quesitos citados. Se preocupam em colocar muita tecnologia e esquecem o processo estruturado de Data Loss Prevention – DLP.
O que as empresas devem entender é o que define uma Maturidade em Segurança Cibernética é o foco nos objetivos e a interconectividade com a estratégia de negócios.
Caso não ocorra essa conexão, as empresas literalmente enxugarão gelo. Não é nada produtivo implantar uma série de sistemas sem que elas conheçam suas reais fragilidades.
Na Brasiliano INTERISK, elaboramos projetos de Data Loss Prevention – DLP no nosso sistema INTERISK, de forma que o dono do processo possa aplicar esta avaliação. Portanto, a eficácia será muito maior. A grande parte das empresas esquecem a primeira e quarta fase. Daí vemos essa grande vulnerabilidade que as corporações possuem.
Um processo estruturado de DLP coloca a empresa em grande vantagem competitiva, especialmente neste mundo BANI – Frágil – Ansioso – Não Linear – Incompreensível.