Não está fácil para os times de Segurança. Estima-se que o custo do cibercrime chegue a US$ 6 trilhões até 2021, segundo previsões da Cybersecurity Ventures. O montante representa um valor 15 vezes maior que o registrado em 2015, quando os prejuízos foram calculados em US$ 400 bi. O valor é consequência de um cenário de ataques que só cresce em volume e profundidade, exigindo das empresas aceitarem o fato de que as invasões serão inevitáveis e é preciso estar preparado para quando isso acontecer.
“Estar sob ataque não é uma situação ou um evento específico, é uma constante. Trata-se do como e quão frequentes estamos sendo atacados”, enfatizou Anderson Mota, CyberSecurity Intelligence Specialist do Citibank, durante o painel o qual foi o curador no Congresso Nacional Security Leaders. Segundo ele, o que mais assusta é considerar que algumas empresas ainda não estão preparadas para enfrentar esse cenário.
Munido de uma pesquisa recente da EY, Mota destacou o fato de 46% dos respondentes terem assumido que sofreram ciberataques no último ano e não se sentiam prontos para lidar novamente com o problema. “Pior que isso: cerca de 30% deles não tinham conhecimento de como proceder em caso de um incidente e 34% nem sabiam quem eram os responsáveis pelo plano de resposta”, disse.
Para o executivo do Citibank, o atual panorama de ciberataques exige a criação de um Comitê de crise, cujas diretrizes ajudarão os profissionais a se posicionar em um possível caso de incidente. É esse Comitê que auxiliará os colaboradores a entender o momento do ataque, quem e o que deve ser publicado, quem irá atender os jornalistas, os responsáveis por conversar com os órgãos reguladores, clientes, etc.
“É preciso ter tudo isso estruturado, funcionando, cada um sabendo o que deve ser feito. O momento de trocar cartões não é na hora do incidente”, destacou.
Para Cassio Menezes, CISO da Allianz, foi-se o tempo em que os investimentos em Segurança eram focados em prevenção e a parte dedicada a reação era deixada para depois. “Mas hoje, se continuarmos com essa prática, estaríamos cometendo um erro gigante”. De acordo com o especialista, é necessário estar pronto para reagir imediatamente quando algo de ruim acontecer e investir em um processo de Gestão de Crise é essencial.
Menezes enfatizou que a Cibersegurança é uma constante preocupação dos executivos de todo o mundo, levando o termo Cyber Resilience a ser incluído no relatório do Fórum Econômico Mundial.
Essa criticidade toda não se dá somente ao desenvolvimento da indústria cibercriminosa, mas também à evolução dos modelos de negócios digitais e aumento da superfície de ataques consequentemente. “Atualmente, não adianta somente usarmos um bom firewall na borda, um bom antivírus no endpoint. Hoje há outros desafios que não tínhamos antigamente, como a Nuvem”, relembra Everton Souza, Security Manager LATAM da Ambev. “Onde há risco de exposição existe uma oportunidade de ataque, simples assim”.
Além desse ponto destacado por Souza, ele acrescenta que existe a preocupação em proteger os colaboradores/usuários também em suas vidas pessoais, afinal “se ele for infectado fora do ambiente de trabalho significa que ele pode trazer essa ameaça para o espaço corporativo”.
Outro fator que contribui para um cenário crítico, segundo Marcos Tupinambá, coordenador do Laboratório de Análises de Crimes Eletrônicos da Polícia Civil, é a falta de entendimento entre os setores jurídicos e de TI. “Um fala latim, o outro zero e um, eles não se entendem”, diz. Para o especialista, é mandatório que os departamentos tenham uma linguagem unificada para saberem como devem proceder em caso de incidente.
Para Tupinambá, exercícios de simulações são importantes, mas ainda assim não se comparam à realidade de um ambiente que está ameaçado, porque ali todos sabem que se trata de uma atividade; o problema é quando for real e um estiver atropelando o outro. “Por essa razão que a linha hierárquica tem que ser estabelecida antes, com uma delimitação clara de atuação, um gerente de crise com capacidade de visualizar o todo”, explica.
Somado a todos esses fatores mencionados, é preciso considerar ainda a falta de visibilidade dos ambientes nas organizações. Celso Hummel, LATAM Sales Engineer da Malwarebytes, afirmou que em mais de 60% das máquinas onde suas soluções foram instaladas foi possível identificar infecções ainda ocultas pelos times de segurança das empresas, sendo que 30% delas eram críticas.
Ambientes atualizados
Anderson Mota destacou que muitos dos vazamentos ocorridos nos últimos anos aconteceram por falta de adequação do ambiente de TI com correções já conhecidas. É fato que atualizações são uma questão estratégica, mas às vezes depende de um momento adequado já que envolve interrupção momentânea da produção, adaptação de aplicações, entre outras questões.
Por essa razão, os profissionais de SI e TI têm que levar os riscos envolvidos para o board. “Caso fique decidido que não haverá atualização, o risco tem de ser assumido por todos, não apenas pelos profissionais de TI e SI, pois é um risco de negócio”.
É nessa fase que ter uma área de cyber intelligence pode fazer a diferença. “Cyber intelligence trata de produzir conhecimento para orientação executiva. Entende-se que o executivo vai receber essa informação para auxiliar numa tomada de decisão estratégica, mas ele precisa estar disposto a dar um processo adequado àquela informação”, explica Tupinambá.
Indústria 4.0
Não existe hoje um setor que não sofra com a iminência de um ciberataque em larga escala. A única diferença é que uns sofrem mais, outros menos. No entanto, o fato de alguns setores terem passado por um processo de transformação digital mais desenfreado e adotado dispositivos que não permitem a implantação de sistemas de segurança mais robustos preocupam mais que outros, como é o caso da Indústria.
Quando o chão de fábrica começou a adotar determinados equipamentos conectados à rede, muitos ainda não tinham segurança embutida e eram incapazes de suportar uma solução mais assertiva. Mas de uns anos para cá, o setor industrial mudou muito e atualmente os fabricantes já disponibilizam soluções de Cyber OT para trazer mais segurança nesse mundo.
A preocupação é real porque a máquina, que era analógica, agora fornece uma quantidade de dados significativa. Tais informações são colocadas numa data base, que vai para a Nuvem, são correlacionadas com dados de outras matrizes. Ou seja, em um cenário onde a propriedade intelectual é um diferencial competitivo, sofrer um ataque pode ser irreversível.
“Já encontramos WannaCry em maquinário de chão de fábrica assim como outros vírus que trafegam livremente pelas redes fabris”, destacou Celso Hummel. “É preciso entender que a informação é como água: ela sempre vai achar um lugar por onde sair”, complementou Tupinambá.
“No âmbito da Segurança da Informação, não podemos mais enxergar organizações como concorrentes. É preciso estabelecer canais para trocas de informações, compartilhar de modo seguro determinada ameaça que hoje me atinge, mas pode atingir você amanhã. Se há um impacto numa empresa, pode ser que repercuta em outras”, finalizou Anderson Mota.
