Getting your Trinity Audio player ready...
|
As violações de segurança cibernética se tornaram uma das principais ameaças financeiras que as empresas enfrentam. Como CFO, é essencial entender como se proteger nesse cenário e atuar de forma preventiva no gerenciamento de risco. Para apontar caminhos para os gestores, a live “Trilha IBEF-SP & IBM: Cibersecurity” foi realizada no dia 19 de outubro.
Rubens Batista, CFO do Grupo Martins e membro da Diretoria Vogal do IBEF-SP, conduziu o evento com os convidados: Fábio Amorim, Business Development Executive IBM Security, e Rodrigo Ratton, Business Development Executive IBM Public Cloud.
Estudos da IBM demonstram que no primeiro semestre de 2021, os incidentes de cibersegurança podem causar grandes prejuízos financeiros para as organizações. Os ataques relacionados ao comprometimento de e-mails corporativos (BEC), por exemplo, custaram em média às empresas US$ 5,01 milhões; aqueles relativos ao phishing, US$ 4,65 milhões, enquanto os incidentes envolvendo insiders maliciosos cerca de US$ 4,61 milhões.
No Brasil, crescem as notícias relacionadas a empresas vítimas de sequestro virtuais (ransomware). Estas além de terem suas operações afetadas, podem ter como consequência adicional o comprometimento das atividades de seus clientes e fornecedores, causando prejuízos financeiros e de reputação ainda maiores.
Tendências – Segundo Fábio Amorim, muitos clientes questionam se um ataque ransomware pode acontecer com eles. A resposta não é “se”, mas “quando” ele acontecerá, pois, cedo ou tarde, todos terão sido alvos desses ataques. Segundo o especialista, o jogo não é justo dado que o time das empresas é limitado, enquanto o número de potenciais criminosos é muito maior. “Em algum momento o ataque vai acontecer. Por isso as empresas têm de estar preparadas”, observou o especialista.
A situação atingiu um nível de criticidade tão elevado que levou o presidente estadunidense, Joe Biden, a convocar representantes de 30 países para discutir sobre crimes cibernéticos e ransomware, informou Amorim.
Números – No Brasil, os ataques afetam diversos segmentos do mercado e estão cada vez mais organizados, especializados e bem estruturados, sendo os setores de finanças e seguros os mais atingidos, seguido pela indústria (em grande parte devido a vulnerabilidades em equipamentos desatualizados e integrados à internet), pelos setores de energia e óleo & gás, varejo, serviços, e o governamental. Amorim salientou que “13% dos incidentes de cybersegurança em tecnologia operacional (OT) são perpetrados por colaboradores (40% maliciosos e 60% negligentes), 25% dos ataques no setor de transporte por insiders maliciosos e 36% dos ataques no setor varejista ocorrem através do roubo de credenciais”.
Tipos de ataque – De acordo com o levantamento realizado pela IBM, o ransomware está entre os tipos de ciberataques mais realizados na América Latina, representando 19% dos casos. No mesmo patamar se encontram aqueles de tipo BEC (business email compromised), também com 19%. Empatados, seguem os ataques de Misconfiguration (configuração indevida) e de Data theft and leak (roubo e vazamento de dados) com 14%. Abaixo na classificação, ambos atingindo 10%, estão os ataques de server access (acesso a servidores) e cryptomining (uso de servidores para mineração de criptomoedas). Por fim, cada um representando 5% dos ataques identificados, estão aqueles de fraud (fraude), de DDoS (negação de serviços por sobrecarga e indisponibilidade) e de credential theft (roubo de credenciais).
Com relação aos vetores de ataque na América Latina, isto é, a forma como o hacker introduz o ransomware no sistema da empresa, Amorim revelou que as pesquisas da IBM destacaram a busca por vulnerabilidade (35% dos casos), o phishing (33%) e o roubo de credenciais (18%).
Anatomia de um ataque – Segundo Amorim, o hacker que busca invadir o sistema de uma empresa tem quatro principais formas de executar o ataque. Na fase inicial, o criminoso pode buscar uma estratégia de phishing, escolher um procedimento no qual testa diversas senhas (por tentativa e erro), buscar explorar vulnerabilidades do sistema, ou enviar e-mails com os quais tenta convencer ou ludibriar os destinatários.
A segunda fase corresponde ao acesso inicial ao sistema da empresa. O hacker pode encontrar meios, por exemplo, obtendo credenciais válidas ou descobrindo uma falha de segurança, para realizar a instalação do ransomware ou do malware (programa codificado capaz de se espalhar e receber comando de um usuário externo ao sistema).
Na terceira fase, o hacker busca a consolidação e a preparação do seu plano. Nessa etapa ele pode atuar por meses dentro do sistema, realizando uma “movimentação lateral” (distribuir o malware ao maior número de máquinas possíveis) e mapeando o ambiente para encontrar o local de backups, as fragilidades do sistema, e os servidores mais importantes.
Enfim, em um momento propício, isto é, quando acredita que a empresa se encontra em uma situação mais vulnerável e disposta a realizar um pagamento, o hacker realiza o roubo dos dados, procede a destruição do backup e realiza o pedido de um resgate (sequestro dos dados).
Estratégias de proteção – Segundo Amorim, a empresa dispõe de instrumentos que podem dificultar a ação dos hackers e minimizar os eventuais impactos de um ransomware. Destacou que como proteção para os ataques da primeira fase – na qual o hacker explora alvos –, podem ser utilizados filtros de conteúdo, pode ser elaborada uma estratégia de conscientização dos colaboradores, a adoção de 2FA (autenticação a dois fatores) ou uma política de monitoramento e gestão de vulnerabilidades do sistema.
Para a proteção do sistema quando o hacker já realizou o acesso ao sistema empresarial (segunda fase), o especialista recomenda duas soluções: a microssegmentação ou o EDR (Endpoint Detection and Response). “Ambas são soluções que olham o comportamento do malware e impedem que ele faça a movimentação lateral”, explicou Amorim. Para a proteção da terceira fase, a melhor escolha é a microssegmentação, enquanto as melhores opções para a quarta fase são o EDR ou o DLP (Data Loss Prevention).
“A empresa não precisa ter todas essas ferramentas para se defender de um ataque ransomware. Algumas delas, em conjunto com processos e com uma equipe bem treinada, já podem ser bem eficientes nesse caso”, destacou o especialista da IBM.
Pagamento do resgate – Apesar de ter ciência de que a empresa atacada possa se encontrar em uma situação crítica ou desesperadora, Rodrigo Ratton afirmou que aceitar o resgate não é a melhor opção. Segundo Amorim, o pagamento pelo resgate dos dados não é indicado, principalmente por dois motivos: (a) não existe a garantia da restituição dos dados após o pagamento e (b) o ceder à extorsão acaba incentivando o crime pois mais hackers terão razões para iniciar ou dar continuidade a essas práticas.
A última linha de defesa – A “última linha de defesa é o velho e bom backup”. Porém, Amorim ressaltou que ele deve ser utilizado em conjunto com outras estratégias como o cloud e o Disaster Recovery Plan – DR (planejamento de segurança que visa manter funções críticas antes, durante e após um evento de desastre, causando uma interrupção mínima na continuidade dos negócios ou serviços) de forma a evitar a realização do backup infectado com o ransomware, o que tornaria ineficaz o procedimento.
Rodrigo Ratton afirmou que a preocupação com o DR voltou a ganhar os holofotes, pois o tema do ransomware está em alta. Para as empresas, “o Disaster Recovery Plan acaba sendo a melhor solução, pois quando o DR é bem estruturado pela empresa, ele acaba sendo o melhor caminho para sair dessa situação de crise.” Salientou, porém, que para maior eficácia, é necessária a criação de um Disaster Recovery Plan que leve em consideração o RPO (recovery point objectives), o RTO (recovery time objective), a análise na camada das aplicações e a fundação na camada de infraestrutura (foco em rede).
“A cloud é uma boa alternativa para a criação de um DR e possui um custo superatrativo. A nuvem tem viabilizado muitos projetos de disaster recovery com foco em ransomware”, concluiu.
Custos – Com relação aos investimentos necessários para a proteção das empresas contra os ataques, Ratton destacou que hoje a tecnologia está muito mais flexível. “Existem ferramentas que tem um custo bem razoável e a infraestrutura, se for planejada, tem um custo muito menor”.
Rubens disse acreditar que se deva sempre usar o bom senso. “As empresas devem se preocupar com a questão do risco que está mais presente, mas também têm de ser levada em consideração a probabilidade de ser atacada, os custos, a análise de impacto, etc. para desenhar o melhor modelo que caiba dentro do seu orçamento.”
Segundo Amorim, os técnicos possuem muita dificuldade para conversar com os executivos sobre riscos, não entendendo “que o perfeito é inimigo do bom”. O técnico busca sempre a melhor solução, o máximo possível e isso faz com que o diálogo com a direção da empresa não avance de forma satisfatória. Por isso, o “CFO deve contribuir com os técnicos e analistas para alcançar uma solução balanceada”, concluiu o especialista em segurança da IBM.
O vídeo da live, com todos os assuntos abordados, ficará disponível para acesso dos associados no canal do IBEF-SP no YouTube.