Não é segredo que as ameaças cibernéticas aumentaram, não têm fronteiras e são globais, tal como a economia e os negócios. Com uma superfície de ataque cada vez maior, a complexidade dos sistemas de cibersegurança também tem inevitavelmente de aumentar.

A transformação digital das organizações é também uma realidade cada vez mais notada, tornando evidente a necessidade de encontrar estratégias e modelos de governo adequados que permitam mitigar riscos e salvaguardar os dados das organizações.

Uma estratégia de cibersegurança que assegure a proteção de uma empresa, da sua informação mais sensível e dos seus colaboradores é cada vez mais uma questão core para assegurar a sobrevivência num mundo cada vez mais complexo e em que as ameaças se multiplicam a uma velocidade exponencial.

Esta estratégia passa por, entre tantos outros aspetos, implementar sistemas e processos robustos para prevenir e detetar incidentes, garantir a máxima segurança da informação do negócio e dos clientes. Com a informação e dados cada vez mais dispersos, os riscos aumentam. E onde há riscos, devem ser mitigados ao máximo.

PUB • CONTINUE A LER A SEGUIR

Olhemos para os dados recentes do ’Relatório Cibersegurança em Portugal – Riscos & Conflitos‘, do Centro Nacional de Cibersegurança (CNCS): o número de incidentes de cibersegurança registados pelo CERT.PT recuou de 754 registos no primeiro trimestre de 2022 para 470 de janeiro a março de 2023, o que representa uma subida de 28% relativamente ao último trimestre de 2022, no qual se registaram 366 incidentes, mantendo a trajetória ascendente dos anos anteriores.

Também de acordo com o CNCS, o phishing (emails fraudulentos) e o smishing (SMS fraudulentos) representaram 37% do total da origem de incidentes, seguindo-se a engenharia social, com 14%, e a distribuição de malware (software nocivo), com 11%.

O estudo da Deloitte,  Global Future of Cyber Survey 2023, com entrevistas a mais de 1.000 líderes em 20 países de todo o mundo, não é mais animador, já que uma maioria esmagadora das empresas inquiridas (91%) reportou pelo menos um incidente de cibersegurança no ano passado, o que representa um aumento de 3% em relação ao período homólogo anterior. E se os dados não chegam, olhemos para exemplos concretos.

Numa intervenção feita em Lisboa, Tim Maurer, que foi conselheiro sénior para a Cibersegurança e tecnologias emergentes do Secretário de Segurança Interna dos EUA, que falava nos Investor Relation Governance Awards (IRGA), da Deloitte, apresentou alguns incidentes que tiveram impacto a nível nacional nos Estados Unidos com destaque para o tema do SolarWinds.

O ataque a que me refiro, ocorrido em 2020, foi uma complexa e ofisticada operação de ciberespionagem que visou diversas agências governamentais dos EUA e empresas globais ao comprometer o software de gestão da SolarWinds através de uma atualização maliciosa. Isso permitiu que os invasores obtivessem acesso não autorizado a sistemas sensíveis, resultando numa das maiores violações de segurança cibernética já registadas, com suspeitas a apontarem para um grupo de hackers apoiado por um Estado, possivelmente ligado à Rússia.

O SolarWinds é definido como um dos incidentes de cibersegurança mais prolíficos da história recente devido à sua magnitude, métodos de ataque e ofuscação sofisticada. Tais táticas, técnicas e procedimentos (TTPs) permitiram que os invasores evitassem até mesmo as defesas cibernéticas mais maduras, passando despercebidas durante meses. Ataques como este crescem em frequência e sofisticação e demonstram que ameaças motivadas são capazes de violar até mesmo as redes e sistemas mais seguros, levando organizações maduras a perguntar: “Será que nossos esforços nesta área foram suficientes?”. Não há risco zero e a pergunta que se impõem é “e se tivéssemos ignorado esta ameaça?”

Existem, no entanto, alguns pontos que sabemos sobre o episódio SolarWinds, e que nos podem dar pistas sobre como prevenir e lidar com situações semelhantes no futuro. Tratou-se de um ataque da cadeia de abastecimento provavelmente executado por uma equipa suportada por um Estado e que clientes da SolarWinds que baixaram a atualização da plataforma Orion com malware acabaram por incorrer em risco de ataque, o que multiplicou a magnitude da invasão. Os atacantes utilizaram então contas manipuladas para aceder a servidores com informação sensível, servindo-se de uma forte ofuscação na memória, permitindo-lhes evitarem a deteção e atrasar ao máximo a sua descoberta.

No entanto, certas peças de propriedade intelectual sensível, que tinham um nível mais alto de proteção, não foram penetradas pelos atacantes.

Há por isso lições a retirar deste exemplo prático para melhorarmos a postura das organizações, em Cibersegurança, a curto prazo.

Começando pelo entendimento do risco, é fundamental avaliar o panorama geral ameaças e a evolução da superfície de ataque devido aos processos de transformação digital. Isso ajuda a estabelecer um estabelecer um perfil de risco e a determinar o nível de apetite ao risco da organização. Esta gestão do risco deve estender-se a toda a cadeia de abastecimento é importante implementar processos que assegurem a aquisição segura de software e hardware destinados a infraestruturas críticas. Isso pode incluir a implementação de upgrades críticos, que devem ser implementados inicialmente que devem ser implementados inicialmente em sistemas de desenvolvimento ou ambientes controlados. A gestão de terceiros é igualmente um ponto crucial.

A gestão de terceiros é igualmente um ponto crucial. Identificar quais os sistemas ou dados aos quais terceiros com relações comerciais diretas ou indiretas podem ter acesso ajuda a delinear as medidas de segurança necessárias para proteger essas interações.

A adaptação contínua da estratégia e táticas de resposta a incidentes é crucial para lidar com as técnicas de ataque e requisitos legais que estão em constante evolução. Testar regularmente os planos de recuperação de desastre é parte integrante desse processo. A gestão de vulnerabilidades também deve ser reforçada, com uma integração mais próxima aos sistemas de recolha de logs de segurança e gestão de ativos.

No desenvolvimento de software, a segurança deve ser uma prioridade. Avaliar e integrar os procedimentos de segurança no ciclo de vida de desenvolvimento de software (SDLC) é uma prática recomendada. A monitorização contínua das infraestruturas aliada a fontes de inteligência sobre ameaças, permite uma abordagem proativa na deteção e mitigação de potenciais riscos. Neste sentido, ter um parceiro estratégico pode fornecer uma perspetiva adicional na avaliação de riscos, desde os cibernéticos até os estratégicos, contribuindo para os principais objetivos empresariais. Finalmente, adotar uma abordagem de confiança zero (zero trust) é porventura a medida mais abrangente de todas. Partir do pressuposto que todos os elementos – equipamentos, redes e utilizadores são considerados maliciosos ou comprometidos até prova em contrário, mesmo que dentro das “nossas” redes.

Os dados e a história existem para nos mostrar que o perigo é real e este artigo para nos mostrar alguns passos que as organizações devem dar para estarem mais seguras.

Só assim poderemos garantir que blindamos as nossas empresas, bens e pessoas de forma eficaz e que acompanhe a exponencial evolução das ameaças que todos os dias nos tentam surpreender.