Em pleno fim do ano 2022, a visão feita pelos especialistas revelou um aumento considerável no número de ataques informáticos realizados a diversas empresas de diferentes setores.
No entanto, como é normal, os casos mais mediáticos são sempre os de empresas de grandes dimensões, podendo levar a uma interpretação errada dos riscos reais dos milhões de ataques informáticos que ocorrem um pouco por todo o mundo.
Independentemente do tamanho ou do local onde se encontram as empresas, os especialistas concordam que toda e qualquer empresa pode ser atacada.
Especialistas indicam não haver exceções para os ataques informáticos
O TechBit questionou dois especialistas da área de cibersegurança para averiguar um pouco mais a fundo quais as empresas em risco de sofrerem um ataque informático assim como diversos fatores que podem levar ao sucesso dos mesmos e quais as medidas que todos devem adotar para se protegerem melhor de eventuais ataques informáticos.
Luís Catarino, Offensive Security Manager na S21sec Portugal, indica-nos que “o risco de se sofrer um ciberataque é permanente, sendo apenas uma questão de tempo até acontecer”. O especialista refere ainda que o facto de o mundo estar cada vez mais interligado leva a que uma qualquer infraestrutura possa servir de porta de entrada para diversos ataques informáticos.
Também Pedro Viana, Head of Presales Iberia da Kaspersky, reforça a mesma opinião dizendo que “não há qualquer tipo de exceções.” Os dois especialistas concordam que o sucesso dos ataques informáticos vai sempre estar pendente de diversos fatores internos e da preparação que cada empresa tem para este tipo de situações.
No decorrer do ano 2022, os ataques informáticos foram mais que muitos e afetaram diferentes setores. O da saúde, por exemplo, foi o alvo principal dos ataques de ransomware no 3º trimestre do ano. Como a S21sec já havia avançado, este ano ocorreram 2467 ataques de ransomware e a Kaspersky partilhou que diariamente os criminosos realizam ataques informáticos recorrendo a 400 mil novos ficheiros maliciosos.
Os grupos de maior risco
Apesar de não existirem exceções à regra, os dois especialistas apontam algumas das áreas de maior risco para eventuais ataques informáticos.
“Há grupos de maior risco, setores como a saúde, defesa, educação, serviços financeiros são os alvos primordiais dos ataques, devido à quantidade de dados que possuem, sendo que organizações destes setores são alvos de ataques constantes”, explica-nos Pedro Viana.
Já Luís Catarino acrescenta que “a Banca, por se tratar de um setor com um grande impacto transversal na sociedade no caso de sofrer um ciberataque bem-sucedido, sempre se mostrou mais sensível e preparada para qualquer possível incidente”.
O setor da saúde já era considerado um alvo grande para os ataques informáticos, no entanto, “após o início da pandemia, começou a ser cada vez mais atrativo para os hackers”, avançou Luís Catarino.
As empresas devem apostar na formação dos colaboradores para evitar possíveis ataques informáticos
Recentemente a S21sec alertou para a atenção que os hackers estão a começar a dar no que diz respeito à automatização da industria automóvel. Este avanço na industria tem permitido o acesso dos atacantes a uma novo mundo que anteriormente não se mostrava tão aliciante.
Nesse mesmo alerta, a empresa especialista em cibersegurança, apontou o fator humano como sendo um dos pontos que mais facilita o sucesso dos ataques informáticos realizados a esta indústria.
O fator humano é, na opinião de Pedro Viana, um “dos principais fatores que levam a uma falha de segurança”. O especialista passa a explicar que sempre que acedemos à rede estamos expostos a possíveis riscos, o que pode levar a um ataque caso não se tenha as devidas precauções.
Pedro ainda reforça que, além do fator humano, também “as políticas de atualização dos equipamentos e o investimento em outras áreas das empresas, são fatores que diretamente ou indiretamente afetam a segurança das empresas” face a possíveis ataques informáticos.
Luís Catarino informa-nos que a empresa considera que existe um número cada vez maior de organizações preparadas para possíveis ataques informáticos. No entanto, reforça os 3 vetores que, na sua opinião, representam a maioria das fragilidades existentes nos dias de hoje:
- Tecnologia: Em muitos casos, notamos de não existem ainda tecnologias adequadas que permitam proteger dos ciberincidentes, mas também que permitam detetá-los e responder aos mesmos.
- Processos: Existem ainda muitas organizações sem práticas adequadas definidas para temas críticos como a Gestão de Acessos, Gestão de Vulnerabilidades, Gestão de Incidentes, entre outros, gerindo a cibersegurança ainda de forma mais ou menos ad-hoc.
- Pessoas: Os colaboradores são o elo mais fraco da cibersegurança e a porta de entrada para a grande maioria dos ataques informáticos. O que se nota é que muitas pessoas não estão ainda formadas para saber como detetar e responder aos ciberataques (ex. phishing, engenharia social, malware, entre outros). Isto deve-se ao facto das organizações continuarem a efetuar apenas ações de formação pontuais e não implementarem programas plurianuais e multidisciplinares de sensibilização em cibersegurança.
O ransomware necessita de atenção especial
Sendo o ransomware um dos ataques informáticos mais falado dos últimos tempos, os dois especialistas abordaram a temática para nos explicar como acham que se deve proceder em situações como estas.
O ransomware, sendo bem sucedido na sua missão, acaba por infetar os sistemas afetados roubando determinadas informações, encriptando as mesmas e, mais tarde, os criminosos solicitam um resgate de elevado valor para que devolvam o acesso à informação roubada.
Quando os ataques informáticos deste género são bem sucedidos, a S21sec não aconselha o pagamento do valor de resgate solicitado pelos atacantes. “Não resolve o problema e financia o negócio dos cibercriminosos, no entanto, o pagamento de um ransomware é uma decisão de gestão de risco para a organização”, explica-nos Luís Catarino.
“Tradicionalmente, os ataques de ransomware focavam-se em simples transações económicas com o fim de exigir um pagamento pela recuperação dos sistemas e dos respetivos dados que tinham sido encriptados. Hoje, lidamos frequentemente com ataques que fazem uso de dupla e tripla extorsão. Com dupla e tripla extorsão, referimo-nos por exemplo à cobrança por parte dos atacantes para não publicar os dados internos da organização, e a outras abordagens adicionais tais como a extorsão direta aos utilizadores afetados, ou a ataques de Denial of Service que visam comprometer a disponibilidade do serviço até que a organização decida pagar o resgate”
Luís Catarino, Offensive Security Manager na S21sec Portugal
Pedro Viana partilha a mesma opinião dizendo que “não sabemos quais são as verdadeiras intenções dos atacantes, nada garante que mesmo pagando o valor do resgate os dados voltem a ser restituídos e que os atacantes continuem a utilizá-los para outros fins” ou mesmo para realizarem novos ataques informáticos.
A proteção das empresas é um gasto elevado de dinheiro?
A temática do dinheiro gasto para investir na área de cibersegurança das empresas é sempre um tópico sensível de ser abordado.
Por um lado, é necessário apostar neste setor para garantir a máxima segurança possível das empresas, por outro lado, existem setor que necessitam de um investimento imediato e que acabam por ter mais importância, aos olhos das organizações, que, por exemplo, a atualização de sistemas informáticos ou a formação dos colaboradores nesta área.
Pedro Viana, no entanto, afirma que este tipo de gastos “Não pode ser qualificado como um gasto, mas sim um investimento. Neste momento, a proteção das empresas, implica mais de que um gasto monetário, mas sim um investimento de tempo e de ajudar os colaboradores a entender quais são as ameaças mais comuns.”
Apesar dos softwares fazerem um trabalho incrível na proteção contra ataques informáticos, estes são “altamente escaláveis, permitindo a que os serviços sejam adaptados facilmente, removendo serviços que de outra forma a empresa não lhe daria uso.”
Luís Catarino abordou a questão por outra perspetiva apesar de concordar com a abordagem mostrada por Pedro Viana. Seguindo os dados que tem por parte da S21sec, o Offensive Security Manager mostra-se aliviado uma vez que, “Felizmente, os decisores de topo começam a estar mais sensíveis para o tema da cibersegurança e é algo que deve ser visto como um investimento e não como um gasto, pois um ciberataque bem-sucedido certamente trará consequências de perda de negócio e perda de confiança”.
O especialista partilhou com o TechBit que “o cibercrime representa mais de 1% do Produto Interno Bruto (PIB) mundial e estima-se que este valor aumente consideravelmente nos próximos anos, chegando aos 15% do PIB mundial em 2025”.
Agir o mais depressa possível e ter um plano de gestão de crise é indispensável
No caso de ocorrer um ataque bem sucedido “os principais passos são a ativação do plano de gestão de crise. Perceber como foi feito o ataque, o alcance do mesmo, tentar resolver a falha, e logo que a falha esteja corrigida, proceder a avaliação dos danos causados pelo ataque, posteriormente realizar a recuperação dos sistemas e dados e finalmente realizar o exercício das “lições aprendidas” e melhorar ainda mais o plano de gestão de crise”, explica-nos o Head of Presales Iberia da Kaspersky.
A S21sec partilha que, em média, as organizações tardam 197 dias para detetar um comprometimento da infraestrutura. Para ficar abaixo desta média e reduzir os danos de um ciberataque ao seu negócio, é fundamental contar com uma boa estratégia de monitorização e resposta às ciberameaças.
Luís Catarino avança também que, nos casos em que ocorram ataques bem sucedidos “uma resposta rápida e eficaz pode ter um papel crítico na redução do impacto para a organização”.
O especialista da S21sec adianta que um conjunto de procedimentos predefinidos para conter um incidente de segurança poderá bloquear um atacante e impedir que este se movimente pela infraestrutura. Esta ação vai fazer com que o atacante não consiga aceder a níveis de informação mais elevados e, “consequentemente, limitar os danos causados”.
“No caso da S21Sec, disponibilizamos um serviço de DFIR – Digital Forensics and Incident Response, cujo objetivo é mesmo este, ajudar as organizações que estejam a ser alvo de um ciberataque com impacto relevante, a gerir o incidente, apoiando na contenção, análise e resolução do mesmo.”
Procedimento de segurança a serem implementados
Os especialistas no assunto deixam ainda alguns conselhos para as empresas que sintam que ainda podem melhorar, de alguma forma, os seus meios de proteção contra possíveis ataques informáticos.
A prevenção é sempre o melhor método de se protegerem, aliado a um sistema de segurança bom e atualizado assim como a funcionários bem preparados.
Neste campo, a S21sec realizou um estudo que, segundo Luís Catarino, permitiu concluir que 36% das empresas não tinham a certeza se os seus colaboradores seriam capazes de prevenir e detetar um ciberataque. O que vem fortalecer a conclusão de que os funcionários são, na grande maioria das vezes, os responsáveis por possíveis falhas de segurança e por ataques bem sucedidos às empresas.
O especialista recomenda que as empresas “invistam na proteção, mas também, paralelamente, que apostem na sua capacidade de monitorização, deteção e resposta através de serviços especializados de monitorização de segurança prestados desde um SOC (Security Operation Center) e na capacidade de recuperação de ciberataques.”
Luís avança ainda que, “no final da linha, e de forma a que as organizações consigam recuperar rapidamente de um incidente de cibersegurança, é necessário adotar práticas adequadas de backup e proteção desta informação em cópias desconectadas, para prevenir de ataques de ransomware, complementado com equipas de resposta que consigam rapidamente conter e recuperar desses mesmos incidentes.”
Pedro Viana deixou uma lista mais direta de medidas que considera importantes para que uma empresa se consiga preparar melhor para possíveis ataques informáticos.
“É importante a adoção de programas de formação dos colaborares sobre as mais recentes ameaças e como elas podem afetar a empresa. Devem ser implementadas alterações periódicas das senhas de acesso às plataformas, se possível juntar outros tipos de autenticação, quer sejam elas biométricas ou simplesmente uma autentificação de dois fatores.
É importante que os acessos aos servidores sejam restritos e que não tenham uma ligação direta com a internet ou com um acesso muito limitado. Tão importante é a politica do menor privilegio possível aos colaboradores, tudo o que não for estritamente necessário, não deverá estar permitido.
É importante que se testem as soluções de segurança que são implementadas, testar, testar e testar. Ser o primeiro a encontrar as falhas e ser o primeiro a corrigir.”
Pedro Viana, Head of Presales Iberia
Luís Catarino termina referindo o facto de que já muitas empresas foram atacadas em Portugal, “mas nenhuma empresa pode ficar descansada, pois as que ainda não foram, muito provavelmente serão em breve, e aquelas que já foram atacadas, podem voltar a ser a qualquer momento”.
