Parece que não passa uma semana, se tanto, sem que saia mais uma notícia de violação de dados em empresas. E parece cada vez mais comum que as violações batam recordes de quantidade de informações roubadas. Por onde uma empresa que tenta proteger seus dados deve começar? O que ela deve considerar? Para responder a essas perguntas, eu falei com Marc van Zadelhoff, vice-presidente de IBM Security, sobre o atual estado da segurança cibernética e sobre o estudo de 2015 do Instituto Ponemon sobre segurança cibernética no mundo, patrocinado pela IBM.
O estudo encontrou novas tendências em segurança cibernética?
Marc van Zadelhoff: Temos ampla atuação na área de segurança e assim conseguimos enxergar para além do estudo, através dos milhares e milhares de clientes que monitoramos diariamente. Uma das coisas principais que observamos ao longo dos últimos anos é que as violações são realizadas, de modo crescente, por organizações criminosas cada vez mais sofisticadas. Quarenta e cinco por cento das violações ocorrem por causa de invasão criminosa, por isso uma das razões para o aumento de custo é esse aumento que estamos observando nas violações causadas por criminosos, ao contrário de outros fatores, como erros involuntários.
A violação causada pela perda de um laptop de um funcionário é um dos casos, mas cada vez mais elas são feitas por criminosos organizados que são muito persistentes na sua abordagem. Por exemplo, quando um criminoso está envolvido, o custo de uma violação, em geral, é $ 170,00 per capita por violação; já se é uma falha do sistema ou um erro humano é mais próximo de $ 140,00 por violação. Torna-se mais caro porque eles roubam mais, são mais persistentes, sorrateiros, estão sempre sondando a área, são mais difíceis de detectar e é mais difícil se livrar deles. É como um vírus mais difícil de eliminar de seu corpo. É mais difícil inocular a nossa organização contra os ataques mais avançados, e mais difícil tirá-los do sistema.
Estou surpreso que a percentagem de violações causadas por agressores não é maior. Parece que esses são os que você tende a ouvir a respeito com maior frequência quando lê as manchetes nos jornais.
Há um incentivo para falar sobre violações como sendo um ataque que não existe no caso de um erro. Eu acho que é por isso que os casos que são cobertos com frequência na imprensa são aqueles onde as empresas declaram: “Alguém fez um trabalho profissional para nos atacar.” Eu acho que as pessoas reclamam menos quando é um erro de fato.
E sobre as violações causadas por erros, aquelas que você não ouve falar tanto a respeito?
Eu acho que não está sendo dada atenção suficiente para os casos de exposição descuidada de dados por erros internos – que acontece muito frequentemente, mesmo quando os responsáveis não tem má intenção. Além dos deslizes mais óbvios, como deixar senhas à vista ou deixar de relatar um dispositivo corporativo perdido ou roubado, muitas pessoas hoje estão fazendo upload de informações pessoais e corporativas em plataformas colaborativas de terceiros, sem pensar duas vezes sobre a segurança disso. Embora essas ferramentas nos forneçam uma riqueza de oportunidade quando se trata de trabalhar de forma mais eficiente e colaborativa, temos que lembrar de sermos sempre cautelosos em relação à forma como estamos usando, compartilhando e coletando dados.
O que os criminosos cibernéticos geralmente procuram? O que as empresas deveriam proteger?
Em geral, os criminosos organizados tentam roubar coisas de grande valor, e uma das indústrias mais valiosas, em termos de custo, é a de assistência médica. Então, o que se vê são criminosos indo atrás de registros de saúde, porque no mercado negro ele provavelmente consegue vender um registro de saúde de uma pessoa por cerca de $ 50. Se eles só roubarem dados de cartão de crédito ou números de documentos pessoais, talvez consigam vender no mercado negro por $ 1. Ou podem roubar um registro de saúde e não vendê-lo, mas alavancar essas informações para um ataque mais sofisticado. Eles podem fingir que representam um banco, dizendo: “Ei, eu sei que você está prestes a fazer uma operação, não se esqueça de transferir algum dinheiro clicando aqui,” ou o que quer que seja. E então você pensa: “Bem, eles sabem que eu vou fazer uma operação amanhã, então deve ser um banco legítimo”. Assim, o crime resulta em dados mais valiosos do que os obtidos inicialmente.
Se os registros de assistência médica valem tanto, por que hackers vão atrás de outras coisas?
Embora os registros de assistência médica tenham muito valor na Dark Web, há outros tipos de dados de alto valor que podem ser reunidos para serem utilizados em ataques sofisticados. Esses tipos de informação podem ser usadas em atividades maliciosas como engenharia social, criação de dossiês sobre figuras públicas importantes (com o objetivo malicioso de perturbar suas vidas), roubar identidades, danificar uma marca corporativa, e muito mais. Empresas de todos os tipos e tamanhos devem tentar entender quais os tipos de informações que eles têm seriam de maior valor para os hackers, assim como quais seriam mais prejudiciais para a sua empresa, empregados e clientes se ocorrer uma violação. Assim, ao tomar este primeiro passo de definir o que é mais importante e onde está localizado, as organizações podem personalizar seus programas de segurança para proteger adequadamente as suas “joias da coroa”.
O estudo descobriu que o fator de maior impacto sobre o custo per capita de uma violação é o treinamento de funcionários. Trata-se do treinamento do pessoal de TI ou o treinamento de segurança padrão que todo mundo recebe?
Ambos. Você provavelmente já teve treinamento de segurança no trabalho, talvez até mesmo tenha sido testado no final desse treinamento, para verificar se lembrava das coisas. Mas você pode testar mais pessoas ao longo do ano, e você pode tentar “enganá-los”. Por exemplo, trabalhamos com clientes para fazer uma espécie de ataque de phishing nos empregados. É uma maneira de verificar em que os funcionários clicam em um e-mail. Podemos enviar-lhe um e-mail dizendo: “Ei, eu vejo que você está indo para a Califórnia na próxima semana, clique aqui para confirmar a sua viagem.” Mas nós teríamos descoberto isso porque você postou no Facebook que você está indo para a Califórnia. Bem, se você clicar no e-mail, uma vez que é a sua empresa que o enviou, uma janela vai aparecer dizendo: “Isso na verdade é um ataque de phishing, você deve sempre verificar o cabeçalho e quem está enviando a mensagem antes de clicar em qualquer coisa.” Portanto, é uma maneira de testar as pessoas sem que isso seja uma tentativa verdadeira de hack.
Se você tem empregados conscientes e um pouco paranoicos, isso pode fazer uma grande diferença. E muitas vezes os funcionários mais seniores em uma organização são aqueles que são menos conscientes socialmente, em termos de Facebook e LinkedIn, por exemplo. Eles podem ser bastante suscetível ainda a clicar nas coisas, ou supor que se alguém lhe envia um e-mail com algumas informações corretas, então a mensagem é legítima.
Ataques recentes contra o departamento de pessoal dos EUA e um Hedge Fund de Londres mostram de duas maneiras diferentes como a cibersegurança é tão difícil hoje: em primeiro lugar, até mesmo o governo dos EUA não está a salvo de ataques e, segundo, o diretor financeiro do fundo hedge conseguiu ser enganado, fornecendo informações por telefone. Que lição uma empresa deve tirar dessas histórias?
A primeira lição dessas violações é que as quadrilhas de cibercrime de hoje não tem vergonha e operam com a organização e sofisticação de uma empresa bem financiada.
Os funcionários podem ser vistos como o calcanhar Aquiles da segurança cibernética; erros cometidos por aqueles que têm acesso ao sistemas de uma empresa são o catalisador em 95% de todos os incidentes. Pode ser tão simples quanto clicar acidentalmente em um link malicioso ou deixar de desconfiar da autenticidade de uma chamada por telefone ou de um website bancário. Mesmo as organizações com as estratégias de segurança mais robustas e com visão de futuro não são imunes a um lapso de julgamento do empregado.
É fundamental que, além de uma forte defesa técnica da segurança, as empresas eduquem continuadamente os funcionários sobre os perigos de ataques de segurança, garantindo que eles saibam o que procurar e como não serem vítimas de engenharia social. Eles devem avaliar continuamente e manter o controle sobre quais funcionários têm acesso a dados sensíveis, e garantir que o acesso seja removido imediatamente quando um indivíduo é desvinculado da organização ou muda de cargo para um que não requer o mesmo nível de acesso.
Como você já estudou segurança pelo mundo, quais são as boas práticas que as empresas deveriam seguir?
Uma boa prática, em primeiro lugar, é ter boa capacidade de análises e inteligência. Você precisa ter mecanismos para obter informações durante ou após uma violação de dados para ser capaz de compreender os danos. Além disso, ter uma equipe de resposta a incidentes que é treinada e pronta para o cenário de uma violação. Da mesma forma como seus filhos na escola fazem simulação de incêndio, você deve simular violações, assim se ocorrer uma você já sabe que determinada pessoa vai estar no comando, uma outra vai dar declarações para a imprensa, Larry e Sue vão chamar a polícia. Empresas que tinham uma equipe de resposta tiveram um custo médio US $ 12 ou $ 13 menor por violação per capita do que as empresas que não tinham.
Em terceiro lugar está o uso de criptografia. Se seus dados estão criptografados, talvez eles consigam um nome de usuário, a senha, talvez um número de documento pessoal, mas o registro de assistência médica estarão protegidos por criptografia. Então, eles conseguem roubar $ 1 em dados, mas não conseguem os US $ 50 em dados.
Em quarto é o treinamento de funcionários. Em quinto, todas as organizações têm uma equipa de gestão de continuidade de negócios. Se há um tornado ou um furacão, eles são capazes de ajudar as empresas a permanecerem em funcionamento. Bem, envolvê-los quando há uma violação é uma boa prática. Por fim, o envolvimento em nível de Diretoria. Por exemplo, digamos que houve uma violação, você foi até o departamento de marketing e disse: “Precisamos desligar um determinado banco de dados com os dados de clientes que é acessado com frequência.” Eles podem olhar para você e dizer, bem, mas por quê? Mas se você se preparou com antecedência e explicou, durante uma simulação, quais medidas seriam tomadas, isso pode fazer uma grande diferença.
E a empresa está fazendo seu planejamento de segurança, qual deve ser o seu objetivo? Ela pode realmente se defender contra hackers?
A realidade hoje é que não importa o quão cuidadosos sejamos, não importa quão bem nós façamos nosso planejamento de estratégias ou quão completo seja o treinamento e o engajamento dos funcionários, nós nunca estaremos 100% seguros contra um ataque cibernético. Nossa melhor defesa é reformular nossa abordagem da segurança, para se distanciar de uma posição defensiva e isolada, de constante bombardeamento, para uma posição colaborativa e de união, orientada pela coleta de informações contra a cibercriminalidade.
Precisamos começar a pensar da mesma forma que os hackers que têm tido tanto sucesso invadindo empresas. Hackers usam a rede subterrânea Dark Web para compartilhar dados, conhecimentos e recursos. De forma colaborativa, eles se organizam em anéis de cibercrime complexos e altamente eficientes, a partir dos quais 80% das campanhas maliciosas começam. O setor privado, em grande parte, ainda trabalha isoladamente, sem ter nenhuma visão dos possíveis ataques no horizonte até que sejam atingidas por um.
Para uma reação tão eficaz quanto possível, temos de colaborar no mesmo nível que os hackers, compartilhando informações entre as indústrias e organizações de modo a prever os ataques. Assim como a epidemia de uma doença, se formos capazes de colocar a infraestrutura, as advertências e precauções adequadas antes que um ataque malicioso chegue até nós, provavelmente estaremos muito melhor equipados para detectá-lo e eliminá-lo caso ele consiga entrar em nossos sistemas.
JM Olejarz é escritor e editor em Boston. Ele possui um mestrado em cinema na UCLA.
Fonte: HBR