Com a tecnologia cada dia mais dentro dos negócios ou sendo o próprio negócio, detectar, proteger, monitorar e evitar são palavras de ORDEM e fazem com que as empresas invistam mais em proteções cibernéticas. Mas será que é o suficiente? O quanto estamos REALMENTE vulneráveis aos incidentes cibernéticos e como podemos nos proteger? Perguntas como esta estão na cabeça de vários executivos no comando de grupos empresariais o tempo todo, e acredite: não são apenas os executivos de TI.

Segundo o Internet Crime Report, emitido pelo FBI todos os anos, em 2017 o IC3 (Internet Crime Compliant Center), setor responsável pelo monitoramento e registro de incidentes, recebeu um total de 301.580 reclamações com perdas relatadas acima de US$ 1,4 bilhão, cerca de 1.783 reclamações identificadas como ransomware com perdas de mais de US$ 2,3 milhões por exemplo.

Em maio de 2000, o IC3 foi estabelecido como um centro para receber denúncias de crimes na Internet nos EUA. Já foram 4.063.933 queixas relatadas ao IC3 desde o seu início. Nos últimos cinco anos, o IC3 recebeu uma média de mais de 284.000 reclamações por ano. As denúncias tratam de uma ampla gama de fraudes na Internet que afetam vítimas em todo o mundo. O relatório de 2017 enfatiza os esforços do IC3 no monitoramento de golpes em alta, como e-mails de compromissos de negócios, ransomware, fraude de suporte técnico e extorsão.  No ano passado, os tipos de crime mais relatados pelas vítimas foram o não pagamento e a não entrega, a violação de dados pessoais e phishing (e-mails falsos que tentam “pescar” o interessado quando clica). No Brasil, no mesmo ano, foram reportados ao CERT.br cerca de 833.775 incidentes/ataques, sendo 45.101 Worms, 401 invasões, 59.319 fraudes, 220.188 DOS (um tipo de ataque que derruba o serviço provido por um website), cerca de 60.766 ataques WEB e 443.258 Scan (um tipo de monitoramento e escuta de redes e websites).

A maioria das empresas ainda está preocupada com um vírus via internet que pode oferecer algum tipo de dor de cabeça, e para isso se confortam sabendo que possuem antivírus atualizados, porém, os vírus de computadores românticos que apenas faziam uma aplicação travar ou telas piscarem desordenadamente infelizmente estão nos livros de contos de fadas. Hoje os códigos maliciosos evoluíram e a preocupação está com as pragas que se auto propagam e com sequestros de computadores.

Numa pesquisa de 2017, a Symantec apontou uma migração dos criminosos que faziam códigos maliciosos e ramsonware para sequestros de computadores para minerar criptomoedas. Isso mesmo, seu computador em casa conectado na banda larga pode ser usado para minerar criptomoedas, ou ainda pior, sua rede ou servidores da empresa podem ser sequestrados e serem usados para rodar mineradores de criptomoedas. “Com uma barreira reduzida de acesso - ao exigir apenas algumas linhas de código para operação - os cibercriminosos usam mineradores de moedas para roubar o poder de processamento do computador e o uso da CPU na nuvem de consumidores e empresas para minerar criptomoedas.”

Essa corrida do ouro da mineração de criptomoedas resultou em um aumento de 8.500% nas detecções de mineradores de moedas em computadores de endpoints em 2017. Você sabe o que é o endpoint? Pode ser seu smartphone, seu computador pessoal em casa, ou até mesmo o servidor na sua rede. Ou seja, um aumento considerável em infectar e utilizar os recursos de processamento de outras pessoas sem pagar por isso. Por que infectar e prejudicar, quando se pode infectar e usar os recursos e ainda poder ganhar um dinheiro, um verdadeiro parasita?

No mesmo estudo, a Symantec aponta que os dispositivos móveis são o grande alvo daqui para a frente e também os sistemas que os controlam. Cerca de novas 27.000 variantes para novos ataques surgiram, um aumento de 54% desde 2016. O número médio de aplicativos maliciosos para dispositivos móveis bloqueados por dia chega a 24.000 e as categorias de aplicativos que possuem mais códigos maliciosos para smartphones são 27% estilo de vida e 20% música. A maioria dos códigos maliciosos para smartphone vaza os números de telefones dos usuários dos smartphones, ou suas listas de contatos e na maioria dos casos a localização do individuo. Muitas pessoas utilizam versões de sistemas operacionais mais antigos, ou não atualizam, sendo que apenas 20% dos que usam Android estão na versão mais recente. Alguns smartphones são antigos e não permitem mais atualizações do sistema operacional.

Mais que um vírus de computador

São mais de 140 grupos criminosos conhecidos e monitorados pelas empresas de segurança, dos quais a maior parte dos ataques vem da China e EUA, porém o Brasil representa cerca de 7% da origem dos ataques ou propagação de pragas virtuais. O crime cibernético tornou-se um bom negócio e, por isso, desenvolver códigos maliciosos para roubo de informação, roubo de identidade ou simplesmente usar seus servidores ou computadores da rede para minerar criptomoeda se tornou algo constante. A maioria das infecções iniciais são feitas para se descobrir mais informações, ou seja, 90% é coleta de dados, 11% são buscas disruptivas que não seguem um padrão e 9% tem foco financeiro, seja para pegar dados ou senhas de bancos ou cartões de crédito. Muitos grupos de criminosos colocam na verdade a armadilha em websites que as pessoas vão acessar, ex.: se dos alvos planejados eles identificarem que em comum todos são torcedores de um time ou gostam de vinho, provavelmente tentarão infectar por um phishing ou criar um website falso sobre o tema.

Infectar os softwares na fábrica, ou seja, na cadeia de suprimentos. Cada vez mais as empresas que tem algum aplicativo devem fazer testes e verificação de segurança, seja um software de financeiro, de um multimídia de um veículo ou automação da sua casa. Se o software for infectado e os pacotes de atualização já trouxerem o vírus embutido, será muito difícil perceber, o que exige da indústria de softwares cada vez mais preparação e alto investimento de sua receita em ciberdefesa.

O World Economic Forum 2018, em DAVOS, emitiu o Global Risk Report, que cita os maiores riscos globais. O ciberataque está entre os quatro maiores, seguido de perto por fraude de dados e roubo de identidade. Temos 8.4 bilhões de dispositivos de IoT (internet das coisas) e 7.4 bilhões de pessoas, o que demonstra que teremos pelo menos de 3 a 4 dispositivos em nossas vidas conectados cerca de 24 horas por dia, o que representa mais alvos. Outro interessante ponto do relatório são as projeções de riscos envolvendo tecnologias: o primeiro sobre os riscos adversos decorrentes da evolução e uso cada vez mais simbiótico com o ser humano, o segundo voltado à interrupção de infraestruturas críticas (segurança, saúde, transporte, financeiro e telecomunicações), o terceiro sobre Ciberataques em larga escala e intimamente relacionado ao quarto, Fraude de Dados e Roubos de forma massiva. Todos esses riscos são mencionados em outras análises de setores públicos e privados, o que se recomenda aos comitês executivos das empresas uma séria análise e investimento.

Como proteger sua empresa em cinco passos:

  1. Faça uma análise 360 graus de segurança – Isso é mais que um Pentest, trata-se de uma análise de processos, pessoas e tecnologias envolvidas com a segurança e os riscos associados. Envolve a empresa toda. Alguns chamam de análise de GAP, mas o correto é uma análise 360 graus de segurança da informação. A segurança da informação e cyber começam na Direção na empresa e depois permeia finanças, TI e áreas de negócios. Lembre-se: uma ação de ciberataque pode ter como foco seu jurídico!
  2. Atualize, monitore e gerencie – Todos os controles de segurança e cyber segurança existentes, como firewall, antivírus e outros precisam ser bem gerenciados, testados e periodicamente questionados quanto à sua utilidade, foco, resultados e mitigação. Muitas vezes algumas pessoas da TI cuidam de controles de segurança, mas não gerenciam ou questionam os mesmos.
  3. Educação contínua – Do Presidente ao Office boy essa é a regra. Ninguém sabe tudo, portanto, conscientizar, educar e compartilhar informações e orientações são importante para qualquer empresa. Compre palestras, conteúdos, possibilite que pessoas internas engajadas no tema compartilhem suas experiências, abra um canal na intranet ou na revista corporativa, crie um canal de informação e denúncias. A ciberseguranca é um assunto novo, que está dentro da vida das pessoas e da casa delas, portanto, todos querem saber.
  4. Diagnóstico - Contrate Experiência no começo – Não tem milagre ou comida grátis. Para atuar em cibersegurança inicialmente contrate especialistas, depois com o tempo forme seu time interno na empresa. Primeiro, busque empresas que possam diagnosticar e criar um plano de ação para tratamento, considerando as melhores práticas e referências de mercado como o NIST e a ISO 27001. O mundo está cheio de cyber aventureiros e pseudo-hackers de plantão.
  5. Onde está o real valor? – O que seu negócio é? O que representa? Qual o valor dos produtos e serviços prestados? O que seu negócio impacta? Quais os processos mais impactantes? O que e quando pode perder? Quais os seguros de cyber que podem ser contratados? Podemos vazar informações? Quais? Qual a dependência de TI e da Cadeia de Suprimentos? Todas as perguntas precisam ser respondidas e a Diretoria e os sócios precisam estar atentos às responsabilidades civis e criminais por cyber incidentes e por interrupções desnecessárias. Uma Análise de Riscos e uma Business Impact Analysis podem responder a muitas dessas informações ou endereçá-las, mas além disso é importante criar um Plano de Continuidade e saber qual o real valor das informações.

Referencias da internet:

https://pdf.ic3.gov/2017_IC3Report.pdf

https://anchisesbr.blogspot.com/2017/08/seguranca-estatisticas-do-ciber-crime.html

https://www.cert.br/stats/incidentes/2017-jan-dec/tipos-ataque.html

 

Jeferson D’Addario

CEO do Grupo DARYUS