Opinião | Ciberataques: de que vale ter uma porta blindada se não a trancamos?

Abel Camelo - Manager da Infosistema.,

Nos últimos tempos tem sido cada vez frequente a existência de ataques informáticos às organizações. Exemplos como ataques ao Ebay e Dropbox, com o roubo de credenciais e senhas de acesso ou o alegado ataque russo à campanha de Hillary Clinton, que resultou na divulgação de mais de 60 mil e-mails da campanha são um novo paradigma.

Nesta semana, o mundo sofreu um ataque sem precedentes na sua escala, de acordo com as declarações de Rob Wainwright. Este ataque tratou-se de um ransomware (em inglês ransom significa “resgate”) que resulta, não na fuga de informação, mas na negação do acesso do utilizador à informação que os seus ficheiros contêm, isto através da encriptação dos ficheiros e consequente procura por obtenção de um resgate para “libertar” a informação.

Este ataque, acima de tudo criou o “pânico”, resultando em inúmeras organizações a solicitar aos seus funcionários para a suspensão de atividades e desconexão de equipamentos das redes, com receito do impacto do ataque.

A resposta a este ataque foi uma demonstração dramática do valor da existência de planos de contingência, que permitam mitigar o impacto destes ataques e acima de tudo, permitir às organizações não ficarem reféns do “medo” e em caso de ataque recuperar prontamente.

Seja qual for o resultado dos atuais ataques, resulta dos mesmos a necessidade de as organizações se redefinirem e assegurarem que “todos” sabem qual o seu papel na iminência ou concretização de um ataque. Igualmente, demonstra a falta de preparação das organizações, onde em algumas, os planos ou não são frequentemente testados e validados ou as melhores práticas (por exemplo: instalação dos patches de segurança mais recentes) são renegadas, em prol do apaga fogos do dia-a-dia.

Vamos refletir, encontramo-nos numa sociedade eletrónica, numa atual transformação digital, onde não só temos o nosso computador, telemóvel, tablet, e-book reader, etc… como a informação começa a ser acessível via canais e equipamentos menos usuais, televisões, frigoríficos, máquinas de lavar, sistemas de iluminação, etc. A verdade é que controlar o acesso físico às instalações das organizações (e até de casa) é a componente fácil e que, possivelmente a que menor risco apresenta. A informação acaba por ser passível de propagação por estes canais, que nem sempre contemplamos nas nossas estratégias de mitigação e nem controlamos.

Assim, é necessário identificar riscos para cada organização, proceder à devida diligência para o cuidado dos seus ativos. As boas práticas de segurança são diariamente postas à prova nas organizações, são os PC desbloqueados, correio eletrónico sem práticas.

Há uns anos, num cliente, fizemos a simples experiência de deixar drives USB “perdidas”, com uma hiperligação para um website, o primeiro acesso ocorreu 38 minutos após a “perda”. Só veio reforçar a falta de preparação dos colaboradores para com a temática. Este é um exemplo em que a falta de preparação aliada a uma fraca promoção de uma cultura de continuidade de negócio podem significar para uma organização, abrir as suas portas a terceiros. Levantando-se a questão: de que vale ter uma porta blindada se não a trancamos?