Atualizações de Software e Hardware para autodefesa digital
A economia sofre danos anuais de cerca de 203 bilhões por ataques cibernéticos, sabotagem e roubo de equipamentos de TI. As associações de segurança da informação recentemente chegaram a essa conclusão em uma pesquisa representativa de 1.000 empresas em vários setores.
Isso não significa que uma empresa ficará parada por semanas porque os computadores não estão mais funcionando, ou que uma empresa será chantageada em milhões se os invasores usarem o chamado ransomware. Um ataque cibernético já descreve a tentativa de injetar malware em um sistema para ver se há algo para obter.
Os ataques geralmente só se tornam de conhecimento público quando são bem-sucedidos. Se, por exemplo, a TI de uma grande empresa for paralisada, ou o controle por satélite das turbinas eólicas for interrompido ou os fornecedores automotivos tiverem que interromper sua produção. Mas, como mostram pesquisas e relatórios de campo, muitos outros ataques ocorrem em segundo plano. E não apenas para alvos supostamente lucrativos, como grandes empresas, bancos ou provedores de infraestrutura crítica. Isso levanta a questão: Porque empresas de pequeno e médio porte são tão mal protegidas?
Ataques cibernéticos podem atingir qualquer pessoa
Apesar dos números, pequenas e médias empresas estão de uma forma ou de outra relativamente confortáveis… Ou será que não? Há muitas razões pelas quais a segurança de TI ainda é vista em segundo plano e um dos fatores é o custo todas aquelas empresas que não tem grandes condições ou que nunca perderam seus dados raptados não querem gastar com este tipo de coisa e principalmente baseados no lema: “Comigo nunca irá acontecer”.
Não obtenho resultados imediatos para meu investimento em segurança de TI
O cálculo de custo-benefício da segurança de TI é difícil de demonstrar. Principalmente porque não obtenho resultados imediatos do meu investimento. Se ainda não fui atacado, pode ser porque meu sistema é seguro. Mas também pode significar que nenhum ataque ocorreu ainda. Muitas empresas e instituições simplesmente esperam que nada aconteça no futuro. Essa é uma decisão arriscada, porque uma vez que os dados são roubados ou os sistemas e a produção ficam inativos por um longo período de tempo, geralmente fica muito caro.
Uma segunda razão é a falta de consciência do perigo latente. A imagem do filme de que os hackers escolhem um alvo específico e depois o atacam ainda domina o público. Especialmente os responsáveis em empresas pequenas e de médio porte muitas vezes pensam que nem sequer são lembrados. É uma fraqueza humana; você conhece os perigos teóricos e ainda os ignora, diz o especialista da Cyber. Embora existam ações direcionadas, a maioria dos ataques cibernéticos ainda é generalizada. E-mails de phishing são frequentemente enviados para milhares e dezenas de milhares de endereços, desde o grupos Mega Gigantes até o negócio de artesanato ao virar da esquina.
A tecnologia desatualizada torna mais fácil para os invasores
Os criminosos nem sempre estão interessados em roubar segredos comerciais, extorquir dinheiro de resgate por dados criptografados ou causar danos máximos. De acordo com a pesquisa atual da Cyber, dados de comunicação como e-mails ou informações de clientes são roubados principalmente em mais de dois terços de todos os ataques. Estes podem, então, acabar de volta em grandes bancos de dados na Darkweb para serem usados nos próximos ataques. Isto significa que pequenas lojas online ou empresas que utilizam apenas um sistema simples de gestão de clientes também são alvos potenciais.
Uma terceira razão para a segurança de TI às vezes serem ruins ou simplesmente colocada como 2º plano está na própria tecnologia: Especialmente na indústria, os sistemas ainda estão em uso e estão desatualizados em termos de segurança, diz o professor de TI Patrick Foller. Isso inclui máquinas conectadas umas às outras por meio de protocolos inseguros; Software que raramente é atualizado; ou hardware que não é compatível com métodos modernos de criptografia. “Os responsáveis estão bem cientes do problema, mas não é tão fácil de resolver porque não basta instalar uma atualização. Levar os sistemas para o nível mais recente de segurança leva tempo”, diz Foller.
Para piorar a situação, os cibercriminosos também estão em constante evolução e constantemente expandindo e renovando seu arsenal. “Uma verdadeira economia informal com estruturas profissionais se desenvolveu nos últimos 20 anos”, diz Foller. A pesquisa da Cyber também confirma que, pela primeira vez, o crime organizado e as gangues estão no topo da lista de grupos criminosos. Muitas ações agora podem ser rastreadas até grupos de hackers especializados e pessoas apoiadas pelo Estado.
Embora muitas vezes seja difícil identificar exatamente quem está por trás de um ataque, já que muitos grupos usam as mesmas ferramentas ou pelo menos ferramentas semelhantes, Mann explica: “Existe uma divisão real de trabalho na dark web e dentro dos grupos de hackers individuais. Existem pessoas que desenvolvem o malware, pessoas que o oferecem, pessoas que compilam os bancos de dados para e-mails de phishing.” Além disso, é mais fácil obter as ferramentas apropriadas e usá-las sem grandes conhecimentos de programação, que esse cibercrime está atraindo cada vez mais criminosos “não especialistas”. Do outro lado do espectro, existem ferramentas particularmente sofisticadas: vulnerabilidades de dia zero para determinados softwares, para os quais não há contramedidas, às vezes são negociadas por muito dinheiro como aconteceu no caso da empresa SolarWinds em 2021 – representam um perigo particularmente pérfido, pois as empresas têm dificuldade em se proteger deles.
Prevenção e Resposta
Os especialistas distinguem três áreas para uma boa segurança de TI: prevenção, detecção e reação. Por um lado, isso inclui sistemas técnicos como firewalls, software antivírus e servidores VPN, que na melhor das hipóteses reconhecem ataques e negam acesso a pessoas não autorizadas, mas em um sentido mais amplo também protegem a atualização, gerenciamento de chaves e backups, que protege dispositivos finais e redes e são sempre atualizados. Dependendo da complexidade da infraestrutura de TI e da estrutura da empresa, são necessárias soluções diferentes, porque uma empresa com milhares de funcionários naturalmente precisa de medidas de proteção diferentes de uma pequena empresa que tem apenas dois PCs no escritório.
Como nem todo ataque pode ser evitado, Mann enfatiza que também é importante preparar um sistema de gerenciamento de emergências. É importante ser capaz de responder a perguntas como: Como vejo quais dados podem ter sido roubados? Quem precisa ser informado? Como os backups são restaurados rapidamente e os computadores limpos? Muitas empresas só se fazem essas perguntas quando a emergência já ocorreu, diz Mann. Em princípio, toda empresa, por menor que seja, pode pelo menos se proteger contra as tentativas de ataques mais comuns, por exemplo, por meio de backups regulares. No entanto, eles não devem ser executados no mesmo sistema que os demais, para que também não sejam comprometidos em caso de ataque. A chamada segmentação de rede pode ajudar aqui. Se você não tiver o conhecimento técnico, poderá usar provedores de serviços externos
No entanto, a prevenção não afeta apenas o lado técnico, mas também o lado humano, como os especialistas enfatizam repetidamente. Phishing e engenharia social – a tentativa de obter acesso à senha da vítima, por exemplo, por meio de manipulação direcionada – ainda são duas das formas mais populares de obter acesso a sistemas de terceiros. O fato de os funcionários clicarem em um link de phishing ou em um anexo com malware em um e-mail é e continua sendo um perigo. No entanto, um repensar está ocorrendo lentamente aqui, dizem Mann e Patrick Faller: as empresas estão investindo mais em treinamento de funcionários.
Aumentar a conscientização sobre segurança de TI
Niklas Heller é psicóloga é fundadora e CEO da start-up SafeSec, que usa descobertas da psicologia comportamental e de aprendizagem para treinar funcionários em empresas. “No passado, as empresas costumavam fazer treinamento de segurança cibernética uma vez por ano ou diziam a seus funcionários para assistir a um vídeo sobre isso ou alterar suas senhas”, diz Heller.
A SafeSec quer fortalecer a “autodefesa digital” trabalhando a longo prazo com seus clientes para construir uma cultura de segurança sustentável nas organizações. Para o efeito, são enviados repetidamente e-mails de phishing simulados, que são adaptados à respetiva empresa. Eles são inofensivos, é claro, mas com base nas reações, o SafeSec pode ver se o número de pessoas que clicam no conteúdo falso está diminuindo ao longo do tempo e se a taxa de denúncia está aumentando – ou seja, as pessoas estão mais conscientes. Há também uma plataforma de aprendizagem com módulos curtos que trabalham com aspectos de aprendizagem ou psicologia motivacional.
Devido ao trabalho híbrido, colaboração na nuvem e canais como o Messenger, o alvo dos hackers aumentou ainda mais nos últimos anos, diz Heller. Muitas empresas já reconheceram isso e, portanto, investiram mais em sua segurança de TI. É importante não apenas contar com medidas técnicas, mas tornar os funcionários parte ativa da defesa: “Se uma empresa apenas diz que investiu em TI, isso pode levar os funcionários a descuidar. Ouvi dizer que alguns funcionários trazem pendrives de outra pessoa de casa para abri-los no computador da empresa – porque acham que é seguro.”
A conscientização dos funcionários pode ter um efeito positivo: “A segurança de TI é um processo contínuo que você deve estar constantemente ciente em todos os níveis. Não começa e termina no departamento de TI, mas com todos os empregados”. Mas mesmo que mais e mais empresas estejam reconhecendo isso, ele acredita que a situação continuará tensa. “Os ataques continuarão – e se tornarão mais sofisticados”.