No sequestro digital, além de a vítima ter que pagar aos hackers cifras altíssimas, ela pode vir a ter sérios problemas com clientes e fornecedores, por causa das exigências da LGPD
Blog Jornalismo Imparcial
Às vésperas do aniversário de dois anos de funcionamento da Lei Geral de Proteção de Dados (LGPD), que começou a vigorar em 18 de setembro de 2020, um assunto chama atenção: se por um lado ela tem o objetivo de proteger os direitos fundamentais de privacidade das pessoas, por outro, a norma tem sido vista, pelos cibercriminosos, como excelente fonte de renda.
Fabrizio Alves, CEO da Vantix |
Tudo ocorre porque, segundo ele, nenhuma companhia quer ter sua reputação comprometida por um vazamento ou exposição de suas próprias referências. Então, os hackers usam a lei para pressionar seus alvos a quitarem o “resgate” com valor mais alto – e mais rápido.
“Além de prejudicar a marca, que exporá ao mercado suas fragilidades de segurança, ao invadirem os sistemas ou rede e sequestrarem informações críticas e/ou dados pessoais, automaticamente a empresa poderá ser considerada culpada de acordo com a LGPD, abrindo, assim, o seu próprio caminho para ser multada pela Autoridade Nacional de Proteção de Dados (ANPD). Por isso, as pesadas multas, aliadas ao comprometimento da imagem, são terrenos férteis para que a extorsão dos cibercriminosos esteja acontecendo com frequência cada vez maior”.
Para agravar ainda mais o quadro, pelo menos 48% das organizações têm seus sistemas derrubados e dados sequestrados e, por isso, acabam pagando os resgates acreditando que retomarão o controle; mas quase sempre isso não resulta em recuperar todo o conteúdo ou, pior ainda, os dados são vazados na deep web. Essa é motivação para as gangues cibernéticas fazerem a mesma vítima novamente ou buscarem outros alvos fáceis, aplicando o mesmo golpe.
Tais ataques cibernéticos podem expor, desativar, roubar, sequestrar, alterar ou destruir informações de um ou mais servidores ou sistemas de computador. Via de regra, o alvo dos hackers é uma rede com fraquezas operacionais. Nesse sentido, para não se tornar a próxima vítima do ransomware, uma coisa é certa, nas palavras do CEO da Vantix: a melhor defesa é o ataque. “Como na ‘vida real’, nós raramente pensamos em nos tornarmos vítimas de um assalto ou sequestro, é comum que nas empresas as ameaças virtuais só se tornem motivo de preocupação quando, lamentavelmente, elas acontecem”.
Para agravar ainda mais a situação, o assunto cibersegurança é em geral bastante complexo, requerem-se muitos controles, equipes motivadas, treinadas e experimentadas para lidar com as situações do dia a dia e de crise.
O que fazer, então? Diante desse questionamento, o CEO da Vantix recomenda o seguinte:
1º) Rever o básico: muitas tecnologias já estão implementadas, mas carecem de sustentação de dia a dia. As ferramentas mais elementares como antivírus, sistema de detecção e resposta de endpoints, firewalls e soluções de patching estão presentes em praticamente todas as organizações. Mas é aí que a grande maioria falha, quando não adotam processos e governança mínima para validar a sua aplicação no dia a dia. Sistemas sem patches, por exemplo, são o primeiro alvo de qualquer atacante e, a partir daí, é que novos acessos são conquistados e os grandes problemas começam a surgir.
2º) Limitar o acesso dos atacantes: três vetores lideram a lista de ataques ransomware: sessões de terminal RDP, phishing e credenciais fracas ou vazadas. Por isso, é fundamental evoluir os formatos de acessos às redes corporativas, através de princípios de Confiança Zero (Zero Trust) e a adoção de ferramental para esse fim, como soluções PIM/PAM (gestão de acessos privilegiados e elevação de privilégios), anti-phishing e a própria modernização do acesso de usuários remotos, substituindo a VPN tradicional por modelos como ZTA, ZTNA ou SDP, além de autenticação multifator (MFA). Tudo isso com o objetivo de diminuir a capacidade de lateralização dos atacantes, i.e, sair de um ponto A para um ponto B na rede.
3º) Executar um Diagnóstico Situacional: obviamente, existe muito além do básico quando o assunto é segurança. Mas é importante ter uma visão clara em 4 áreas alvo pra se atingir CIBER-RESILIÊNCIA: 1) Proteção da Informação – aquilo que envolve a proteção dos dados em si, sua manipulação, ciclo de vida e acesso, independentemente de onde estão os dados ou as pessoas; 2) Proteção contra Ameaças – defesas contra malwares e ataques em geral, mas também as tecnologias e processos de recuperação e continuidade de negócios; 3) Gestão de Identidades e Acessos – controles baseados em identidade e comportamentos, provisionamento de usuários e afins, gestão de acessos privilegiados, entre outros; 4) e por fim, as Operações de Segurança, que envolvem tudo aquilo em torno de gestão dos ambientes, monitoração, detecção e prevenção. Normalmente, esse diagnóstico é apoiado sobre frameworks de segurança do mercado, como ISO27001, para facilitar a comparação com os pares e normalizar o entendimento. Na forma de um relatório, uma arquitetura de segurança deve ser sugerida, incluindo-se as prioridades através de um roadmap tecnológico para a adequação.
5º) Segurança Ofensiva e Gestão das Vulnerabilidades: não existem bons jogadores que só treinam. É preciso jogar! Nesse sentido, a segurança ofensiva é a chave para ganhar e estar verdadeiramente pronto para as crises; testar as defesas e as reações da empresa. Conhecido como BAS (do inglês Breach and Attack Simulation), trata-se de um método de teste de segurança cibernética capaz de criar uma arquitetura resiliente para qualquer empresa. Funciona assim: o BAS imita as táticas do adversário através de simulações de ataque de múltiplos vetores. Com o teste de invasão, é possível identificar as ameaças e, principalmente, todos os pontos de vulnerabilidades que servem de entrada para o ataque. Ademais, o próprio sistema é capaz de dar as diretrizes de correção de forma rápida e eficaz, evitando qualquer incidente.
Isso é uma vantagem enorme, já que temos a validação contínua e automatizada da defesa, uma vez que as formas de ataques mudam o tempo todo. Assim age a VALIDAÇÃO DE SEGURANÇA AUTOMATIZADA, um dos produtos da Vantix que ainda tem como vantagem servir de bússola para os profissionais de segurança, CEOs, CTOs, CISOs e o pessoal de TI, que podem utilizá-lo para tomarem as melhores decisões baseadas em dados concretos sobre suas empresas.
Diana Maia/MTB 3064 Assessoria em Comunicação & Planejamento Estratégico jornalismoimparcial@gmail.com |
Nenhum comentário:
Postar um comentário