Por Pedro Samuel Pires (*)

O mundo, tal como o conhecemos, foi virado do avesso pela pandemia da COVID-19. Quando esta conduziu a um lockdown a nível mundial, empresas de todas as dimensões viram-se perante desafios inesperados e completamente novos – e agora, à medida que iniciamos um longo caminho de recuperação, estamos a fazê-lo com prioridades distintas das que tínhamos há apenas alguns meses.

A pandemia foi a tempestade perfeita para os chief information security officers (CISOs) – um teste em tempo real à resiliência e robustez da segurança. As equipas de tecnologia têm trabalhado para manter a continuidade das funções essenciais do negócio – e para apoiar muitas novas formas de trabalhar –, já para não falar no contexto de um perfil de risco significativamente alterado durante uma época muito turbulenta.

Obviamente, nestas condições extremas é um desafio para cada organização assegurar uma cibersegurança resiliente. Isto tem levado a uma triagem baseada nos riscos no que toca à definição de que bens, utilizadores e sistemas apresentam riscos superiores e, como tal prioritários, e garantir que a segurança dos mesmos é mantida. Alcançar este compromisso não é tarefa fácil – e, por isso, a Fujitsu reuniu quatro princípios orientadores para ajudar as organizações a manterem as operações de negócio funcionais e a lidar com sucesso com os riscos críticos para a segurança.

A vigilância dos utilizadores contra ataques de phishing

Como acontece em todas as crises, os cibercriminosos estão a procurar tirar partido da confusão para explorar as fraquezas humanas. Os Centros de Operações de Segurança da Fujitsu por todo o mundo têm registado tentativas de phishing relacionadas com a COVID-19 e direccionadas para os utilizadores. O objectivo é roubar credenciais de acesso e aceder a vários sistemas corporativos, incluindo mensagens instantâneas, numa altura em que pode ser mais difícil distinguir entre um pedido genuíno e um falso e inteligentemente fabricado.

Os ataques de phishing estão a visar executivos seniores e de nível C, que são um prémio apetecível para muitos atacantes em virtude do acesso que têm a dados sensíveis, e porque os seus perfis de utilizador pirateados têm um elevado poder de manipulação de outros utilizadores, tanto dentro como fora de uma organização. A culpa é, parcialmente, da natureza humana, pois os colaboradores e os clientes tendem a confiar mais em links e anexos enviados em mensagens que parecem ter sido remetidas por executivos seniores.

Após a intrusão, os atacantes têm acesso a conversas genuínas existentes para a prossecução dos seus fins – como alterar as transacções financeiras e aproveitar aplicações de mensagens instantâneas para enviar mensagens que validam e sublinham a urgência dos seus pedidos.

O primeiro passo para resolver este problema é a sensibilização. As empresas têm maiores possibilidades de sucesso quando educam os seus utilizadores acerca dos procedimentos a tomar a nível de comunicação interna em tempo de pandemia, e quem está autorizado a enviar informações. Também é importante ensinar procedimentos de vigilância relacionados com e-mails externos não solicitados que alegadamente fornecem conselhos, actualizações e curas para a COVID-19, entre outras coisas. É relativamente simples ter a informação sobre como está a maturidade dos colaboradores e treiná-los para estarem atentos a e-mails dos colegas e das chefias que não lhes pareçam fidedignos, seja devido ao tom, à ocorrência de erros gramaticais ou à referência a aspectos específicos de forma genérica (como “o projecto”) – e tratar tais mensagens como suspeitas.

Assegurar um acesso fiável e seguro à rede

Um acesso seguro e fiável à rede corporativa é mais crítico do que nunca, pois as pessoas precisam de aceder a recursos para fazer o seu trabalho. Manter utilizadores e dispositivos não autorizados fora da rede exige que não se baixe a guarda no que toca ao uso de TI sombra, mesmo em circunstâncias “especiais”.

Se a sua empresa tem uma aplicação, uma ferramenta ou um dispositivo aprovado, é essa solução que deve ser usada. Por vezes, essa solução não é tão popular como uma alternativa que não está aprovada, mas deve ser usada porque já provou ser segura. As organizações voltadas para o futuro que estão a aproveitar a oportunidade para fornecer orientações claras devem recordar aos utilizadores a importância de utilizar apenas as ferramentas e aplicações aprovadas – e de as usar apenas em dispositivos autorizados a aceder à rede da empresa.

Uma grande alteração para os CISOs levarem em conta é o repensar do velho conceito de que qualquer dispositivo dentro da rede segura é de confiança e que qualquer dispositivo fora dela não o é. Com dispositivos empresariais e pessoais a solicitarem acesso legítimo a dados e sistemas tanto de dentro como de fora da rede corporativa, as equipas de segurança TI devem adoptar modelos de Confiança Zero que apenas permitam acessos com base em perfis de utilizador individuais.

O patching continua a ser importante

O debate sobre quando e como aplicar patches ao software existente dura há décadas, com muitos líderes TI a adoptarem uma abordagem altamente regulada para minimizar a possibilidade de um mau patch afectar negativamente as operações TI. No entanto, isto pode implicar que se descurem rotinas de gestão de patches, o que aumenta desnecessariamente a superfície de ataque. Por exemplo, havia um patch disponível para a vulnerabilidade EternalBlue SMBv1 dois meses antes dos recentes ataques, mas muitas empresas foram afectadas porque não aplicaram essa actualização do software.

É expectável que vários atacantes sem escrúpulos tentem explorar a mudança nas práticas de trabalho de forma agressiva, uma vez que as equipas de operações TI estão significativamente afectadas pela pandemia da COVID-19. Sugerimos que as empresas apliquem patches com frequência e giram eventuais efeitos secundários, em vez de esperarem meses para aplicarem o patch perfeito.

Trabalhar em conjunto por um bem maior

Uma coisa que se tornou cada vez mais evidente nos últimos dois meses foi a necessidade de trabalhar em equipa, e que não se pode esperar que uma pessoa faça tudo sozinha. Isto é particularmente relevante para as equipas de segurança.

O cibercrime não desapareceu durante a pandemia. Aliás, há indícios de que até se intensificou, aproveitando a vulnerabilidade das pessoas submetidas a estas circunstâncias invulgares. Como todos trabalham a partir de casa, a necessidade de trabalhar em conjunto ganha destaque – a par da necessidade de vigilância contra ciberataques. Como as equipas de segurança estão no limite devido ao novo normal temporário, esta é a altura certa para partilhar boas práticas e lições aprendidas com os pares em termos de cibersegurança.

Para dar um exemplo, não vale a pena assegurar que os sistemas são resilientes a uma ameaça emergente e, depois, descobrir que uma das empresas chave na sua cadeia de abastecimento sofreu impactos. Esta prática deve ser bidireccional – além de partilhar informação, obterá em retorno informações e inspiração que ajudará a assegurar a resiliência não só dentro das paredes da empresa, como em todo o sector ou em toda a cadeia de abastecimento. No nosso novo mundo, é necessária uma abordagem sempre fresca para assegurar uma cibersegurança verdadeiramente resiliente.

(*) responsável pela unidade de Cibersegurança na Fujitsu Portugal,