O próximo ciberataque poderá vir de onde menos se espera

Há alguns anos, os métodos dos hackers, para invadir os sistemas informáticos de modo a roubar dados, não eram assim tão diferentes dos usados pelos assaltantes tradicionais. Elaborar e disseminar um código malicioso e furar pontos de entrada frágeis na rede eram as técnicas mais comuns, à semelhança de um vulgar ladrão que consegue abrir uma fechadura ou esgueirar-se através de uma janela entreaberta. Em 2014, as ocorrências de segurança que levaram a ataques cibernéticos quase que duplicaram. E aqui coloca-se uma questão: se já foram redobrados os esforços na construção de firewalls mais fortes, numa encriptação mais avançada e numa melhor proteção das nossas redes, por que estamos a assistir a um número cada vez maior de violações de dados?

A resposta é simples mas preocupante: muitos destes ataques não surgem de fora, de cibercriminosos sem rosto que procuram quebrar as barreiras de segurança das empresas, mas de dentro das próprias paredes.

Em 2014, 45% de todos os ataques cibernéticos foram realizados por hackers externos à empresa, com o objetivo de penetrar na rede da organização. E em quase um quarto destes ataques os cibercriminosos conseguiram explorar as lacunas deixadas por um colaborador, sobretudo através de esquemas relacionados com a engenharia social (manipulação de pessoas para a execução de ações que tornem vulnerável a rede ou que conduzam à divulgação de informações confidenciais). Mas do outro lado, e mais assustador, 55% dos ataques cibernéticos foram levados a cabo diretamente do interior da empresa por insiders. Além do mais, as falhas de segurança resultantes do acesso não autorizado dispararam – contabilizando 37% do total das causas associadas aos ataques, um valor que quase duplicou em relação a 2013.

Joaquín Lacambra, Diretor da Divisão de Software & Soluções de Analytics, Commerce e Security da IBM Portugal.

Mas quem são estes insiders e por que razão estão a infiltrar-se nas redes das suas próprias empresas? Simplificando, um insider é um qualquer indivíduo com acesso aos ativos de uma empresa – que tanto podem ser bens como dados ou informações. Embora na maioria das vezes possam ser colaboradores, também poderão ser terceiros em que a empresa normalmente confia, como parceiros de negócio, fornecedores ou clientes. Alguns dos insiders mais comuns que levam a cabo ataques são:

• Colaboradores insatisfeitos e mal-intencionados, atuais ou que já deixaram o cargo, que aproveitam o acesso privilegiado à informação. Este grupo é particularmente perigoso, porque está muitas vezes disposto a optar por medidas extraordinárias para atingir os seus fins, sem se preocupar com potenciais consequências.

• Vítimas involuntárias que caem na armadilha de esquemas de phishing, ao acederem acidentalmente a anexos ou a links maliciosos. É importante realçar que, na maioria das vezes, são estes erros não intencionais que estão na base das violações de segurança com base nos insiders, sendo que 95% das quebras de segurança são causadas por erro humano.

Este aumento exponencial dos ataques internos está relacionado com a crescente eficácia das estratégias associadas à engenharia social. O spam, em particular, passou de um mero modo de divulgação incomodativo para se transformar em verdadeiras campanhas personalizadas com crescente sofisticação - muitas aparentam ser tão autênticas que passam despercebidas até mesmo para os destinatários mais experientes, infetando inadvertidamente as redes corporativas com ransomware ou malware.

Este aumento de ataques causados por insiders significa, sem qualquer dúvida, que as estratégias dos cibercriminosos estão a evoluir, tornando-se mais direcionadas e furtivas, menos óbvias e mais eficazes. Pelo que as estratégias de cibersegurança que, até há pouco tempo, conseguiam manter os criminosos à distância, têm que ser repensadas, com a intensificação dos ataques internos no topo das preocupações.

Alguns conselhos:

• É preciso levar o spam a sério. Há que manter os filtros de spam e os antivírus atualizados, bloquear anexos executáveis (incomuns em ambientes de negócio) e usar software que impeça o download automático de anexos e pré-carregamento de links.

• Deve utilizar-se análise forense computacional na rede por forma a compreender melhor a atividade de quem entra e sai. O que não só pode ajudar a detetar possíveis incidentes rapidamente (e fechá-los), mas também é importante na visualização e reconstrução de como a violação aconteceu, para que não volte a repetir.

• Dado que a maioria das quebras na segurança acontece devido a erro humano, os colaboradores de uma empresa são a parte mais importante na prevenção da violação dos dados. Para reduzir erros inadvertidos, o primeiro passo é mantê-los regularmente informados, atualizados e conscientes dos perigos das falhas de segurança – um exemplo é o cuidado a terem com a escolha das passwords corporativas que nunca devem reproduzir as pessoais.

Embora o cibercrime ainda não possa ser completamente erradicado, devemos sempre estar alerta sobre as suas mais recentes estratégias, por forma a melhor reforçarmos as nossas defesas e tentarmos não fazer parte das estatísticas que dão conta que os custos resultantes do cibercrime ascendem aos 400 mil milhões de euros todos os anos.