O SARS-CoV-2, ou novo Coronavírus, trouxe um novo normal para as organizações. O trabalho remoto cresceu exponencialmente e a superfície de ataque às empresas aumentou. A cibersegurança das organizações precisa, agora, de uma atenção muito maior.
O dia 18 de março de 2020 fica marcado para sempre na história da democracia portuguesa. Foi a primeira vez que um Estado de Emergência foi decretado. O anúncio deste estado de exceção indica que a situação “que se vive e a proliferação de casos registados de contágio de COVID-19 exige a aplicação de medidas extraordinárias e de caráter urgente”. Uma das medidas indica, de forma sucinta, que todos as ocupações que possam ser feitas em trabalho remoto, ou teletrabalho, o devem ser feitos. Nas duas semanas que antecederam o decreto do Estado de Emergência, várias empresas começaram a colocar os seus colaboradores em casa. Alguns colocaram todos os seus colaboradores a trabalhar a partir de casa; outros apenas uma parte para diminuir o risco de contágio na empresa. Certo é que, a partir de 18 de março, a larga maioria dos colaboradores passou a fazer o seu trabalho a partir de sua casa. Situação de exceçãoAlgumas empresas já praticavam trabalho remoto, mas o número de colaboradores que fazia teletrabalho era relativamente pequeno. Para muitas empresas, esta foi a primeira vez que colocaram alguém a trabalhar fora do espaço trabalho tradicional. A situação levanta preocupações: como é que se trabalha em total isolamento, como se gere uma família que, também ela, está longe dos seus locais habituais – como a escola –, ou como se motiva os colaboradores quando estes estão sozinhos. Tão ou mais importante do que todos estes temas fica a questão da cibersegurança. Há uma famosa frase atribuída a Warren Buffet que diz que “demora 20 anos a construir uma reputação e apenas cinco minutos para a destruir”. O mesmo se pode dizer em relação à cibersegurança; a segurança cibernética de uma organização é tão forte quanto o seu elo mais fraco. Se a empresa não está preparada para ter os seus colaboradores a trabalhar remotamente, a probabilidade de encontrar problemas de cibersegurança vão aumentar. No dia 17 de março, o Centro Nacional de Cibersegurança (CNCS), alertava que “os atores hostis do ciberespaço” exploravam, “tradicionalmente”, os “contextos de crise de proporções internacionais” para “sustentarem as suas campanhas de ciberataques. “A atual pandemia associada à propagação do vírus SARS-CoV-2 não tem sido exceção, tendo este tema sido selecionado por um número elevado de agentes de ciberameaças como cobertura para as suas campanhas de ciberataques”, explicava o CNCS. Entre os ciberataques observados era possível encontrar campanhas de phishing (por email, SMS ou redes sociais), divulgação de plataformas digitais e aplicações infetados com malware, esquemas de fraude digital partilhado por email e, também, SMS enviados a informar que seriam aplicadas medidas extraordinárias no combate ao vírus e, como tal, todos os cidadãos seriam vacinados, sendo necessário pagar uma determinada quantia através de um link. “Em face destes casos, é aconselhada extrema prudência no acesso, na receção e na partilha de conteúdos digitais associados à temática”, alertava o Centro Nacional de Cibersegurança. Trabalho remoto“Muito poucas organizações estavam preparadas para trabalhar remotamente”, afirma Sérgio de Sá, Associate Partner, Advisory – Cibersecurity na EY. As organizações estavam habituadas a que a larga maioria dos seus colaboradores estivessem no mesmo espaço e, como tal, a superfície a proteger estava definida. Com os colaboradores a estarem em suas casas, esta superfície aumenta necessariamente. “A utilização de equipamentos em ambientes não controlados pelas organizações, como são por exemplo as redes domésticas, levantam sempre questões relacionadas com a segurança da informação”, explica Sérgio de Sá. “A organização desconhece se a rede se encontra comprometida, ou se o equipamento pode ser utilizado por outra pessoa”, como por exemplo os filhos dos colaboradores. Num artigo publicado no final de março, a Deloitte alerta que “com muitos empregados a trabalhar a partir de casa e estados a aprender virtualmente, os servidores de enterprise virtual private network (VPN) tornaram-se agora na corda de segurança das empresas/escolas e a sua segurança e disponibilidade serão os principais focos daqui para a frente”. No entanto, alerta a Deloitte, “numa tentativa de tentar alcançar este ponto, existe a possibilidade de a falta de preparação das organizações vá levar a más configurações de segurança nos VPN, levando a expor informação sensível na Internet e expor os dispositivos a ataques de Denial of Service (DoS). De um momento para o outro“Devemos ter em consideração que esta situação em que nos encontramos surgiu de forma repentina”, refere o Centro Nacional de Cibersegurança, em declarações à IT Insight. “Seria muito improvável que todas as organizações estivessem prontas ou possuíssem as condições ideais para fazer esta transição de forma suave”. Sérgio de Sá indica que a EY observou que “muitas organizações tiveram de adquirir ou expandir as capacidades das soluções de VPN, colaborativas, videoconferência, capacidade das comunicações e distribuir dispositivos móveis e postos de trabalho da organização para os trabalhadores poderem exercerem as suas atividades a partir de casa”. Neste sentido, “apenas num número reduzido de empresas em que já tinham o teletrabalho implementado esta transição de massificar foi mais pacífica”. Apesar da situação de trabalho ter sido alterada, os riscos de cibersegurança em si continuam a ser os mesmos: “roubo de dados, ataques de phishing, malware – em particular ransomware –, falhas de segurança provocadas pelos fornecedores de serviços e terceiras partes, utilização de aplicações não autorizadas pela organização”, explica o representante da EY. O Centro Nacional de Cibersegurança alerta, também, que, no contexto do trabalho remoto, “existem riscos associados”. Entre estes riscos, é possível encontrar “a mistura do contexto profissional e doméstico, nomeadamente na insegurança das redes domésticas ou na partilha de dispositivos entre estes dois contextos”. Um dos conselhos do CNCS “para mitigar estas vulnerabilidades” passa por “reforçar a monitorização de segurança das redes empresariais e dos acessos remotos e criar regras muito claras sobre a utilização de dispositivos pessoais no contexto laboral – as conhecidas políticas de Bring Your Own Device aqui aplicadas ao acesso remoto”. Sérgio de Sá indica que as organizações “devem avaliar os riscos e aplicar os controlos de segurança que melhor se ajustam às suas necessidades”. Um dos pontos que as empresas devem apostar é na “formação e sensibilização dos trabalhadores para as principais ameaças associadas ao teletrabalho”. Mais phishing, mais ransomwareAo mesmo tempo que os vários governos mundiais aplicavam medidas de isolamento e quarentena, os ciberataques foram aumentando. O representante da EY salienta que o aumento de ataques “de phishing e ransomware é uma realidade observada sempre que existem eventos com relevância a nível nacional ou mundial”. “Os atores maliciosos do mundo do cibercrime sabem como explorar estas falhas de comportamento humano conhecidos por viés cognitivo ou tendência cognitiva, explorando no caso em particular da pandemia a ansiedade por notícias relacionadas com o vírus”, explica Sérgio de Sá. De acordo com números partilhados com a IT Insight pelo Centro Nacional de Cibersegurança, foram registados durante o mês de fevereiro de 2020 75 registos de incidentes, “dos quais 18 foram phishing e 15 de malware”. Os números de março, por sua vez, mostram um crescimento deste tipo de ataques em Portugal. Só durante o mês de março, o CNCS identificou “57 casos de phishing e 16 de malware, num total de 138 incidentes”. Apesar do aumento do número de casos, “as organizações [nacionais] têm feito um esforço, que o CNCS reconhece, no sentido de estarem preparadas e prepararem os seus colaboradores”. No sentido de preparar os colaboradores, Sérgio de Sá relembra que “os programas de sensibilização das organizações devem nesta altura voltar a reforçar as principais mensagens junto dos seus colaboradores sobre como podem identificar mensagens maliciosas e levá-los a ignorar ou enviar as mensagens para as equipas de segurança analisarem”. Uma nova vaga de ataquesOs atores hostis do ciberespaço estão a aproveitar a pandemia para aumentar os seus lucros. Um dos primeiros ataques a aproveitar a situação foi detetado na Mongólia e teve como alvo os funcionários públicos. O ataque envolveu um email e um ficheiro RTF sobre a prevalência da nova infeção como sendo do ministro dos negócios estrangeiros do país. Tanto o email como o documento pareciam autênticos e forneciam informação relevante, mas, no entanto, quando se abria o ficheiro, era instalado um código malicioso no computador de vítima que corria de cada vez que a aplicação de processamento de texto, como o Microsoft Word, era aberto. Este código permitia o acesso e controlo remotos a outro computador, fazendo o upload de mais software malicioso. Depois, os hackers poderiam espiar a máquina afetada, roubar dados e preparar novos ataques. Com o crescimento do teletrabalho e de novas formas de ataque, é altamente provável que o funcionamento de muitas equipas de segurança seja prejudicado devido a esta pandemia. Indica a Deloitte que, deste modo, detetar atividades maliciosas por parte das equipas de segurança será “ainda mais complicado”, dificultando, também, a resposta adequada a este tipo de atividades. A consultora indica que “as organizações devem avaliar as defesas de segurança em vigor e explorar o uso de fontes terceirizadas com consultores externos, especialmente em áreas onde os principais riscos foram identificados”. ComplianceNo meio da azáfama de colocar os colaboradores em teletrabalho, as organizações têm de assegurar o compliance. Daniel Reis, Sócio da DLA Piper, explica que “a separação da vida pessoal e profissional – por exemplo quando a empresa permite a utilização de dispositivos, como computadores e telemóveis, pessoais para aceder a sistemas da empresa – coloca desafios complicados para efeitos de cumprimento do RGPD”. Esta situação também “é aplicável relativamente à definição dos acessos a sistemas que contêm dados pessoais. As empresas que não tinham implementadas políticas adequadas poderão estar a aumentar o nível de risco ao incentivar de forma não planeada o teletrabalho”, refere. Sérgio de Sá, da EY, indica que as organizações podem encontrar “dificuldades acrescidas” para estar de acordo com RGPD por causa “da avaliação dos novos riscos associados ao trabalho remoto”. Esta avaliação deve passar “pela criação ou revisão das Avaliações de Impacto sobre Proteção de Dados (AIPD) dos processos de tratamento de dados pessoais existentes devido ao aumento do nível de risco relacionado com a utilização de novas tecnologias”, como soluções de colaboração ou videoconferência. O Associate Partner, Advisory – Cibersecurity da EY dá, ainda, alguns conselhos do que as empresas devem fazer garantir o tratamento dos dados pessoais que possam vir a existir, como a “realização de uma Avaliação de Impacto sobre Proteção de Dados e uma consulta regular das orientações emitidas pela Comissão Nacional Proteção de Dados ou pelo Comité Europeu para a Proteção de Dados (EDPB). Exemplo disso é a emissão recentemente pela CNPD de «Orientações para utilização de tecnologias de suporte ao ensino à distância de suporte ao ensino à distância»”. Daniel Reis lembra que, no entanto, que “não é o teletrabalho em sim mesmo que aumenta o risco para as empresas” uma vez que “as empresas podem implementar soluções tecnológicas e dar formação com os seus colaboradores em teletrabalho”. Nesta situação, “o problema é que o dia-a-dia das empresas foi perturbado de forma muito significativa; muitas empresas estão a correr atrás do prejuízo e não estão a dar prioridade a temas de compliance”. Tendo em conta que “a privacidade é um direito fundamental dos cidadãos”, o Sócio da DLA Piper explica que “não é possível colocar de lado o RGPD”. “A existência de um interesse relevante – neste caso a saúde pública – não pode conduzir à supressão dos direitos de privacidade dos cidadãos. O que as empresas precisam de fazer é, utilizando o bom senso, encontrar soluções de equilíbrio”. Estratégia de cibersegurança para as organizaçõesÉ um facto que as organizações precisam sempre de proteger a sua infraestrutura. A premissa em si não é nova, mas, por tudo aquilo que foi sendo referido ao longo deste artigo, as organizações estão a enfrentar desafios maiores. Sérgio de Sá indica que as estratégias de cibersegurança das organizações “devem estar alinhadas com os objetivos de negócio” da empresa. “O paradigma de defesa por camadas tem vindo a mostrar as suas fragilidades levando a implementar novos paradigmas como segurança centrada nos dados, ou estratégias de Zero Trust baseadas no princípio de ‘nunca confiar, verificar sempre’, levando a uma maior segmentação de redes e prevenção de movimentos laterais dentro da rede”. Para o Centro Nacional de Cibersegurança, “as organizações devem não só procurar garantir a existência dos mecanismos de proteção técnica adequados, mas também formar os seus colaboradores com o objetivo de cumprirem com as boas práticas de cibersegurança”. O CNCS sugere “vivamente consultar o Quadro Nacional de Referência em Cibersegurança, em particular os controlos relativos a controlo de acessos e acessos remotos para a definição e políticas nesta área”. A entidade relembra que “a distância física deve ser compensada com um contacto e acompanhamento constante dos trabalhadores, nomeadamente aconselhando-os e respondendo às suas necessidades do ponto de vista da cibersegurança. Acresce ainda que os sistemas devem ser monitorizados por uma equipa responsável e as atualizações garantidas em todos os dispositivos”. |