Ano novo, vida nova! Novos desafios, experiências e muitos aprendizados, e dessa forma está sendo 2018, ao menos para aqueles profissionais cuja missão é proteger as organizações contra os ataques cibernéticos. Assim que o ano começou fomos surpreendidos pela publicação de duas vulnerabilidades (Spectre e Meltdown) que atingem dispositivos com processadores Intel, AMD e ARM, entre outros, as quais, uma vez exploradas, podem resultar no vazamento de dados.
Nos meses que se seguiram empresas tiveram seus dados sequestrados – ataque que em 2016 ganhou grande evidência. Seus servidores foram invadidos para mineração de criptomoedas, usuários continuaram a ser alvos fáceis para ataques de engenharia social que não chegam mais apenas por e-mail, mas também por vídeo e, principalmente, por serviço de mensagens curtas (em inglês: Short Message Service, SMS). Além disso, claro, durante o período das eleições, as fakenews se disseminaram, e com elas diversos riscos relacionados com sites inseguros, utilizados para propagação de código malicioso e roubo de dados.
Contudo, os incidentes de vazamento de dados roubaram a cena. Uber, Yahoo, Equifax, Facebook, University of Texas MD Anderson Cancer Center e Anthem, todas foram multadas este ano por causa de vazamento de dados. No Brasil, Netshoes, Sky, Tivit, Banco Inter e INSS, são alguns dos exemplos de organizações que tiveram os dados expostos. Como o leitor pode constatar, o vazamento de dados é democrático, atinge instituições de segmentos variados, entre eles: saúde, pesquisa, varejo, mercado financeiro e governo, entre outros.
O vazamento de dados envolvendo a rede internacional de hotéis do grupo Marriott já é considerado um dos maiores da história, e pode ter afetado aproximadamente 500 milhões de hóspedes. A base de dados da Marriott inclui informações de clientes que fizeram reservas em hotéis da cadeia Starwood, que foi adquirida em 2016.
Aprendizados
Gestão de Vulnerabilidades: todos os dias surgem dezenas de novas vulnerabilidades, portanto, é fundamental implementar um processo capaz de identificá-las, analisá-las, avaliá-las e corrigi-las o mais rapidamente possível. A gestão de vulnerabilidades deve estar integrada com outros processos e tecnologias com o objetivo de reduzir ao máximo a exposição da organização às ameaças.
Resposta a incidentes de segurança: diante de tantos incidentes de segurança como invasões, vazamentos de dados, sequestro de informações, ataques de negação de serviço e roubo de identidades, as organizações devem definir e investir em processos de respostas a incidentes com base em automação e orquestração de ações que priorizem a contenção do ataque e a identificação da ameaça.
Seguro Cibernético: a oferta de cobertura dos seguros cibernéticos varia de seguradora para seguradora, e ainda que o setor esteja apenas dando os primeiros passos no Brasil a contratação de seguro é uma ação de compartilhamento de riscos a ser considerada pelos executivos das organizações.
Avaliação de Segurança: avaliar constantemente a eficiência e eficácia dos controles de segurança é uma prática recomendada por especialistas em segurança cibernética. Esse tipo de avaliação também se mostra importante durante o processo de avaliação e aquisição de novas empresas, pois reduz o risco de a empresa compradora adquirir um passivo composto por multas aplicadas por órgãos de proteção de dados e indenizações a clientes que se sintam lesados pelo vazamento de seus dados pessoais.
O ano que está prestes a começar trará diversos desafios. A adoção da tecnologia 5G, por exemplo, vai aumentar consideravelmente a superfície de ataque, pois com mais recursos à disposição os atacantes terão inúmeras possibilidades. A jornada para a nuvem está exigindo das empresas uma nova postura, os principais players do mercado de segurança estão adaptando e desenvolvendo tecnologias para fazer frente às novas ameaças que surgem com a adoção da nuvem. A segurança no ambiente industrial deve receber mais atenção. Portanto, o nível de maturidade deve aumentar e a quantidade de ataques também. As pessoas devem estar no centro de qualquer estratégia de segurança cibernética, pois é importante que os usuários entendam suas responsabilidades e os riscos aos quais estão suscetíveis.
Encerro essa última matéria do ano com a esperança de que em 2019 tenhamos uma sociedade mais atenta às questões de privacidade de dados pessoais e, também, mais segura para o desenvolvimento das atividades dos mais diversos setores.