O que temos para 2021 em cibersegurança empresarial
A segurança da informação será um tema fundamental durante 2021. Neste artigo, vários especialistas chilenos oferecem suas perspectivas sobre as tendências a serem observadas e dicas para melhorar a segurança cibernética nos negócios.
2021 se aproxima com muita atividade no setor de cibersegurança. Aparecerão novas técnicas de ataque e tendências dos anos anteriores serão consolidadas. Conversamos com um grupo de especialistas da indústria para conhecer suas previsões nas principais áreas de segurança informática, além de também receber conselhos para um novo ano com empresas e trabalhadores mais protegidos.
Teletrabalho
Os especialistas assinalam que a principal tendência para 2021 será o aumento dos ataques cibernéticos contra empresas, sendo os próprios colaboradores o vetor de ataque mais utilizado.
“Já em 2020 assistimos como, no início da pandemia, ataques de phishing aumentaram 600%. Os ciberatacantes se aproveitam da suscetibilidade de novos trabalhadores remotos, oferecendo iscas e armadilhas que imitam fontes confiáveis. Os Centros de Operações de Segurança (SOC) devem aproveitar melhor as diversas fontes de inteligência de ameaças (Threat Intelligence), táticas, operacionais e estratégicas para identificar as tendências e tecnologias que ameaçam a continuidade do negócio. Nestes tempos difíceis, os líderes de segurança têm a oportunidade de repensar sua estratégia e tecnologias a partir do zero", sustém Claudio Ordóñez, líder de cibersegurança da Accenture Chile.
“Não existe uma solução rápida para os problemas apresentados pela pandemia”, afirma o executivo. Ele ressalta que, mesmo à medida que a sociedade e as empresas administrem os aspectos humanitários e de saúde, “as organizações devem lidar com as consequências econômicas e operacionais que estão criando desafios financeiros e orçamentários para as operações de segurança da tecnologia da informação das empresas a médio e longo prazo. A pandemia abriu a porta para ameaças oportunistas, criando oportunidades para a engenharia social, como, por exemplo, novas campanhas de phishing".
Na mesma linha, Dmitry Bestuzhev, diretor da equipe de pesquisa e análise para a América Latina da Kaspersky, diz que, para 2021, os atores de ameaças aproveitarão a tendência do teletrabalho para concentrar seus ataques na obtenção de informações privadas. Por exemplo, roubar dados pessoais de pacientes (informações de identificação pessoal ou PII) e, com isso, comprometer objetivos de empresas e outras entidades.
“Além disso, os ataques baseados na web, phishing relacionados a mentiras sobre a pandemia e o progresso da vacina serão mais frequentes e prejudiciais. Este cenário se torna mais arriscado se os colaboradores não conseguem reconhecer essas ameaças porque, de acordo com nossos estudos, 38% dos latino-americanos não sabe distinguir um e-mail verdadeiro de um falso. Também vemos um aumento nos ataques a dispositivos de rede, em particular, às portas de acesso remoto utilizadas por pessoas em teletrabalho, e um aumento no roubo de credenciais para acesso a redes privadas virtuais (VPN)", diz Bestuzhev.
Dispositivos móveis
De acordo com o Relatório de Ameaças da ESET que é publicado a cada trimestre, o Android é afetado principalmente por Trojans SMS (malware que faz usuários se inscreverem em serviços de mensagens SMS Premium), adware (programas inofensivos, mas que exibem publicidade), stalkerware (software usado para espionagem quase de forma legal), clickers (software usado para acessar recursos na internet, geralmente páginas web), malware bancário (software malicioso que busca obter dados bancários), criptominadores (programas maliciosos para minerar criptomoedas), ransomware (malware para o seqüestro de informações ) e spyware ( software malicioso de espionagem).
Segundo julga Miguel Angel Mendoza, pesquisador de segurança informática da ESET Latinoamérica, as ameaças que miram os telefones móveis são diversas, de forma muito semelhante parecida com o que ocorre com computadores tradicionais. Ele indica que, em média, a cada mês os laboratórios ESET a nível global identificam 300 novas amostras de malware projetados para Android.
"Nos últimos meses, as detecções de malware bancário mirando dispositivos Android têm proliferado, o que mostra o interesse dos cibercriminosos em obter informações de bancárias e financeiras dos usuários que acessam estes recursos de Internet a partir de seus dispositivos móveis. Embora a proporção de malware gerado para Mac e iOS seja menor comparada ao Android, isso não significa que não haja malware para as plataformas da Apple. Por este motivo, elas também devem ser protegidas”, explica o especialista.
Nuvem
As empresas têm sido atraídas pela eficiência, elasticidade e inovação da nuvem, e a pandemia somente acelerou sua adoção. Em uma pesquisa realizada pela Accenture com 200 executivos sênior de TI de nível mundial, apenas 35% das organizações disseram ter alcançado plenamente os resultados esperados com a nuvem e 65% identificaram o "risco de segurança e conformidade" como a barreira mais frequente.
"Combinadas com a complexidade dos ambientes híbridos e multi-cloud e a escassez de conhecimento de segurança nestes novos ambientes, essas preocupações podem ser obstáculos importantes para a primeira jornada para a nuvem. Nesse contexto, os líderes de cibersegurança têm um papel chave a cumprir. As brechas de segurança de alto perfil têm levantado questões sobre o papel da segurança em qualquer trajetória para a nuvem e 2021 estará marcado pela necessidade das empresas de fazer progressos na segurança de sua migração para a nuvem," adverte Ordóñez, da Accenture Chile.
David Alfaro, gerente geral da Arkavia Networks, enfatiza que o teletrabalho tem ampliado, uma vez mais, o já difuso perímetro da rede. Da mesma forma, muitas organizações têm implementado soluções na nuvem para facilitar acesso, disponibilidade, capacidade, etc. As empresas devem considerar que as nuvens por si só não são seguras. Leve em consideração que mais de 40% dos portais da web comprometidos ocorrem em nuvens públicas. Para ele, é imprescindível estender a vigilância às estações de trabalho nas residências e aos aplicativos em nuvens, isso para prevenir, detectar e neutralizar a ocorrência de incidentes de cibersegurança. A coexistência de estações de trabalho domésticas e computadores de estudantes, consoles de jogos e outros, aumenta o risco de interferências. As redes domésticas devem ser segmentadas e protegidas”, enfatiza.
Redes empresariais
2021 será um ano desafiador do ponto de vista da diversidade e complexidade dos ataques, porque a emergência de saúde fará a tendência de fazer a maioria de nossas atividades online se manterá por muitos meses, o que significa solo fértil para que os ciberdelinquentes continuem suas campanhas de fraude, roubo e extorsão. Os ataques com maior potencial de lucro, aqueles que miram empresas e entidades públicas, agora serão mais coordenados e, por fim, mais danosos.
Bestuzhev da Kaspersky, explica que este ano: "Nossa equipe de pesquisa e análise previu o surgimento de ransomware dirigido desenvolvido na região. As famílias de ransomware direcionado, usado em ataques realizados na América Latina, provêm de outras partes do mundo. Temos visto que, em geral, os cibercriminosos latino-americanos copiam as técnicas de suas contrapartes do Leste Europeu. No entanto, é razoável antecipar o desenvolvimento local desse tipo de ameaça que lida com esquemas semelhantes aos de grupos infames como Egregor, Ragnar Locker, Netwalker, Sodinokibi e outros. Prevemos que, durante 2021, haverá um aumento e diversificação dos ataques dirigidos a sistemas financeiros por grupos cibercriminosos locais. O que mais nos preocupa é que no mercado haverá mais ofertas de contratos para projetar e lançar ataques. É, por assim dizer, um tipo de terceirização de serviços cibercriminosos ao estilo “hackers de aluguel” para atacar bancos e outras instituições financeiras."
O especialista acrescenta que haverá um crescimento nos ataques coordenados a empresas e entidades públicas, a fim de exfiltrar informações e sua posterior publicação em redes sociais."Na região tem-se criado um quadro de circunstâncias que permitiram a estes ataques existir. Não obstante, seu alcance será ainda maior. A informação exfiltrada não necessariamente será publicada de imediato, mas serão guardadas até o momento oportuno conforme as agitações sociais em cada dado país. Também serão comercializadas para quem pagar mais com os mais diferentes fins", diz ele.
Fraude eletrônica
Mais do que em outros anos, para 2021 se espera que o alvo dos ataques sejam diretamente as pessoas e, através delas, escalar dentro de uma organização e conseguir mais dinheiro.
“Considerados alguns dos elos mais fracos, as pessoas e seus aplicativos de identidade digital, como redes sociais, bancos, AFPs, portais de compra e outros que as empresas não têm controle podem ser uma porta de entrada para criminosos que buscam apoderar-se de dados, bens comercializados ou dinheiro diretamente. O phishing e suas variantes continuarão em alta, tentando alcançar seus objetivos de enganar e, assim, obter alguma recompensa. Deve-se fortalecer a capacidade de identificação de mensagens fraudulentas nas pessoas, capacitar, treinar e avaliar periodicamente”, detalha Alfaro, da Arkavia Networks.
Pablo Dubois, gerente de produtos de segurança da Lumen para a América Latina, diz que o e-mail permanece e vai permanecer sendo um dos principais pontos de entrada para os cibercriminosos para gerar golpes, fraudes e até mesmo extorsões. “As soluções tecnológicas podem ajudar a mitigar esses riscos, mas grande parte da responsabilidade seguirá sendo do usuário. Muitas vezes, as empresas põem seu foco unicamente em novas tecnologias de segurança, mas minimizam o grande impacto de ter usuários não treinados em questões de cibersegurança, então ter planos de treinamento em cibersegurança, testes anti-phishing controlados e regulares para os funcionários passa a ser uma atividade tão ou mais crítica do que ter uma solução anti-malware e anti-phishing para a rede. E não devemos esquecer que o mais importante de tudo isso é ter um Plano de Risco de Cibersegurança implementado e testado, que será o único meio que ajudará realmente uma empresa a evitar um evento destas características", reforça.
Investimentos em cibersegurança
Enquanto, em linhas gerais, se espera reduções nos lucros para 2021 devido a todo o contexto da pandemia global, mais de metade das empresas (55%) espera aumentar seu orçamento em cibersegurança, de acordo com um estudo realizado pela PWC. Seguindo esta linha de crescimento, a IDC espera que, até 2024, o gasto com cibersegurança chegue a 174,7 mil milhões de dólares com 8,1% CAGR no período de 2021-2024.
“Este novo contexto de isolamento social tem germinado nas empresas uma aceleração nos seus modelos de digitalização, o que traz novos e maiores desafios a respeito da cibersegurança”, complementa Dubois, da Lumen.
Portanto, considera Ordóñez da Accenture Chile, os investimentos em cibersegurança estão crescendo e continuarão o fazendo, sobretudo considerando o aumento de ataques cibernéticos que ocorreu no contexto da pandemia. Neste sentido, de acordo com um estudo recente da Accenture, 82% das empresas a nível mundial estão investindo mais de 20% de seus orçamentos de TI em tecnologias avançadas para reforçar a segurança de suas organizações, um aumento significativo considerando-se que nos últimos três anos esse resultado alcançava 41%.
“Porém, apesar das empresas estarem investindo em cibersegurança, sua estratégia ainda não é adequada e apenas 5% das empresas globalmente sabe tirar proveito de seus investimentos, enquanto 29% do orçamento é alocado para a manutenção de medidas básicas. É importante fazer uma mudança cultural dentro das empresas para que a cibersegurança seja um tema prioritário desde a diretoria até o resto das áreas das organizações”, ele conclui.
Conselhos de proteção para funcionários e executivos de empresas
Miguel Ángel Mendoza, pesquisador de segurança de TI da ESET Latino América, oferece algumas recomendações para melhorar a proteção de empresas e funcionários.
- A cibersegurança é um processo de melhora permanente, não um estado finito, devido ao dinamismo dos riscos. As ameaças computacionais crescem em número, complexidade e diversidade, de modo que os riscos têm cada vez maior impacto e são mais frequentes, e isso resulta em incidentes com implicações tanto para as instituições quanto para os usuários.
- Os controles de segurança devem ser classificados como técnicos, físicos e administrativos, e aplicados considerando os possíveis cenários de risco que podem afetar a informação, a infraestrutura e os processos, inclusive os mais graves como a interrupção das operações.
- Os controles administrativos devem incluir as políticas que, além de estabelecerem os objetivos que a organização visa atingir em torno de um quadro de funcionários, também definam os comportamentos desejáveis dos integrantes das organizações, com as respectivas sanções em caso de descumprimento.
- Os controles devem ser aplicados durante fases distintas, a partir do momento anterior à contratação, durante o tempo em que o trabalhador faz parte da empresa e inclusive quando finda a relação laboral. Os controles de confiança tendem a ser um mecanismo de muita utilidade quando se é necessário perfis específicos para postos-chave nos processos críticos do negócio.
- Deve-se aplicar controles técnicos que permitam identificar anomalias como outra prática necessária para guardar evidências e rastrear atividades fraudulentas. Isso completa as medidas de segurança física para oferecer as medidas de segurança desejáveis. Embora os ativos sejam o mais importante a proteger, certamente serão necessários mais recursos (pessoais, financeiros, inclusive tempo).
- A conscientização e a educação sobre as questões de cibersegurança são essenciais para evitar ou minimizar os riscos. As iniciativas destinadas a informar e capacitar o pessoal das organizações é uma tarefa necessária na atualidade para usar a tecnologia de forma cada vez mais consciente, responsável e, é claro, segura.