Ano de 2013. Equation Group, grupo que trabalha para a Agência de Segurança Nacional americana (NSA), desenvolve o EternalBlue, ferramenta de espionagem. Ano de 2016. Grupo Shadow Brokers subtrai a ferramenta do servidor americano. Agosto de 2016. Hackers incorporam o EternalBlue ao ransomware WannaCry. Março de 2017. Microsoft publica atualizações para o Windows. Abril de 2017. Shadow Brokers divulga EternalBlue, dizendo que ferramenta será bem-sucedida contra o Windows. Maio de 2017. WannaCry é lançado em larga escala e faz 300 mil vítimas, em mais de 150 países. Junho de 2017. Petya, novo ataque global, atinge cerca de 70 países; ação teve efeito devastador, pois danifica e destrói arquivos atingidos mesmo após o pagamento de resgate.
A cronologia mostra, com clareza, a razão da Segurança Cibernética ser, hoje, uma das cinco grandes preocupações globais, segundo o Relatório do Fórum Econômico Mundial. O estudo, divulgado neste ano, durante o encontro anual, em Davos (Suíça), antecipa os principais riscos mundiais e desafios para os próximos 12 meses. Os diversos aspectos de fraude eletrônica e roubo de dados estão no ranking do relatório ao lado dos atuais desafios climáticos, da imigração em larga escala, dos grandes desastres naturais e do terrorismo.
Antes vistos apenas como uma tendência, os riscos digitais são uma ameaça real à reputação das marcas, à competitividade entre empresas e, até mesmo, à sua sobrevivência no mercado corporativo. À medida que instituições caminham rumo à transformação digital, mais expostas a extorsões, como o ransomware, elas estão.
Um estudo global, realizado pela consultoria Dimensional Research, identificou que 97% das companhias têm investido em soluções voltadas à digitalização dos negócios, como mobilidade, aplicações e infraestruturas em Cloud Computing e Internet das Coisas (IoT). Porém, em somente 18% dos casos a área de Segurança da Informação está envolvida desde o início dos projetos.
O descaso com o envolvimento da Segurança da Informação em todas as etapas do desenvolvimento de negócios é preocupante, considerando que, hoje, cibercriminosos miram organizações inteiras e criptografam diversos dispositivos, e não mais um alvo específico, como antigamente.
Por conta disso, os gestores de empresas enfrentam um cenário de ameaças em constante transformação, com ataques cada vez mais sofisticados e frequentes. O futuro é desafiador, já que, segundo o Gartner, o ransomware é – e continuará sendo – a primeira ameaça que vem à mente dos líderes de Tecnologia, Segurança e Risco nos próximos anos.
Ransomware: um ataque antecipado
“Um ataque que viesse a fazer uso de alguma vulnerabilidade já era esperado”. A afirmação é do Coronel Arthur Pereira Sabbat, diretor do Departamento de Segurança da Informação e Comunicações do Gabinete de Segurança Institucional da Presidência da República, entidade responsável pela elaboração da atual Política Nacional de Segurança da Informação.
Segundo o militar, tanto o Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança do Brasil (Cert.Br) quanto o Centro de Tratamento de Incidentes de Redes do Governo (CTIR Gov) vinham lançando alertas, desde 2016, orientando instituições sobre como proceder na prevenção e reação a tal ameaça.
De fato, o ransomware está longe de ser algo novo no mundo digital. O primeiro malware desse tipo foi escrito em 1989 por Joseph L. Popp, um biólogo com PhD em Harvard. Denominado de “AIDS”, o trojan criptografava arquivos do disco rígido e exigia que as vítimas pagassem pelo desbloqueio. A diferença é que os ataques não eram tão bem-sucedidos como os de hoje e a criptografia também não era tão evoluída quanto agora.
Devido a esse fator, o ransomware se tornou, hoje, o malware mais rentável da história. Segundo estimativas do Federal Bureau of Investigation (FBI), cerca de 70% das vítimas infectadas pagam o resgate, o que rendeu aos cibercriminosos o valor de US$ 1 bilhão, em 2016. Um dos fatores para esse sucesso é a facilidade da aquisição do serviço, já que o “Ransomware as a Service” é uma realidade e pode ser contratado por qualquer pessoa com acesso à internet e sem conhecimento técnico.
O ransomware funciona como uma indústria com atendimento 24×7, sistema de abertura de chamado avançado e suporte especializado. Alguns serviços já contam até com programa de filiação e promoção do tipo “leve dois e ganhe um” (infecte dois e ganhe mais de um de graça). O sucesso do malware conta ainda com um aliado de peso: o fato dos pagamentos serem feitos por meio de bitcoins, que dificulta a investigação e o rastreamento das transações.
Ransomware das Coisas
Até 2020, espera-se que 212 bilhões de equipamentos estejam multiconectados graças à Internet das Coisas (IoT). Os dados são do Instituto de Pesquisa IDC e mostram que o mercado deve encarar um cenário ainda mais ameaçador, em breve. A razão disso se dá à medida que novos componentes são adicionados à rede, tornando relógios, lâmpadas, termostatos, carros, marcapassos, entre outras coisas com Internet Protocol (IP), sujeitos a extorsões.
A preocupação faz ainda mais sentido quando estudos da mesma instituição apontam que 90% das redes de TI terão uma falha de Segurança derivada da IoT. Esse cenário exige de gestores de Segurança uma visão bem mais apurada do que deve estar vinculado à rede, ou não. Isso, porque os fabricantes de devices IoT não se preocupam em desenvolver produtos seguros. “De maneira geral, esses aparelhos não têm segurança embarcada e são fáceis de infectar”, explica Ghassan Dreibi, gerente de Desenvolvimento de Negócios de Segurança LATAM da Cisco.
Soma-se a esse fator a complexidade em atualizar esses dispositivos, já que o procedimento exige a interrupção de operações. “Se já é desafiador atualizar o atual ambiente de TI, imagine com todos esses novos aparelhos”, questiona Leo Becker, diretor de Tecnologia da Informação da Defensoria Pública do estado do Rio Grande do Sul. Por essa razão, o executivo cobra dos fabricantes um esforço maior para inserir mais Inteligência Artificial nos dispositivos, a fim de auxiliar na redução de vulnerabilidades.
Mesmo inseguros e com sistemas de atualização complexos, tais aparelhos chamam atenção pelo grande poder computacional. No entanto, esse benefício também é usado para gerar ataques de indisponibilidade (DDoS – Distributed Denial of Service) e cobrar resgate para restabelecer o serviço. “Essas máquinas têm a capacidade de paralisar um continente inteiro”, alerta Henderson Santana, diretor de Enterprise da Arbor Networks.
Antes da chegada da IoT, a segurança era vista de forma perimetral, mas, o atual cenário exige uma mudança de paradigma na forma como a Segurança é tratada dentro da organização. A Internet das Coisas demanda um novo olhar sobre a questão, com políticas de acesso remodeladas e busca pela visibilidade plena da rede.
Ransomware nas nuvens
A rápida propagação do ransomware também pode estar associada a um outro fator: o crescimento da Cloud Computing ao redor do mundo relacionado ao fenômeno da Shadow IT (termo utilizado para descrever soluções de TI usadas sem o consentimento da organização).
O fato de, cada vez mais, empresas disponibilizarem dados em algum tipo de nuvem, tornam-nas mais propícias à infecção, já que o ambiente potencializa a difusão do malware, especialmente quando as companhias não possuem controle absoluto das aplicações utilizadas, tornando o ambiente mais suscetível a brechas de segurança.
A Shadow IT é um problema comum em boa parte das instituições. Segundo o relatório Shadow Data Threat Report, realizado pela Blue Coat Systems, as empresas possuem 20 vezes mais aplicações em nuvem do que o previsto por elas. O levantamento mostra, ainda, que 99% das 15 mil aplicações analisadas não oferecem recursos e controles de conformidade e segurança suficientes para proteger dados corporativos na nuvem.
Pelo benefício do custo, da agilidade e da flexibilidade, muitos profissionais atropelam princípios básicos de proteção de dados. Há muitas organizações subindo workloads para uma nuvem pública sem carregar requisitos mínimos de segurança. Isso é um enorme problema, se considerarmos que os gastos mundiais com TI em Cloud Pública totalizarão US$ 203,4 bilhões até 2020, segundo a IDC.
Para Marcos Donner, gerente de Segurança da Informação do Sicredi, uma das maneiras de driblar esse problema é se preparar com controles compensatórios e estabelecer critérios mais rigorosos em relação à contratação de nuvem. Além disso, um processo de classificação de informação do que irá para esse ambiente é essencial numa estratégia de segurança mais eficaz. “Tem que avaliar os riscos associados a cada nível de informação disponível na nuvem”, afirma.
Lições aprendidas
Os recentes eventos cibernéticos de ransomware representam uma ameaça crescente para economias e empresas. Cada um desses incidentes serviu de base para adoção de medidas preventivas mais adequadas, a começar pela forma como os dados são tratados dentro de uma instituição. “São necessárias respostas de política adequadas e abordagens eficazes para a avaliação da segurança de TI”, afirma o Coronel Arthur Sabbat, diretor do DSIC. Um exemplo é tornar todo funcionário responsável pelos dados que passam por ele, já que a responsabilidade pela Segurança da Informação corporativa deve ser de todos, não apenas de uma área específica.
Na opinião de Ricardo Leocádio, coordenador de Tecnologias de Segurança da Informação do Banco Mercantil, é fato que todos os colaboradores precisam estar cientes dos atuais riscos cibernéticos, no entanto, cabe ao gestor de Segurança estabelecer as melhores práticas a serem seguidas e criar um programa de educação digital entre os profissionais. “Nós, de TI, estamos diretamente envolvidos no faturamento da empresa e precisamos nos mostrar como habilitadores de novos negócios”, sugere Leocádio. O executivo ressalta que as medidas devem ser seguidas por todos, da direção ao “chão da fábrica”.
Além da revisão das políticas internas e de aculturamento, se houve algo de positivo em toda essa situação foi a oportunidade dos profissionais de Segurança mostrarem ao CEO o quanto o tema é importante e urgente para o negócio. Essa razão é suficiente para direcionar mais investimentos para a área e para que se preocupem em reavaliar as atuais estratégias de Segurança da Informação, a fim de trazer mais proteção ao core business da empresa.
A boa notícia é que, mesmo antes dos últimos ataques de WannaCry e Petya, a previsão de investimento global em Segurança da Informação neste ano era de US$ 3,4 trilhões (Gartner). O montante já representa um aumento de 2,9% em relação ao ano anterior, mostrando um maior nível de preocupação com a Segurança nos últimos anos desde que grandes casos se tornaram públicos, como os ataques à Sony, Target, Ashley Madison e ao Banco Mundial de Bangladesh, entre outros.
Importante ressaltar que nada adiantam novos investimentos e demais medidas se princípios fundamentais de segurança forem deixados de lado. Tanto o WannaCry como o Petya se propagaram por meio de uma vulnerabilidade do Windows que já tinha correção, mas que muitas empresas ainda não haviam reparado os sistemas. Apesar dos programas de atualização disponíveis, muitas companhias insistem em não priorizar esse procedimento.
Diante do atual cenário de ameaças em geral, em um mundo cada vez mais sem fronteiras entre o físico e o lógico, espera-se que outros incidentes, maiores ou piores que o WannaCry ou Petya, aconteçam. “Portanto, estejamos preparados para sermos resilientes e termos uma resposta rápida para um impacto restrito. A cibersegurança é a fundação entre os negócios digitais e a inovação. Sem ela, novas oportunidades não serão viáveis. Exerçamos, então, o nosso papel”, finaliza Ricardo Dastis, CISO das Lojas Renner.