Pessoas desafiam modelo atual de conscientização

Líderes de SI da Natura, do Banco Inter e da Pague Menos discutem as descobertas da pesquisa “State of the Phish”, da Proofpoint. Os dados apontam para altas taxas de e-mails empresariais comprometidos e pouco conhecimento dos funcionários a respeito de temas sensíveis, como phishing e ransomware. Isso leva a maior exposição das companhias a ataques para extorsão

Compartilhar:

Líderes de Cibersegurança se reuniram hoje (29) em um painel de debates do Security Leaders para tratar de alguns dos maiores riscos à integridade das empresas. O percurso da discussão se iniciou com o comprometimento de e-mails corporativos (BEC, em inglês), que podem se tornar facilmente vetores de ataques de phishing. Estes, sem a devida orientação aos funcionários, rapidamente se tornam formas de infecção de ransomware, usados especialmente como método de extorsão dos cibercriminosos em busca de pagamentos por resgate.

 

De acordo com o relatório “State of the Phish 2023: Brasil”, da Proofpoint, 56% das corporações no Brasil relataram ao menos uma tentativa de ataque BEC no ano passado. Apesar de as empresas brasileiras contarem com programas de conscientização de SI, o levantamento apontou que apenas 40% dos usuários conseguem identificar uma mensagem falsa que usou uma marca conhecida para aplicar golpe. E 20% reconhecem que links vindos em e-mails podem não corresponder ao site de destino esperado.

 

Douglas Rocha, Gerente Executivo de Segurança da Informação no Banco Inter, destacou a necessidade de manter treinamentos regulares dentro das organizações para evitar essa discrepância no cenário atual. Mas faz uma ressalva: sem que os processos administrativos também se mantenham seguros, qualquer golpe bem-sucedido contra um elo fraco pode ter resultados catastróficos.

 

“O treinamento por si só é importante, mas sem que haja barreiras de mitigação e mesmo uma política de consequências aos resultados dos testes, de nada adianta. Apenas receber um pedido urgente de transferência monetária por e-mail não pode ser suficiente para efetivar um determinado pagamento. Precisa existir um fluxo de aprovação, uma burocracia por trás garantindo a idoneidade dessa solicitação. Esse fluxo burocrático precisa de uma proteção de autenticação multifator”, explicou o líder de SI.

 

Os debatedores também falaram dos riscos de comprometimentos como um dos principais vetores de golpes por phishing. A própria pesquisa da Proofpoint cita que 78% das empresas sofreram ataques dessa natureza em 2022. Apesar disso, a taxa de usuários que sabiam dizer o que é esse método de ataque caiu três pontos percentuais em comparação à 2019.

 

Na visão de Clayton Soares, Gerente Executivo de Governança de TI e SI na Pague Menos, esse também é um assunto a ser respondido com mais aprendizado e envolvimento mais amplo dos funcionários da companhia. Inclusive, uma atuação mais forte dos líderes de Segurança além dos ambientes corporativos, atingindo a sociedade.

 

“Essas questões de engenharia social, como são ataques envolvendo phishing, estão sendo apresentadas à população de forma correta e inteligível? Nossos funcionários estão ingressando em nossas linhas com conhecimento mínimo para atuar nos meios cibernéticos? São perguntas que nós devemos fazer a nós mesmos, de forma a nos incentivar a fazer esse trabalho social” disse Soares.

 

Por fim, um terceiro cenário importante discutido no painel do Security Leaders envolve o momento de um ataque propriamente dito, especialmente quando é executado através de um ransomware. Com frequência, esse tipo de ação é movido em busca de ameaçar as companhias para que paguem pelo resgate das informações criptografadas.

 

O risco de perdas de dados leva 91% das empresas a pagarem por esse resgate. Além disso, 92% das organizações que seguiram por esse caminho usaram os valores previstos em contratos de seguro cibernético. No caso dessas seguradoras, 93% delas preveem o pagamento parcial ou total dos valores pedido por cibercriminosos.

 

Nos dias atuais, são vários os riscos que podem envolver o pagamento desses resgates: desde o risco de o criminoso não cumprir com a sua palavra até esse valor pago ser revertido para novos ataques, fortalecendo ainda mais o ambiente de insegurança digital. Ticiano Benetti, CISO Deputy Global na Natura, aponta ainda outros dois problemas em relação a esse cenário.

 

“Primeiro, não é exatamente verdade que esse caminho acelera o processo de retomada, pois ainda demanda um bom tempo até se descriptografar todo o bloqueio feito por cibercriminosos. E segundo, o pior medo quanto ao ransomware não é retornar ao trabalho o mais cedo possível, mas ter os seus dados expostos na internet propositalmente pelo não pagamento. A decisão final envolve muito mais dúvidas do que simplesmente investir na Cibersegurança em vez de pagar o resgate”, completa o executivo.

 

Na visão do Diretor Regional Brasil & México na Proofpoint, Fellipe Canale, o cenário de ataques debatido no evento não é novo. Phishing, ataques BEC e ransomware são modalidades muito conhecidas pelos CISOs, mas seguem como principais apostas do cibercrime.

 

“Esses ataques ainda funcionam porque as tecnologias estão obsoletas, muitas delas são incapazes de detectar ameaças como essas. Ao longo dos anos, a indústria de SI criou uma série de produtos para solucionar problemas pontuais, o que criou uma grande complexidade nas arquiteturas corporativas. Hoje, nosso papel é auxiliar as organizações a resolver essa complexidade com visibilidade dos ambientes e proteção máxima de dados e das pessoas”, completa.

 

Pensando nesses riscos, Sandro Caetano, Tech Lead em CyberSecurity na Actar Technologies, comentou da importância dos métodos de conscientização, propondo a possibilidade de pensar abordagens diferentes para cada setor. A ideia é criar estratégias que permitam as pessoas entenderem as formas de proteção dos e-mails corporativos segundo a ótica de suas atividades, descentralizando essa conscientização.

 

A discussão está disponível na íntegra no canal da TVSecurity no Youtube.

 

 

 

Conteúdos Relacionados

Security Report | Destaques

Incidente cibernético gera instabilidade na cobrança do Bilhete Único

Ocorrência teria atingido uma das concessionárias da rede municipal de transportes, impactando na validação do Bilhete Único na zona Sul...
Security Report | Destaques

Cosan ganha visibilidade de segurança em nuvem com IA

Ferramenta de Inteligência Artificial AI Cloud Security trouxe novas configurações de Segurança para o projeto de nuvem em expansão da...
Security Report | Destaques

Ataque de ransomware trouxe nova realidade de acessos gerenciados ao STJ

Uma das instâncias mais altas do Judiciário brasileiro sofreu um grave incidente cibernético há quatro anos, levando a instituição a...
Security Report | Destaques

“Apenas o cargo não faz um C-Level”, afirma Leonardo Muroya

Em entrevista à Security Report, um dos CISOs mais influentes do mercado de SI e, agora, CEO da Vultus Cybersecurity,...