5 lições que as empresas podem (e devem) aprender com o ataque hacker ao governo federal

Desde o dia 10 de dezembro, sistemas, aplicativos e sites vinculados ao governo federal estão sob ataque hacker. Dentre as instituições afetadas estão o Ministério da Saúde, Polícia Rodoviária Federal, Agência Nacional de Transportes e CGU.

Senha vazada pode ter sido a causa da invasão, já que os órgãos compartilhavam serviço de armazenamento em nuvem.

Devido à grande proporção do ataque, os prejuízos ainda estão sendo calculados, mas o impacto tem sido observado em várias regiões do país.

De acordo com reportagem do G1, a queda dos sistemas do SUS, por exemplo, afetou diversas ações relacionadas ao enfrentamento da pandemia COVID-19: desde a falta de acesso a comprovantes de vacinação até a impossibilidade de aplicação da segunda dose.

Enquanto as investigações prosseguem e as instituições tentam mitigar os danos, o acontecimento traz cinco lições para o mundo corporativo.

1. Não confie em ninguém

Após o ataque, uma das recomendações do Gabinete de Segurança Institucional (GSI) da Presidência da República foi a adoção de política de privilégios mínimos. Esse é um dos pilares do modelo de segurança Zero Trust, uma abordagem criada em 2010 que vem ganhando espaço nas organizações.

A abordagem Zero Trust parte da premissa de que pode haver invasores dentro e fora da rede, portanto, por padrão, nenhum usuário ou dispositivo deve ser confiável.

Contudo, para implementar esse modelo com sucesso, é necessário mais do que apenas adotar uma política de privilégios mínimos.

É preciso ter visibilidade total de dispositivos e ativos tecnológicos, consolidar políticas minuciosas de permissões e, de preferência, automatizar a aplicação destas políticas para garantir a correta implementação e evitar brechas.

Uma ferramenta que ajuda as organizações neste sentido é o Sikur Connect, a plataforma mais completa para acesso seguro a sistemas e dispositivos críticos.

2. Prevenir é melhor do que remediar

Outra orientação do GSI a partir do ataque ao governo foi o bloqueio imediato das senhas de servidores em férias ou licença.

Embora, a princípio, a invasão não tenha partido desse tipo de agente, o ideal seria que as instituições tivessem como prática uma política de suspensão automática para estes casos.

Afinal, se existe uma programação prévia de recesso, é possível alinhar processos de gerenciamento de credenciais com antecedência junto ao time de TI.

A correta gestão de credenciais evita, inclusive, problemas trabalhistas ao impedir que o funcionário utilize contas corporativas em seu período de recesso ou fora da jornada de trabalho.

3) Dê adeus às senhas

A principal suspeita do ataque ao governo federal é de que a invasão tenha ocorrido a partir de login e senha de acesso à nuvem compartilhada entre as instituições.

De acordo com o Fórum Econômico Mundial, mais de 80% das invasões de sistemas envolvem senhas comprometidas e elas são o dado mais procurado pelos hackers.

Para se ter uma ideia, de acordo com pesquisa da Digital Shadows, há mais de 15 bilhões de credenciais disponíveis em fóruns de hackers.

Elas também estão na mira de robôs automatizados cuja programação é tentar adivinhar ou reutilizar senhas roubadas em diferentes contas.

Além disso, senhas impactam na produtividade e recursos. Para as grandes empresas, estima-se que quase 50% dos custos do help desk de TI são atribuídos à reposição de senhas. Considerando o suporte necessário para a recuperação de credenciais, muitas companhias gastam entre US$25 e US$75 cada vez que uma alteração de senha é necessária.

Por isso, em 2020, o Fórum propôs um “futuro sem senhas” como a melhor alternativa para aumentar a segurança das empresas ao reduzir a superfície geral de ataque e eliminar o risco de credenciais comprometidas.

Desde então, a substituição das senhas por segurança baseada em biometria tem se tornado uma das soluções mais buscadas.

4) Tenha um comitê de cibersegurança

Assim como no setor público, a incidência do cibercrime no âmbito privado segue crescendo.

A Comissão de Valores Mobiliários (CVM) divulgou que ataques contra empresas brasileiras cresceram 200% somente no primeiro semestre de 2021.

Companhias chegaram a ter queda de 12,17% em suas ações como consequência de invasões.

É imprescindível que a alta administração das companhias inclua a cibersegurança na pauta do Conselho.

Criar um comitê multidisciplinar é a melhor maneira de monitorar riscos que possam comprometer a continuidade do negócio.

O grupo deverá prestar suporte às áreas técnicas provisionando orçamento de forma inteligente, viabilizar a contratação de recursos humanos e soluções tecnológicas adequadas e em conformidade com leis gerais de proteção de dados, além de auditar a postura de segurança e conformidade.

5) Não existe solução milagrosa

No mercado de cibersegurança existem diversas soluções “mágicas” que prometem acabar com invasões e violações de dados.

Mas a verdade é que a segurança digital não é uma tecnologia e sim uma mentalidade que deve fazer parte do DNA da companhia.

Se por um lado se faz necessário contar com soluções que protegem informações sensíveis como: autenticação sem senha, rede privada de comunicação, comunicação corporativa segura e criptografia, por outro, é necessário sensibilizar e treinar pessoal. Afinal, uma empresa é tão segura quanto seus funcionários forem capazes de ser.

Independente do porte, as empresas podem começar com uma ação básica, mas ainda negligenciada: mapear o fluxo de dados de seus sistemas, por onde trafegam, como são guardados e compartilhados.

Este, certamente, é um ótimo começo para se adequar às exigências regulatórias de políticas e tecnologias baseadas no conceito de Privacy by Design.


 

Leia também:
JBS: “Pagamos US$11 milhões, mas não sabemos se os hackers destruíram os dados roubados.”

Iphones invadidos de maneira inusitada: como isso impacta as empresas

Inovação vira pesadelo para empresa da área de saúde

Mais do que uma solução tecnológica, somos uma decisão estratégica para as organizações.

Nossa missão é redefinir a relação das empresas com a cibersegurança e a experiência dos usuários no processo de autenticação e acesso a ativos tecnológicos.