Todos nós conhecemos o ataque cibernético que a Target sofreu em 2013. Os criminosos roubaram o número do cartão de pagamento de 40 milhões de clientes e dados pessoais de aproximadamente 70 milhões. Isso abalou a reputação da companhia, fez seus lucros despencarem e custou o emprego do CEO e do CIO. O que pouca gente sabe é que, embora os ladrões fossem de fora da empresa, eles tiveram acesso aos sistemas de cadeia do varejo usando as credenciais de alguém de dentro: um dos fornecedores de refrigeração da empresa.
O incidente da Target é apenas um exemplo recente de um fenômeno crescente. Ataques externos — pirataria generalizada de propriedade intelectual na China, vírus Stuxnet, fuga de gângsteres do Leste Europeu — chamam muito mais a atenção. Mas ataques envolvendo empresas conectadas ou funcionários diretos constituem uma ameaça mais perigosa. Pessoas dentro da empresa podem causar prejuízo muito maior que hackers externos, porque elas têm mais acesso aos sistemas e maior janela de oportunidade. O prejuízo que causam pode incluir suspensão de operações, perda de propriedade intelectual, danos na reputação, queda de investimentos e confiança do cliente e vazamentos de informação confidencial para terceiros, incluindo a mídia. De acordo com várias estimativas, pelo menos 80 milhões de ataques internos ocorrem nos Estados Unidos todos os anos. Mas o número pode ser muito maior, porque geralmente não são divulgados. Obviamente seu impacto totaliza dezenas de bilhões de dólares por ano.
Muitas organizações admitem que ainda não dispõem de meios de proteção para detectar ou evitar ataques envolvendo pessoas internas à empresa. O problema é que elas ainda se recusam a aceitar as dimensões da ameaça.
Nos últimos dois anos, lideramos um projeto de pesquisa internacional com o objetivo de melhorar significativamente a capacidade das organizações e descobrir e neutralizar ameaças internas. Patrocinado pelo Centro de Proteção de Infraestrutura Nacional (CPNI, na sigla em inglês), que faz parte do serviço se segurança MI5 do Reino Unido, nossa equipe de 16 pessoas é formada por especialistas em segurança de computadores, acadêmicos de faculdades de administração que trabalham em governança corporativa, professores de administração, especialistas em visualização de informação, psicólogos e criminologistas da Universidade de Oxford, da Universidade de Leicester e da Universidade Cardiff.
Nossa abordagem interdisciplinar levou a descobertas que desafiam as visões e práticas convencionais (ver quadro “Práticas comuns que não funcionam”). Muitas empresas tentam impedir, por exemplo, que funcionários utilizem computadores da empresa para acessar websites não diretamente ligados ao trabalho, como Facebook, sites de encontros, sites políticos. Acreditamos que, ao contrário, a empresa deve permitir que os funcionários naveguem à vontade na web, mas ela deve se precaver usando softwares de segurança facilmente disponíveis, para monitorar suas atividades capturando assim informação importante sobre comportamento e personalidade dos funcionários que ajudará a detectar perigo. Neste artigo partilhamos nossas descobertas de forma efetiva para minimizar a probabilidade de ataques de dentro da empresa.
Risco não calculado
Ameaças internas são causadas por pessoas que exploram o acesso legítimo de propriedades cibernéticas com finalidades não autorizadas e mal-intencionadas ou por quem involuntariamente cria vulnerabilidades. Podem ser funcionários diretos (da turma da limpeza até a cúpula administrativa), contratantes, ou fornecedores de dados e de serviços computacionais terceirizados. (Edward Snowden, que se notabilizou por roubar informação confidencial da Agência Nacional de Segurança dos Estados Unidos, trabalhava para um contratante da NSA.) Com acesso legítimo eles podem roubar, destruir ou corromper sistemas de computadores e de dados sem serem detectados pelos sistemas de segurança comuns baseados em perímetro — controle que se concentra em pontos de entrada, em vez de focar em quem já está dentro.
De acordo com a Vormetric, empresa líder em segurança de computadores, 54% dos executivos em organizações de médio e grande portes afirmam que detectar ou prevenir ataques internos é mais difícil hoje do que em 2011. Além disso, esses ataques estão crescendo tanto em número como em percentual de todos os ataques cibernéticos relatados: um estudo da KPMG mostrou que eles aumentaram de 4% em 2007 para 20% em 2010. Nossa pesquisa indica que a porcentagem continua a crescer. Além disso, ataques por pessoas externas podem envolver a ajuda voluntária ou involuntária de pessoas internas. O incidente da Target é um exemplo.
Causas do crescimento
Neste cenário constantemente em mudança da TI, vários fatores explicam o crescimento dos ataques. Eles não surpreendem — e é exatamente essa a questão. As portas que deixam uma organização vulnerável para ataques internos são comuns e estão espalhadas por todo lado.
Aumento exagerado nas dimensões e complexidade da TI.
Você sabe quem são as pessoas que estão administrando seus serviços baseados em nuvem? Sabe com quem coabita nesses servidores e qual o nível de segurança dos servidores? Qual seu nível de confiança em pessoas terceirizadas como centrais de atendimento, logística, limpeza, RH e administração do relacionamento com clientes? Em 2005, quatro correntistas do Citibank de Nova York foram fraudados em quase US$ 350 mil por pessoas de uma central de atendimento em Pune, na Índia. Os acusados eram funcionários de uma empresa de software e serviços para a qual o Citibank tinha terceirizado o serviço. Eles roubaram dados pessoais de clientes, número de cartão de crédito e número das contas bancárias.
Atualmente são inúmeros os “sites negros da rede”, em que intermediários espalham grandes quantidades de informação confidencial. Tudo — de senhas de clientes e informações de cartão de crédito a propriedade intelectual — é vendido nesses sites clandestinos. Muitas vezes pessoas internas se dispõem a fornecer acesso a esse patrimônio em troca de quantias muito menores que seu valor de mercado, contribuindo assim para a indústria do “crime cibernético como um serviço”.
Funcionários que usam dispositivos pessoais para trabalhar. Cada vez mais pessoas dentro da empresa — geralmente involuntariamente — expõem seus empregadores a ameaças por trabalharem em engenhocas eletrônicas. Nossos estudos e de outras equipes mostram que grupos de segurança de empresas não podem acompanhar os perigos que a explosão desses dispositivos acarreta. De acordo com relatório recente da Alcatel-Lucent, cerca de 11,6 milhões de dispositivos móveis no mundo todo são infectados a todo instante, e as infecções maliciosas de celulares aumentaram 20%, só em 2013.
Não só smartphones e tablets são culpados: os dispositivos podem ser tão simples como flash drives ou cartões de memória de telefone. “A melhor forma de invadir numa empresa despreparada é espalhar pen drives USB com o logo da companhia no estacionamento”, observa Michael Goldsmith, membro de nosso grupo e diretor associado do Centro de Segurança Cibernética da Oxford, referindo-se ao ataque à DSM, companhia química holandesa, em 2012. “Algum funcionário tentará experimentar um deles.”
Foi amplamente divulgado pela imprensa que delegados que participaram da cúpula do G20, perto de São Petersburgo, em 2013, receberam dispositivos de armazenamento USB e carregadores de telefone celular carregados com software malicioso (malware) criado para roubar informações. E, segundo foi divulgado, o vírus de computador Stuxnet que sabotou as instalações de processamento de urânio no Irã em 2008-2010 foi introduzido por um pen drive USB em sistemas não conectados à internet.
Explosão na mídia social. Mídias sociais permitem que qualquer tipo de informação empresarial vaze e se espalhe pelo mundo todo, muitas vezes sem o conhecimento da empresa. Elas também oferecem oportunidades para recrutar pessoas de dentro da empresa e usá-las para acessar bens corporativos. O chamado “golpe do romance”, em que um funcionário é enganado ou convencido a partilhar dados confidenciais com vigaristas que se apresentam como pretendentes em websites de encontros, tem se mostrado particularmente eficiente. Outras estratégias incluem usar conhecimento obtido em redes sociais para pressionar funcionários: um chantagista cibernético ameaçou apagar arquivos do computador ou instalar imagens pornográficas num computador do escritório da vítima a menos que informação confidencial fosse fornecida.
Por que fazer isso
Um grande número de casos de estudos governamentais e privados mostrou que internos, que propositalmente participam de ataques cibernéticos, fazem isso por vários motivos: ganhos financeiros, vingança, desejo de reconhecimento e poder, resposta a chantagem, lealdade a outros da organização e crenças políticas.
Durante nossa pesquisa, ouvimos um exemplo de ataque, que ocorreu em 2014, de um pretendente menosprezado de uma pequena mas próspera empresa de treinamento virtual. Um executivo queixou-se ao seu superior de uma pessoa — um administrador de sistemas estava lhe enviando flores no trabalho e mensagens de texto inapropriadas, e continuamente passava de carro diante de sua casa. Quando foi explicitamente rejeitado, o agressor corrompeu a base de dados de vídeos de treinamento da companhia e bloqueou o backup. Ele foi despedido. Mas, sabendo que faltavam provas para incriminá-lo, ele chantageou a empresa exigindo vários milhões de euros e ameaçando alardear sua falta de segurança, o que poderia prejudicar uma operação de abertura de capital da empresa a ser realizada em breve. Este incidente oneroso — como a maioria de outros crimes engendrados por pessoas de dentro da empresa — não foi divulgado.
A colaboração de pessoas internas à empresa com o crime organizado e grupos ativistas está se tornando cada vez mais comum. Atualmente, vários países estão operando grupos de pronto-atendimento de emergência em computadores (Cert, na sigla em inglês) para proteger-se desse e de outros tipos de ataque. Dos 150 casos analisados pelo Centro de Ameaças de Internos do Cert na Universidade Carnegie Mellon em seu relatório de 2012, “Foco em internos mal-intencionados e atividade do crime organizado”, 16% mantinham links com o crime organizado.
Um desses casos foi de uma gangue russa que roubou em 2012 detalhes de contas bancárias não criptografadas de 3,8 milhões de pessoas e quase quatro milhões de devolução de impostos do Departamento de Receita Fiscal da Carolina do Sul. Investigações mostraram que o ataque foi facilitado por um funcionário que clicou no link de um e-mail, permitindo que a gangue roubasse as credenciais do funcionário e acessasse os serviços de dados do estado.
Monica Whitty, psicóloga da Universidade de Leicester e membro de nossa equipe, e outros afirmam que pessoas internas à empresa que voluntariamente apoiam ou se comprometem em ataques cibernéticos sofrem de uma ou mais condições da “tríade negra”: maquiavelismo, narcisismo e psicopatia. Reforçando essa visão, um estudo de 2013 do CPNI mostrou que invasores internos normalmente apresentam uma combinação desses traços de personalidade: imaturidade, baixa autoestima, amoralidade ou falta de ética, superficialidade, tendência à fantasia, agitação e impulsividade, falta de escrúpulos, instabilidade. E são manipuladores.
Roger Duronio, administrador de sistemas da UBS Wealth Management, condenado por detonar uma “bomba lógica” mal-intencionada para danificar a rede de computadores da empresa em 2006, exibia vários desses caracteres. Duronio estava preocupado com seu emprego e ficou furioso quando recebeu somente US$ 32 mil de bônus dos US$ 50 mil que esperava. Então ele realizou uma operação com ações fictícias para prejudicar a empresa e detonou a bomba. Ele derrubou dois mil servidores de escritórios da UBS em todo território americano. Alguns não puderam trabalhar por várias semanas. A companhia teve um prejuízo direto de US$ 3,1 milhões e de outros milhões de dólares em perdas acidentais não divulgadas. Duronio foi sentenciado a oito anos de prisão pelo crime.
Como pensar no problema
Administrar ameaças de segurança cibernética de pessoas de dentro da empresa é a mesma coisa que administrar qualidade e segurança. Todas já foram alguma vez responsabilidade de um departamento especializado. Mas as organizações não podem mais prever todos os riscos. Como o ambiente tecnológico é muito complexo e muda tão rapidamente, líderes de grandes e pequenos empreendimentos precisam que todos da organização se envolvam no problema. Aqui estão cinco passos a serem seguidos imediatamente:
Adote uma política interna robusta.
Isso deve abranger o que as pessoas precisam ou não fazer para alertar pessoas que introduzem riscos por desatenção, negligência ou erros. A política precisa ser concisa e fácil para todos — não somente para especialistas em segurança e tecnologia — entenderem, acessarem e aderirem a ela. As regras precisam aplicar-se a todos os níveis da organização, incluindo administradores seniores. Uma estrutura criada pelo estado de Illinois serve de modelo.
Funcionários devem dispor de ferramentas que os ajudem a aderir à política. Sistemas podem ser projetados, por exemplo, para exibir mensagens de alerta na tela quando alguém tenta acessar um subsistema que contenha material confidencial. O sistema poderia perguntar se a pessoa tem esse nível de autorização e registrar e rastrear que não tem.
Quem viola políticas deve ser punido.
Obviamente, um funcionário que cometer uma transgressão, como vender dados pessoais de clientes ou propositalmente introduzir softwares maliciosos nos sistemas da empresa deve ser despedido e processado. A primeira infração por motivo menos grave, como compartilhar senhas para permitir que colegas confiáveis acessem sistemas corporativos, pode resultar num aviso que constará do registro do funcionário.
Funcionários também precisam entender como conduzir com segurança as tarefas do dia a dia. A política deve ser reforçada regularmente com sessões de informação e campanhas de comunicação interna, que podem incluir painéis no local de trabalho. Algumas empresas exibem vídeos demonstrando como violações da política podem permitir ataques cibernéticos e como práticas de segurança podem evitá-los.
Aumente a conscientização.
Fale abertamente sobre as ameaças prováveis, de modo que as pessoas possam detectá-las e permaneçam alertas contra qualquer pessoa que tente obter sua ajuda num ataque. Personalize o treinamento para incluir os tipos de ataque que funcionários de uma operação específica podem enfrentar. Fraudes eletrônicas como phishing são uma forma comum de acesso: e-mails falsos enganam funcionários e os induzem a partilhar detalhes pessoais ou acessar códigos ou a clicar num link que baixa softwares mal-intencionados. (Muitas pessoas não sabem que o endereço “de” no e-mail é facilmente forjado.) É possível testar a vulnerabilidade de seu pessoal a esses tipos de ataque usando seu próprio serviço de segurança ou usando um serviço externo.
Mesmo assim, pode ser difícil defender funcionários da empresa contra uma ameaça externa. Em abril de 2013, uma multinacional francesa foi alvo de um ataque bem planejado. A assistente administrativa do vice-presidente recebeu um e-mail que mencionava um proforma invoice num serviço de compartilhamento de arquivos num sistema de nuvem. Ela teve o cuidado de não abrir o arquivo, mas minutos depois, recebeu um telefonema de alguém que convincentemente se dizia ser vice-presidente de outra companhia e a instruiu a baixar e processar o invoice. Ela compilou o arquivo. O invoice continha um Troiano de acesso remoto que permitia a uma empresa criminosa, aparentemente sediada na Ucrânia, controlar o PC, assumir o teclado e roubar propriedade intelectual da empresa.
Encoraje os funcionários a relatar tecnologias incomuns ou proibidas (um disco rígido externo portátil, por exemplo, num escritório onde os funcionários normalmente acessam dados e softwares via rede) e comportamentos (um funcionário ou vendedores não autorizados solicitando arquivos de dados confidenciais), da mesma forma como relatariam bagagem desacompanhada na área de embarque de um aeroporto.
Cuidado com as ameaças ao contratar.
É extremamente importante usar processos de seleção e técnicas de entrevista projetadas para avaliar a honestidade de possíveis contratados. Exemplos incluem verificar antecedentes criminais, observar dados inverídicos em currículos e na entrevista fazer perguntas que sondem diretamente a orientação moral do entrevistado.
Durante a entrevista você pode avaliar também o nível de conhecimento do candidato sobre segurança cibernética. Ele sabe o que é uma ameaça interna? Sabe quando pode compartilhar sua senha com um membro da equipe? Em que circunstâncias pode permitir que membros da equipe usem seu computador como se fossem ele? Se os candidatos forem fortes em todos os outros quesitos, você pode contratá-lo, mas certifique-se de que imediatamente receba instruções sobre as políticas e operações da organização. No entanto, se alguém está sendo contratado para um cargo num ambiente altamente confidencial, você deve pensar seriamente se convém trazê-lo a bordo.
Utilize processos rigorosos para subcontratação.
Como demonstrou o caso de violação da Target, você precisa garantir que seus fornecedores ou distribuidores não o coloquem em risco — minimizando, por exemplo, a probabilidade de que algum funcionário de um provedor externo de TI possa criar uma porta dos fundos em seu sistema. Se o risco de falha ou violação de um fornecedor for muito menor que o seu, ele pode não adotar os controles de segurança que você exige. Procure parceiros e fornecedores que tenham o mesmo apetite de risco e cultura de sua organização, o que tornará muito mais viável uma abordagem comum da segurança cibernética.
Pergunte a potenciais fornecedores nas discussões pré-contratuais como administram o risco relacionado a pessoas de dentro da empresa. Se você o contratar, audite-os regularmente para saber se suas operações são realmente mantidas. Deixe claro que você realizará auditorias e especifique o que elas envolverão. Uma empresa poderá exigir dos fornecedores os mesmos controles que ela mesma emprega: selecionar os funcionários usando registros criminais, verificar a veracidade de históricos de empregos do candidato, monitorar o acesso aos seus dados e solicitações de atividades não autorizadas e impedir intrusos de entrar em dependências físicas confidenciais.
Monitore seus funcionários.
Informe-os que você pode e vai observar suas atividades cibernéticas até o ponto permitido por lei. Você não pode se dar o luxo de deixar a segurança cibernética de sua empresa completamente nas mãos de especialistas. Você precisa saber diariamente, exatamente o que sai e o que entra em seus sistemas. Isso significa que as equipes de segurança ou serviço de provedores devem produzir avaliações de risco regularmente, que poderiam incluir fontes de ameaças, funcionários e redes vulneráveis, e possíveis consequências se um risco tornar-se real. Você deve medir também comportamentos para mitigação de risco, como tempos de resposta a alertas.
Geralmente roteadores e firewalls podem monitorar canais de saída, mas você deve certificar-se de que essa funcionalidade esteja ativada. Se você não dispuser do equipamento para monitorar tráfego de saída, compre-o. Você também precisa registrar e monitorar outros meios de filtragem externa — pen drives e memórias USB e outras mídias portáteis de armazenamento, impressoras, etc. — por meio de controle por amostragem ou mesmo permanente — como é feito em aeroportos —, verificando quem entra e quem sai dos prédios da empresa (a General Electric e a Wipro usam esse sistema em Bangalore).
Para que o monitoramento seja eficiente, você precisa administrar diligentemente os privilégios de todos os funcionários — incluindo aqueles com níveis de acesso aos mais altos sistemas da empresa, que geralmente são os instigadores de ataques internos. Reduza regularmente sua lista de usuários com mais privilégios — e então observe os que permanecem para verificar se eles merecem sua confiança. Procure sistemas de detecção de ameaças internas que possam prever possíveis eventos evitáveis, e procure aprender com eventos que já ocorreram. Grandes dados são úteis para ligar pistas e fornecer alertas.
Softwares que detectam ações maliciosas podem ser úteis. Em colaborações externa e interna, o primeiro passo é geralmente introduzir um programa mal-intencionado na rede. Ao encontrar um programa malicioso, pense que ele pode fazer parte de um ataque interno. Uma análise de como o malware está sendo usado pode fornecer pistas para a identidade e objetivos mais amplos do agressor.
A ESTRATÉGIA mais eficiente para neutralizar ameaças cibernéticas feitas por pessoas internas é usar tecnologias de proteção disponíveis e reforçar pontos fracos que elas possam ter, mas essencialmente tente fazer com que todos se comportem de forma a manter a empresa segura. Os funcionários precisam saber quais comportamentos são aceitáveis e quais são inaceitáveis. Lembre-os que protegendo a organização também estarão protegendo seus empregos.
FONTE: hbrbr
Nenhum comentário:
Postar um comentário