O mundo digital trouxe facilidades, mas também ameaças. Quais os principais problemas que as empresas e marcas enfrentam para garantir a segurança e proteger os dados e informações?
A transformação digital veio trazer a todos, empresas e consumidores, um conjunto de melhorias de desempenho que seriam inimagináveis há poucos anos. Foi a disponibilidade das tecnologias e o acesso ubíquo à Internet que permitiu que tantos negócios sobrevivessem ao confinamento físico imposto um pouco por todo o planeta durante o ano de 2020, e que se reduzisse a necessidade de contacto presencial, tendo por isso também contribuído para a minimização dos efeitos da Covid-19. No entanto, esta transformação veio criar uma dependência tecnológica para a qual muitas dessas empresas não estavam preparadas, que trouxe riscos adicionais relacionados com os mecanismos de acesso remoto para teletrabalho, a proteção de informação nos sistemas e redes utilizados pelos colaboradores em teletrabalho e a vulnerabilidade a ataques de negação de serviço.
Um ciberataque pode destruir uma marca? Há exemplos concretos que possam destacar?
É importante salientar-se que o impacto de um ciberataque acarreta consequências graves não só para o negócio, mas também para a própria reputação da marca, para colaboradores e parceiros de negócio. De forma resumida podemos falar de um impacto financeiro direto, quando são despoletadas transferências bancárias para contas controladas pelos atacantes, ou quando há um roubo de dados que resulta numa coima aplicada ao abrigo da regulação de proteção de dados. Do ponto de vista do impacto financeiro indireto, podemos identificar a desvalorização causada por perdas de reputação, por colocar em causa a confiança depositada numa marca. E, por fim, as perdas operacionais decorrentes da impossibilidade de manter funções vitais como a presença online, as operações industriais, o apoio a clientes, entre outros. Um dos exemplos públicos que espelha o impacto que um ciberataque pode ter numa marca ocorreu no início de 2020, quando a empresa britânica de câmbios Travelex, com mais de 7500 colaboradores em todo o mundo foi forçada a entrar em insolvência após um ciberataque devastador que parou por completo as suas operações financeiras durante as primeiras semanas do ano.
As empresas em Portugal estão despertas para a temática da cibersegurança? Tem havido investimento ou a crise trouxe desinvestimento?
No caso de Portugal, ainda há um longo caminho a percorrer pela maioria das organizações no que diz respeito à gestão do ciber-risco. Assistimos a um maior número de casos, em que, as organizações reagem às necessidades imediatas e com desconhecimento da solução ideal para cada caso, quando o cenário ideal seria um comportamento preventivo e ajustado a cada cenário. No entanto, há setores que se destacam de forma positiva, como o caso da banca, dos seguros ou da energia, onde uma boa base de proteção é vital para garantirem a confiança indispensável para as relações comerciais e todo o fluxo de informação registado diariamente. Infelizmente, vemos também que o setor das PME, que se viu na maioria dos casos perante um processo de transformação digital forçado durante este ano de 2020, é o que está menos preparado para fazer face aos investimentos necessários para assegurar uma correta gestão da sua cibersegurança.
Existe uma percentagem média do investimento feito em cibersegurança?
O valor de referência a nível internacional para médias e grandes organizações ronda, dependendo do setor de atividade, entre os 6 e 10% do orçamento anual de tecnologias de informação. No entanto, podemos afirmar que a crise causada pela Covid-19 levou a que muitos orçamentos de cibersegurança tenham sido revistos em baixa. Temos que alertar que é preciso as empresas investirem de forma sensata, pois já vimos que as consequências de um ciberataque são devastadoras para qualquer organização. Devido a toda a incerteza quanto à evolução dos mercados e das medidas de contenção necessárias para continuar a fazer face à pandemia, tem sido notória a tendência para a contratação de serviços de segurança geridos, ao invés de grandes investimentos em infraestrutura própria. Esta estratégia, mais ágil e adaptável às necessidades imediatas de cada organização, é muitas vezes também associada à migração de serviços para a nuvem, pelos mesmos motivos de escalabilidade e menor investimento inicial.
Quais os setores mais vulneráveis aos ciberataques?
Nenhum setor pode considerar-se fora do raio de ação dos atacantes. No entanto, podemos destacar o setor da saúde por continuar a ser dos mais expostos. Por um lado, são um alvo apetecível por processarem um elevado volume de dados pessoais na sua atividade. Por outro, operam uma infraestrutura muito diversa, com múltiplos fabricantes e entidades responsáveis pela sua administração e manutenção, desde os postos de trabalho usados nas áreas administrativas, até aos equipamentos de laboratório ou de imagiologia que são também assentes em sistemas informáticos, e todos estes sistemas estão interligados. Numa área em que os investimentos são maioritariamente focados na prestação de cuidados de saúde, é compreensível que o parque informático veja o seu ciclo de vida estendido para além daquilo para que foi projetado, o que leva a que já não sejam abrangidos por atualizações de segurança críticas. Por esse motivo têm sido notícia regular durante 2020 os ataques de ransomware que têm afetado diversas instituições de saúde por todo o mundo.
O cenário pandémico alterou a nossa forma de trabalhar. Houve um aumento ou alteração nas falhas de segurança de informação?
Muitos dos problemas que constatámos durante os últimos oito meses prenderam-se com o controlo da segurança dos dispositivos e das redes utilizadas para trabalhar remotamente. Muitas empresas não tinham dispositivos portáteis distribuídos a todos os colaboradores, pelo que observámos alguma adoção de políticas de “Bring your own device” apressadas, sem qualquer controlo da segurança desses dispositivos. Mas mesmo naquelas em que os dispositivos são geridos pelo departamento de IT, os mecanismos de defesa foram, na maioria dos casos, desenhados considerando que esse dispositivo passa uma grande parte do tempo ligado a uma rede corporativa, pelo que toda a filosofia de atualização de dispositivos, monitorização e deteção de anomalias, depende desse “cordão umbilical”. Quando cortamos esse cordão e os dispositivos passaram a estar em modelo “autogerido” durante períodos prolongados, quebram-se alguns dos pressupostos essenciais para conseguir mantê-los seguros.
A pandemia trouxe novos desafios…
A Covid-19 trouxe consigo um crescimento das ameaças e dos pretextos utilizados pelos atacantes, sobretudo do “spam” e do “phishing” aproveitando-se da preocupação das pessoas que procuraram mais informações sobre o tema e fazendo-se passar por entidades ligadas à saúde. Com o reforço do teletrabalho, a cibersegurança passou a ser uma prioridade mais vincada, com um maior investimento em tecnologia VPN, segurança doméstica para os colaboradores, mais segurança móvel e de endpoint. É importante as empresas perceberem como a superfície de ataque expandiu e fazerem uma reavaliação dos verdadeiros riscos. Também é expectável que os hackers estejam atentos a novas oportunidades, pelo que acreditamos que a cibersegurança no pós-Covid irá ser vista através de mais outsourcing da infraestrutura e dos serviços, mais deteção e respostas a incidentes, programas de gestão de vulnerabilidades, mas também formação e sensibilização em relação à segurança.
Na hora de definir uma estratégia de cibersegurança, quais os pontos-chave a ter em conta?
Diria que há cinco aspetos que devem ser assegurados na altura de definir uma estratégia de cibersegurança. Em primeiro lugar, é necessário garantir o alinhamento da cibersegurança com a estratégia de negócio, assegurando que se consegue ter a o apoio da área de negócio da organização e o patrocínio da equipa de gestão de topo. Só dessa forma é possível assegurar que toda a organização está alinhada no esforço de implementar e manter a estratégia de cibersegurança. O segundo aspeto tem a ver com a limitação da superfície de ataque da organização. Isso significa assegurar que conhecemos os sistemas que operamos e minimizamos os pontos de entrada e saída da informação, com mecanismos de controlo de segurança apropriados nesses pontos. Depois de limitada a superfície de ataque, é fundamental assegurar a visibilidade, não só do que está a acontecer na infraestrutura através da monitorização da mesma, como dos eventuais pontos frágeis através da realização de testes de segurança. O quarto ponto fundamental prende-se com promoção de uma cultura de cibersegurança em todos os utilizadores da organização, com a realização de ações de sensibilização e exercícios que simulem os ataques mais usuais a que esses utilizadores estão sujeitos. Por último, é vital estar preparado para a ocorrência de um incidente. Por muitas proteções que se implementem, uma organização deve estar preparada para o pior, e ter um plano de resposta a incidentes é essencial para assegurar que todos os elementos da organização sabem o seu papel e a própria organização sabe o que terá de ser feito para conter e erradicar a ameaça.
Qual tem sido o papel da S21sec no desenvolvimento de ferramentas de cibersegurança?
Desde a sua criação, a S21sec tem tido um histórico de inovações tecnológicas desenvolvidas dentro de casa. Podemos destacar o primeiro SIEM desenvolvido internamente na década de 2000 para conseguir dotar o segmento das PME com uma solução simples e escalável (numa altura em que as ferramentas comerciais, hoje em dia já massificadas, era ainda acessíveis apenas a grandes empresas), os sistemas para proteção de terminais de pagamento bancário e até ferramentas para realização de testes de segurança disponibilizadas gratuitamente à comunidade de cibersegurança (por exemplo a framework Yersinia).
Quais os serviços da S21sec com maior procura em Portugal?
Durante o ano de 2020, vimos algumas transformações no tipo de serviços com maior procura em Portugal. Por um lado, o apoio na migração de serviços para ambientes em nuvem, englobando o apoio ao desenho de arquiteturas seguras, como a definição dos modelos de governação de segurança e a realização dos testes de segurança para assegurar que não foram deixadas portas abertas. Por outro, na tentativa de fazer face à implementação massiva de teletrabalho, o serviço “EDR-as-a-Service”, que possibilita a monitorização de segurança diretamente nos dispositivos dos utilizadores, independentemente da sua localização física, tem sido alvo de grande interesse, quer por grandes empresas, como pelo segmento das PME (por não depender de instalação de infraestrutura no cliente).
Como está estruturado o negócio em Portugal?
A S21Sec é um dos principais players europeus de cibersegurança, com mais de 500 especialistas e dez escritórios e um Security Operations Center global distribuído em quatro locais físicos, um deles em Portugal. Conta com escritórios no Porto e em Lisboa e uma equipa local composta por 50 especialistas de cibersegurança. A S21sec cobre as necessidades das organizações em toda a framework do NIST e do Quadro Nacional de Referência para a Cibersegurança, desde a definição da sua estratégia de cibersegurança até à resposta aos incidentes mais complexos.
Em Portugal como tem evoluído a componente financeira da S21sec?
O estudo ‘COVID-19 Risks Outlook do World Economic Forum’ relata que a terceira maior preocupação para as empresas é que novos padrões de trabalho possam aumentar os ciberataques. Nos primeiros três meses da pandemia, os CEO’s relataram que as suas organizações aceleraram a digitalização a uma velocidade surpreendente, avançando para o segundo ou terceiro ano dos seus planos de cinco anos. Dados os impactos sem precedentes da Covid-19, muitas organizações tiveram que repensar e reformular as suas estratégias de cibersegurança. Na mesma linha, vários analistas de empresas preveem um aumento médio de 10% nos gastos cibernéticos em 2021. Tal pressupõe um crescimento para o setor. Quanto à S21sec, estamos num enquadramento bastante positivo. Disponibilizamos serviços a entidades de infraestruturas críticas e setor financeiro, tendo menos exposição aos setores mais afetados pela crise da pandemia. Além disso, o aumento do volume dos ataques poderá ainda representar uma oportunidade.