A Constituição Federal de 1988 assegura a todos o direito à segurança. Nesse sentido, e com o avanço da tecnologia, o combate aos crimes cibernéticos se mostra imprescindível. Por isso, algumas ações coletivas já foram postas em andamento. O Brasil firmou a Convenção sobre o Crime Cibernético em Budapeste, em 23/11/2001; o Congresso Nacional aprovou a Convenção por meio do Decreto Legislativo nº 37, de 16/12/2021; e o governo brasileiro depositou, junto ao Secretário-Geral do Conselho da Europa, em 30/11/2022, o instrumento de ratificação à Convenção e que esta entrou em vigor para a República Federativa do Brasil, no plano jurídico externo, em 01/03/2023.

Sob uma primeira ótica, é importante conceituar esse tipo de delito. Também conhecidos como crimes digitais ou eletrônicos, os crimes cibernéticos são atividades criminosas que ocorrem no ambiente virtual, através de computadores, redes e dispositivos eletrônicos conectados à internet.

Assim, essa modalidade explora vulnerabilidades e brechas de segurança para obter informações pessoais e financeiras ou causar danos a sistemas e indivíduos. Os crimes cibernéticos abrangem uma ampla gama de atividades ilegais realizadas online, como fraudes financeiras, roubo de identidade e vazamento de dados. Por exemplo:

• Roubo e negociação de dados corporativos.
• Ciberextorção, exigir dinheiro para evitar um ataque ameaçado.
• Espionagem cibernética, hackers acessam dados de governos ou de empresas.
• Ataques de ransomware, tipo de extorsão.
• Fraude por e-mail e pela Internet.
• Fraude de identidades, onde informações pessoais são roubadas para uso.

Nessa perspectiva, as políticas preventivas da área de Segurança da Informação se relacionam com os mecanismos da Tecnologia da Informação, entendida como um conjunto de equipamentos técnicos e procedimentos que permitem o tratamento e a difusão de informação de forma mais rápida e eficiente, fundamental para evitar a ocorrência de crimes cibernéticos e proteger sua segurança online, é importante adotar algumas medidas na interação cotidiana com o ambiente virtual e relevante observar se a certificação de sistema operacional, aplicativos, antivírus e outros programas estão sempre atualizados com as últimas correções de segurança.

A adoção de mecanismos de segurança é recomendada. Algumas das ferramentas indicadas para isso podem ser controles de pessoal, Controles físicos, Segurança de equipamentos, Controles de acesso lógicos, Identificação de usuários, Programas antivírus, Sistema de backup (a exemplo do Firewall e Honeypot), Protocolos seguros, Assinatura digital e Auditoria de acesso às informações, entre outros.

A utilização de senhas fortes, evitando usar informações pessoais, bem como a inspeção de links ou anexos de e-mails desconhecidos ou suspeitos (verificando o remetente e a URL antes de clicar) são exemplos de algumas alternativas essenciais para que indivíduos e organizações não caiam em golpes.

Ou seja, treinamentos contínuos, investimentos em tecnologia de ponta, controles de acesso e políticas de segurança junto com a implementação de gestão de riscos para prevenir e informar sobre crimes cibernéticos são ferramentas indispensáveis envolvendo a identificação, avaliação e mitigação dos riscos para que o direito à segurança seja, de fato, vivenciado na prática no cenário virtual.

*Por Marcelo Oliveira dos Santos é consultor de cybersecurity na Protiviti Brasil.

Para entender como funciona um ataque Man In The Middle, imagine a seguinte história: sua empresa está concluindo uma compra envolvendo grandes valores. Após as autorizações necessárias, a área de suprimentos efetua o pagamento. Tudo parece bem até que, dois dias após a data de vencimento da cobrança, o fornecedor entra em contato informando que não recebeu o valor acordado, o que é imediatamente negado pela área de suprimentos que, então, envia o comprovante da transferência realizada.
Ao analisar o documento, o fornecedor percebe que o depósito foi feito em uma conta bancária diferente da informada oficialmente. Por sua vez, o comprador responde que o pagamento foi realizado nessa nova conta atendendo a uma solicitação do próprio fornecedor.
Assim, a primeira reação de ambas as partes, comprador e fornecedor, é revisar o histórico de mensagens trocadas. Ao fazer isso, percebem que nunca enviaram ou receberam as mensagens apresentadas pela outra parte, inclusive aquele pedido de mudança na conta de depósito. O caos está instalado: as equipes jurídicas são acionadas, a relação comercial fica abalada, os prazos são comprometidos e ocorre um enorme prejuízo financeiro.

Ataque Man In The Middle: entenda

Se sua empresa ainda não passou por isso, ela está bem-preparada ou tem tido sorte. Tal fraude trata-se de um ataque do tipo Man In The Middle, que corresponde à sigla (MITM) e, em tradução livre, significa ‘homem no meio’.
Apesar de existirem técnicas de ataque complexas, o conceito por trás do ataque MITM é bastante simples. O invasor se posiciona entre duas pessoas que tentam se comunicar, intercepta mensagens enviadas e depois se faz passar por uma das partes.
Mas, como o atacante consegue entrar na conversa? Há dois exemplos simples do cotidiano: um colaborador da empresa usou uma rede Wi-Fi não segura, como cafés e aeroportos, ou foi vítima de phishing, ou seja, recebeu um simples e-mail, acabou clicando em um link malicioso e digitou sua senha. Os dois exemplos mostram ações que podem abrir as portas para o criminoso ter acesso ao login e à senha da caixa de e-mail do colaborador e, a partir daí, basta que ele espere pacientemente até uma grande transação financeira começar a se desenrolar.

E como o atacante enganou as pessoas envolvidas?

Uma vez que o fraudador obtém as informações de acesso, ele começa a monitorar os e-mails recebidos pelo usuário e, a partir do momento em que identifica alguma mensagem relacionada a pagamento, ele parte para uma fase de criação de domínios e endereços de e-mail bastantes parecidos com os domínios originais das empresas.
Com cada domínio semelhante em mãos, o fraudador dispara e-mails para as partes envolvidas e verifica se recebe as respostas naturalmente, sem que ninguém perceba a mudança de interlocutor. Com o atacante tendo controle das negociações, o último passo é enviar um documento com novas informações bancárias para o pagamento.
Uma vez que o golpe é bem-sucedido, vem a necessidade de recuperar o dinheiro perdido, além de entender as vulnerabilidades que possibilitaram essa fraude. Em primeiro lugar, é preciso identificar o arquivo contendo as informações falsas. Este documento pode ter elementos valiosos registrados nos metadados e servirão como ponto de partida para rastrear o fraudador. Ao mesmo tempo, os domínios falsos identificados devem ser rastreados. Em alguns casos, é possível encontrar dados cadastrais do proprietário do domínio ou mesmo determinar o país ou região onde a empresa provedora está localizada. Todas as informações encontradas são importantes para testar vínculos e construir uma boa rede de relacionamentos. Além disso, investigar os registros de acesso (logs) às caixas de e-mail que foram envolvidas é fundamental.

Como investigar

Considerando nosso cenário hipotético, em que a fraude via Man In The Middle foi concretizada, certamente será possível identificar acessos que fogem completamente do padrão entre os que são legítimos e, assim, se obtém informações como a geolocalização do usuário que efetuou login na conta de e-mail em determinado momento. Por fim, é importante conduzir uma investigação a respeito da conta bancária utilizada na fraude.
Aplicar técnicas de Human Intelligence (HUMINT) e Open Source Intelligence (OSINT) pode ser suficiente para descobrir o verdadeiro proprietário da conta bancária utilizada no esquema. Entrar em contato com a instituição financeira, detentora da conta, também pode ser uma excelente opção. Com sorte, o banco se mostra disposto a bloquear os saldos da conta ou até mesmo se comprometer a devolver a quantia. Em casos mais complexos, eles podem exigir a quebra de sigilo como condição para colaborar. Nesse caso, um bom dossiê reunindo informações de todas as frentes de investigação será a base para que um escritório de advocacia especializado possa dar andamento jurídico à solicitação.

Como diminuir os riscos de um ataque Man In The Middle

Para mitigar os riscos associados aos ataques MITM é fundamental adotar medidas de proteção adequadas, como:

1. Conscientização do usuário: é fundamental educar os usuários e os colaboradores sobre os riscos desses ataques e sobre a importância de verificar a autenticidade das conexões;
2. Criptografia de ponta a ponta: utilizar protocolos de criptografia robustos e implementar comunicações seguras é uma das medidas mais eficazes contra os ataques MITM. Isso garante que os dados transmitidos permaneçam confidenciais e não sejam manipulados;
3. Certificados digitais e HTTPS: a implementação de certificados digitais e o uso do protocolo HTTPS (HTTP Secure) garantem a autenticidade e integridade dos sites;
4. Duplo fator de autenticação: ao estabelecer conexões com outros dispositivos ou redes, é essencial verificar a identidade das partes. Isso pode ser feito por meio de autenticação em duas etapas, certificados digitais ou troca segura de chaves de criptografia;
5. Implementação de soluções de monitoramento: utilizar sistemas de Monitoramento de Eventos de Segurança (SOC – Security Operations Center) pode ajudar a identificar acessos indevidos e alertar tentativas de ataques MITM;
6. Atualização regular de software: manter os sistemas atualizados é crucial para corrigir vulnerabilidades conhecidas que podem ser exploradas por ataques.

Os ataques MITM representam uma ameaça significativa à segurança digital e às relações comerciais. Conhecer os riscos associados a esse tipo de ataque, implementar medidas de proteção adequadas e estar ciente das técnicas de ataque mais relevantes são passos essenciais para reduzir os riscos. Além disso, a conscientização dos usuários e a implementação de contramedidas são fundamentais para criar um ecossistema de segurança na empresa e proteger os dados sensíveis.

*Matheus Jacyntho é diretor de cibersegurança e Rodrigo Pacheco é gerente sênior de Forensics e Investigação Empresarial. Ambos atuam na Protiviti, empresa especializada em soluções para gestão de riscos, compliance, ESG, auditoria interna, investigação e proteção e privacidade de dados.

Mesmo que uma empresa adquira as melhores e mais caras tecnologias de cibersegurança disponíveis no mercado, além de contar com profissionais altamente treinados e qualificados, saiba que a operação continuará vulnerável. Isso porque a Engenharia Social, que acontece quando o atacante se vale de suas habilidades sociais para obter informações privilegiadas ou sigilosas de uma empresa e até mesmo de seus sistemas computacionais, é uma prática criminosa em expansão.

Em 2022, por exemplo, houve crescimento de 356% no número de ataques avançados de phishing, segundo a empresa de prevenção israelense Perception Point. Ainda de acordo com a instituição, em 2023, o número total de ataques aumentou 87%.

Além do phishing, conforme listado abaixo, há atualmente mais quatro métodos de Engenharia Social que são considerados como as principais ameaças à Segurança da Informação das empresas. Veja abaixo como detectar e combater essas práticas.

Phishing

Phishing ou “pesca”, em português, é talvez o golpe mais comum na internet. Nesta prática, o atacante tenta obter dados pessoais e financeiros se passando por uma pessoa ou empresa confiável, geralmente por meio de e-mails, em que solicita informações como login, senha e número do cartão de crédito entre outros. Uma abordagem muito comum desse ataque é se utilizar de uma URL ou domínio de e-mail semelhantes à de empresas conhecidas. Apesar de ser, talvez, o mais simples dos ataques, é também o mais eficiente. A boa notícia é que ele pode ser combatido com ações simples por parte do usuário, tais como verificação das URLs, não fornecer dados de segurança bancária com base em mensagens, verificar uso de https e não abrir anexos de fontes não confiáveis, entre outros.

Spear Phishing

Muito parecido com o Phishing, porém, nessa tática, o atacante forja páginas falsas que se assemelham com as reais de grandes bancos e corporações. Por meio desses sites falsos, o cibercriminoso geralmente injeta malwares nos dispositivos de rede da empresa afim de coletar dados pessoais e sigilosos. A dica para detectar essas páginas é sempre conferir o endereço de e-mail com muito cuidado, principalmente o domínio, além de ativar os softwares antispam e antivírus.

URL Obfuscation

É uma técnica de Engenharia Social na qual o atacante esconde um endereço web malicioso de forma a deixá-lo parecido com uma URL legítima. Ao enviar o link malicioso, o usuário, desatento, é comumente enganado, e por fim, acaba fornecendo dados como login e senha de acesso. Hoje em dia, com os sites encurtadores de URL, está bastante fácil disfarçar e divulgar URLs falsas. Embora sejam muito difícil de serem identificadas, existem algumas maneiras de se evitar. Para se prevenir, o recomendado é utilizar um gerenciador para o usuário armazenar suas senhas em local seguro. Esse tipo de recurso também impede que sejam colocadas senhas em sites suspeitos.  Utilizar autenticação multifator (MFA) também é uma boa saída. Isso porque mesmo que o usuário digite o usuário e a senha em determinada URL, o atacante não teria acesso ao dispositivo.

Baiting

Baiting ou Isca, em português, se refere a ações do atacante nas quais são disponibilizadas um presente, ou seja, um dispositivo infectado, por exemplo. Geralmente são utilizadas iscas curiosas, ou atraentes, para fazer com que a vítima fique interessada em acessar o dispositivo para obter as informações contidas. É aí que o objeto malicioso infecta a máquina do usuário e, muitas vezes, se alastra para toda a rede da empresa. Para evitar este tipo de ataque, a melhor arma é o conhecimento e a conscientização de todos. Deve-se ter em mente que cada comportamento minimamente suspeito pode ser potencialmente perigoso. Ao detectar tal situação é recomendado comunicar os responsáveis para averiguar a ameaça.

Quid Pro Quo

Significa “Dar e Receber” ou “Isto por Aquilo”. São ataques baseados no abuso de confiança e geralmente assumem a forma de um serviço ou pesquisa. Por exemplo, ser contatado por um “funcionário da TI” solicitando login e senha para efetuar uma limpeza no dispositivo. Ou, ainda, um e-mail do “RH” solicitando que seja respondida uma pesquisa de satisfação ou até mesmo o cadastro para um sorteio de brindes. Esses ataques são baseados principalmente no abuso de confiança. Para se proteger, basta ter em mente uma atitude cautelosa e nunca fornecer informações pessoais em algo que não foi iniciado por você. Na suspeita, a recomendação é retornar o contato usando o número de telefone que consta do site oficial da empresa e.  trocar a senha imediatamente. Além disso, utilizar senhas fortes e trocá-las regularmente é uma saída para evitar essas ameaças; os softwares gerenciadores de senhas podem ajudar nessa parte.

De forma geral, a dica para evitar esses tipos de ataques de engenharia social é suspeitar de e-mails ou mensagens solicitando informações internas e não fornecer informações pessoais, tampouco da organização, a um solicitante desconhecido. Outra dica é jamais enviar informações confidenciais por meio de links não verificados, e, manter sempre atualizados os softwares de firewall, os antivírus e os filtros de e-mail.

*Renato Mirabili Junior é consultor de Segurança da Informação da Protiviti. A empresa é especializada em soluções para gestão de riscos, compliance, ESG, auditoria interna, investigação, proteção e privacidade de dados.

A Segurança da Informação é (e deve ser) uma das maiores preocupações das grandes corporações. Você já deve ter ouvido falar que essa informação vale ouro. Diariamente, milhares de dados dos mais diversos tipos circulam na internet. Fica a pergunta: como manter esses dados em segurança?

Mas o que quer dizer Segurança da Informação? A Segurança da Informação (SI) diz respeito à proteção de dados. Ou seja, nada mais é do que a área responsável pela proteção desses dados e a redução dos riscos que possam vir a ocorrer caso eles sejam atacados.

Tradicionalmente a SI era composta por 3 prioridades básicas, conhecidas como os 3 pilares: a Confidencialidade, Integridade e Disponibilidade. Esse é um conceito conhecido como CID.

A Confidencialidade nada mais é do que a garantia de que essas informações trafeguem de forma sigilosa e confidencial, e que somente as pessoas autorizadas a essa informação tenham acesso a ela. Este pilar compreende também as restrições de quem pode ter acesso a determinado dado. Quanto mais limitado o acesso, mais segura a informação está.

A Integridade determina que a informação chegue até o destino de forma integra. Ou seja, que não tenha sofrido nenhum tipo de modificação não autorizada. Sendo assim a informação chegara ao destinatário tal como ela foi enviada. Esse pilar garante a veracidade da informação.

Já a Disponibilidade visa garantir que as informações estejam disponíveis para o usuário, a qualquer momento que ele precisar dela. Para este pilar, é necessário um grande investimento em infraestrutura, como backups por exemplo, a fim de reduzir as chances de o sistema de armazenamento ficar fora do ar.

Os novos pilares da segurança da informação

Atualmente contamos com mais 2 pilares: a Autenticidade e a Conformidade.

A Autenticidade, que visa garantir a origem da informação, ou seja, que essa informação seja proveniente de uma fonte confiável. Em outras palavras, é a Autenticidade que assegura que cada dado pertence a quem diz pertencer.

E a Conformidade, cujo objetivo é garantir que todo processo obedeça às normas e leis vigentes e devidamente regulamentadas.

É válido citar também que muitos profissionais da área de Segurança da Informação consideram como um sexto pilar a Irretratabilidade, ou o Não-Repúdio. Este pilar impede que algum usuário negue a autoria de determinada informação.

Como vimos, temos hoje 6 pilares da Segurança da Informação, os quais servem para padronizar normas e medidas de segurança afim de proteger as organizações de ameaças que possam causar perdas. Esses pilares também servem como parâmetro para eventuais auditorias e verificações no cumprimento da legislação e normas vigentes.

Tenha sempre em mente que a Segurança da Informação deve ser vista com mais apreço e ser colocada sempre entre as prioridades do departamento de tecnologia. Caso contrário sua empresa poderá correr perigo.

*Renato Mirabili Junior é Consultor de Cybersecurity na Protiviti, empresa especializada em soluções para gestão de riscos, compliance, ESG, auditoria interna, investigação, proteção e privacidade de dados. 

Com o avanço da tecnologia e da digitalização das infraestruturas industriais, tornou-se essencial garantir a resiliência cibernética em ambientes de OT (tecnologia operacional). Prova disso é que ambientes como usinas de energia, sistemas de transporte e instalações de manufatura estão cada vez mais expostas a ameaças digitais, o que requer a implementação de medidas robustas de segurança.

Primeiro, vamos entender um pouco sobre os sistemas de OT, que são responsáveis pelo controle e monitoramento de processos industriais essenciais. Diferentemente dos sistemas de tecnologia da informação (TI), que gerenciam dados e informações, este ambiente lida diretamente com a operação física e o controle de equipamentos e processos.

A tecnologia operacional também é definida pela presença de sistemas de controle industrial, dispositivos de campo e redes de comunicação específicas. A interconexão desses componentes com a infraestrutura digital expõe as organizações a ameaças, tornando a resiliência cibernética um requisito crucial na proteção desses sistemas. 

Um dos principais gatilhos de riscos, por exemplo, é a crescente interconexão entre os sistemas de OT e as redes de TI. Essa convergência proporciona eficiência e visibilidade operacional, mas cria uma superfície expandida de ataque. Nesses casos, os invasores cibernéticos podem explorar vulnerabilidades em sistemas de TI para acessar redes de OT, comprometendo a segurança e a continuidade dos serviços fundamentais.

Além disso, as vulnerabilidades específicas e ameaças digitais encontradas nesses ambientes também exigem atenção especial. Muitos desses sistemas foram projetados e implantados antes da consideração adequada à segurança cibernética, resultando em lacunas e fraquezas, dentre as quais estão as falhas de projeto, configurações inadequadas, falta de autenticação robusta, dispositivos desatualizados e ausência de monitoramento.

Um estudo publicado pela Fortinet, de nominado o “Estado da Tecnologia Operacional e Cibersegurança 2023”, revela que a maioria das companhias de tecnologia operacional foram atacadas no ano passado. De acordo com o relatório, essas empresas continuam sendo um alvo desejado pelos cibercriminosos, com 75% delas relatando pelo menos uma invasão no ano passado. O resultado está vinculado à explosão de dispositivos conectados, que aumentou a complexidade para as organizações de OT.

O cenário reforça que a resiliência cibernética passou a desempenhar um papel fundamental na mitigação desses riscos e vulnerabilidades, tendo em vista que este ato se resume na capacidade de um sistema de se adaptar, resistir, se recuperar e seguir operando de maneira segura e eficiente diante de incidentes.

Para isso, avaliar riscos e fazer um planejamento assertivo é o primeiro passo para este processo. Isso envolve identificar as ameaças digitais e vulnerabilidades existentes nos sistemas e redes, bem como avaliar as ameaças potenciais e determinar o impacto que uma violação de segurança poderia ter nas operações.

Com base nessa avaliação, é possível desenvolver um plano de segurança personalizado, que inclua políticas de acesso, segmentação de redes, monitoramento contínuo e implementação de soluções de segurança avançadas, como firewalls industriais e detecção de intrusões.

Dentre os pontos, destaca-se a segmentação de redes e o isolamento de sistemas críticos. Ao dividir a infraestrutura em zonas de segurança e restringir o acesso entre elas, é possível limitar a propagação de um ataque cibernético e minimizar os danos causados. Além disso, é importante isolar estes sistemas, a fim de garantir que não haja conexões diretas com redes não confiáveis, como a internet. E para complementar as etapas citadas, também devemos destacar o monitoramento contínuo dos sistemas e redes em tempo real. E, mesmo com todas as medidas de prevenção, é importante estar preparado para responder a incidentes cibernéticos e se recuperar de desastres por meio de um plano bem definido, sem esquecer de manter testes regulares do plano.

Ao compreender os riscos específicos e adotar medidas adequadas, as indústrias podem proteger seus sistemas e redes contra ameaças cibernéticas cada vez mais sofisticadas.

*Allan Campos é sênior manager da Protiviti Brasil, empresa especializada em soluções para gestão de riscos, compliance, ESG, auditoria interna, investigação e proteção e privacidade de dados.

por Matheus Jacyntho e Rodrigo de Castro Schiavinato*

A proteção da privacidade dos dados pessoais tornou-se uma preocupação fundamental em um cenário cada vez mais digital e interconectado. A Lei Geral de Proteção de Dados (LGPD) estabelece diretrizes rigorosas para o tratamento adequado e seguro dos dados pessoais no Brasil. Nesse contexto, a cibersegurança desempenha um papel essencial na proteção da privacidade dos dados, uma vez que visa mitigar riscos e evitar violações de segurança que possam comprometer os dados das pessoas.

A implementação de medidas de segurança adequadas, juntamente com soluções especializadas, é crucial para assegurar o atendimento aos princípios da Segurança e prevenção definido no artigo 6º da lei, bem como preservar a confiança dos usuários na era digital e a imagem da organização.

A LGPD não especifica medidas que tratem da segurança de informação, mas exige que as empresas adotem normas técnicas e organizacionais adequadas para proteger os dados pessoais que estão em seu poder e serão tratados. Isso significa que as companhias são responsáveis por implementar medidas de segurança proporcionais aos riscos envolvidos no tratamento dos dados pessoais.

Algumas soluções ajudam a garantir a segurança no tratamento de dados pessoais, tais como:

1. Controle de acesso: ao implementar mecanismos que restrinjam o acesso apenas a pessoas autorizadas, é possível garantir que apenas aqueles que necessitam dos dados pessoais tenham permissão para acessá-los. Um desses mecanismos é o MFA (Múltiplo Fator de Autenticação), adotado por meio de soluções, como, por exemplo, o Microsoft Authenticator ou o Google Authenticator. Mesmo em casos de perda de uma senha, o atacante não consegue confirmar o código que estará de posse do colaborador.
2. Criptografia: o uso de técnicas de criptografia para proteger os dados pessoais durante a transmissão e armazenamento tornando-os ilegíveis para pessoas não autorizadas.
3. Monitoramento e detecção de intrusões: permite estabelecer sistemas de monitoramento contínuo para identificar atividades suspeitas, intrusões ou tentativas de acesso não autorizado aos dados pessoais.
4. Gestão de vulnerabilidades: realiza avaliações regulares de segurança para identificar e corrigir vulnerabilidades nos sistemas e nos aplicativos que possam expor os dados pessoais a riscos.
5. Políticas de senhas: a orientação é implementar políticas de senhas fortes, que exijam combinações de caracteres complexas, além de sugerir a troca periódica das senhas.
6. Treinamento e conscientização: a capacitação dos funcionários permite a compreensão  das práticas adequadas de segurança da informação para que os mesmos estejam cientes de suas responsabilidades na proteção dos dados pessoais.
7. Backup e recuperação de dados: além de realizar cópias de segurança periódicas dos dados pessoais, é preciso ter um plano de recuperação de dados em caso de perda ou incidente.
8. Política de retenção de dados: é preciso estabelecer uma política clara de retenção de dados, garantindo que os dados pessoais sejam mantidos apenas pelo tempo necessário e sejam adequadamente descartados após o período determinado.
9. Deleção de dados: a implementação de soluções para eliminação de dados é necessária sempre que o processo de tratamento for finalizado ou seu prazo de retenção expirar. Tal ação, além de ser um requerimento legal exigido pela LGPD, também reduz a exposição ao risco de vazamento de dados que não tem mais finalidade dentro da empresa.

As medidas de segurança de informação mencionadas podem ser complementadas por várias outras soluções de cibersegurança para fortalecer a postura de segurança de uma organização, além de auxiliar na conformidade com as exigências da LGPD.

*Matheus Jacyntho é diretor de Cibersegurança e Rodrigo de Castro Schiavinato é diretor executivo de parcerias e inovação e sócio, ambos da Protiviti, empresa especializada em soluções para gestão de riscos, compliance, ESG, auditoria interna, investigação, proteção e privacidade de dados.

O WAF (Web Application Firewall) é uma camada de segurança importante para as empresas que possuem aplicações web, como sites, plataformas de e-commerce, sistemas de gerenciamento de conteúdo (CMS), entre outros. É uma espécie de “muro” virtual que fica entre os usuários da internet e o site da empresa, ajudando a proteger os aplicativos web ao filtrar e monitorar o tráfego entre o aplicativo web e a internet. O WAF protege as aplicações contra ameaças cibernéticas que visam explorar vulnerabilidades nas aplicações web para obter informações sensíveis ou derrubar o site.

As ameaças cibernéticas são cada vez mais frequentes e sofisticadas, e podem causar prejuízos financeiros, perda de dados e até mesmo danos à imagem da empresa. Muitos pensam que os ataques hackers são realizados especificamente por pessoas por trás de computadores. Não é bem assim: os hackers utilizam ferramentas de automação para vasculhar em altíssima velocidade e 24 horas por dia sites que sejam vulneráveis a ataques, independentemente de seu porte. É como se um ladrão pudesse testar a abertura de todas as portas das casas de um quarteirão em segundos. Pior do que isso – todas as portas das casas e apartamentos de uma cidade inteira em questão de minutos. Por isso, é fundamental que as empresas tenham uma solução de segurança cibernética que inclua um WAF para proteger suas aplicações web.

O que é WAF e para que ele serve?

O WAF é configurado para interceptar o tráfego de entrada e saída entre o cliente e o servidor da aplicação web. No tráfego de entrada, o WAF verifica se há atividades suspeitas, identificando padrões maliciosos de tráfego que indicam tentativas de invasão, como injeção de SQL, cross-site scripting (XSS), tentativas de força bruta, entre outros. Já no tráfego de saída, o WAF trabalha identificando se há tentativas de extrair informações do servidor, como dados sensíveis dos usuários. Nesses casos, o WAF pode bloquear ou permitir com restrições a saída de dados, protegendo as informações da empresa. Além disso, o WAF pode ser configurado para bloquear tráfego de países ou regiões específicas, ajudando a reduzir o número de ataques que chegam às aplicações.

Um dos ataques mais comuns que o WAF protege é o DDoS (ataque de negação de serviço). Esses ataques são executados por meio do envio de tráfego excessivo para a aplicação web, o que faz com que o servidor fique sobrecarregado e não consiga processar as solicitações legítimas. Imagine que uma estrada é um site da internet e os carros são os usuários que acessam o site. Quando há um engarrafamento, muitos carros congestionam a estrada, tornando o trânsito lento ou até parando completamente. O resultado é que o site fica fora do ar, causando prejuízos financeiros e danos à imagem da empresa.

Dados mostram que os ataques DDoS estão cada vez mais comuns e mais sofisticados. Para se ter uma ideia da magnitude desse tipo de ataque, em 2020, a Cloudflare atingiu o recorde de mitigação de ataques DDoS em sua rede global, bloqueando 17,2 milhões de requisições por segundo. Isso reforça a necessidade de que as empresas tenham um WAF em suas soluções de segurança cibernética para se proteger contra ameaças cibernéticas.

Como escolher um Web Application Firewall?

Escolher um WAF pode ser uma tarefa desafiadora, mas existem alguns critérios que podem ajudar na sua análise:

• Funcionalidades: avalie as funcionalidades oferecidas pelo WAF, como prevenção de ataques de injeção de SQL, proteção contra ataques DDoS, mitigação de bots maliciosos e outros recursos que atendam às necessidades da sua organização;
• Integração: verifique se o WAF se integra facilmente com as tecnologias e sistemas já existentes na sua organização;
• Escalabilidade: certifique-se de que o WAF é escalável e capaz de atender às necessidades de crescimento da sua organização;
• Usabilidade: avalie a facilidade de uso do WAF, verificando se a interface de gerenciamento é intuitiva e se os recursos de automação ajudam a simplificar o gerenciamento de segurança;
• Suporte técnico: verifique se o fornecedor do WAF oferece um bom suporte técnico, incluindo suporte em horário comercial ou 24/7, documentação completa e recursos de treinamento.

Além desses critérios, é importante considerar a reputação do fornecedor de WAF no mercado, avaliando suas referências e avaliações de clientes. O Web Application Firewall (WAF) da Cloudflare é reconhecido por sua qualidade e inovação, sendo avaliado positivamente por empresas de pesquisa como a Gartner e a Forrester. Em 2021, a Gartner reconheceu a Cloudflare como um Líder em seu Quadrante Mágico para Serviços de Proteção de Aplicativos Web. A Forrester também destacou a Cloudflare como uma forte opção para as empresas que procuram proteger seus aplicativos da web em seu relatório Forrester Wave: Serviços de Proteção de Aplicativos Web. Essas avaliações destacam a capacidade da Cloudflare de fornecer soluções WAF de alta qualidade e sua reputação como líder em segurança cibernética.

Em resumo, o WAF é uma camada de segurança importante para proteger as aplicações web das empresas contra ameaças cibernéticas. Com a crescente sofisticação dos ataques, é fundamental que a sua empresa invista em soluções de segurança cibernética que incluam um WAF para garantir a segurança dos seus dados, a disponibilidade de seus serviços online e, consequentemente, preservar a reputação e imagem perante os seus clientes online.

Por Tyler Chase e Derek Dunkel – JahanTigh – Leia o original em inglês.

A tecnologia operacional (OT) serve como espinha dorsal e infraestrutura da qual o mundo depende para fornecer recursos críticos. Por isso, requer operações resilientes para fornecer serviços e produtos confiáveis. Os ventos contrários enfrentados pelos serviços de OT incluem, por exemplo, o fato de muitas empresas operarem suas redes de OT com tecnologia legada envelhecida. Além disso, muitas redes de negócios não fornecem segmentação adequada entre TI e OT, e os sistemas de OT estão frequentemente operando com vulnerabilidades críticas. Ou seja, isso estabelece OT como um fácil alvo para ameaças de segurança cibernética.

Ataque à Colonial Pipeline

A Colonial Pipeline, um oleoduto dos EUA que fornece 45% de todo o combustível consumido na Costa Leste, foi vítima de roubo de dados e ataques de ransomware que afetaram seu ambiente de TI em maio de 2021. Depois de confirmar o ataque, a Colonial Pipeline desligou imediatamente uma parte de seus sistemas OT. A empresa permaneceu off-line até que sentisse que era seguro continuar as operações de dutos.

O incidente da Colonial Pipeline foi apenas um exemplo do impacto comercial que um ataque cibernético tem em uma infraestrutura crítica quando as operações são interrompidas. Os operadores de oleodutos estão constantemente sob o cerco de agentes de ameaças, geralmente financiados por estados-nação. O governo dos EUA tomou medidas para proteger essas e outras infraestruturas críticas do país. Inclusive, houve uma intensificação deesforços para melhorar os recursos de detecção e resposta dos operadores de infraestrutura crítica.

Resposta do governo dos EUA ao ataque Colonial Pipeline

Este ataque levou o governo americano sob a administração Biden a emitir vários novos regulamentos de segurança cibernética para proprietários e operadores de oleodutos críticos. A nova regulamentação deve impactar na melhora do tempo de resposta a ameaças no setor de oleodutos. A diretiva de segurança inicial de maio de 2021 da Administração de Segurança de Transporte (TSA) exige que proprietários e operadores de oleodutos críticos relatem incidentes de segurança cibernética confirmados e potenciais ao Departamento de Segurança Interna (DHS) e designem um coordenador de segurança cibernética disponível 24 horas por dia, 7 dias por semana. Esta diretiva também exige que proprietários e operadores revisem as práticas atuais de proteção cibernética e identifiquem vulnerabilidades cibernéticas existentes. Além disso, medidas de correção relacionadas para identificar riscos cibernéticos e relatar os resultados ao DHS devem ser identificadas dentro de 30 dias. Além disso, os incidentes de segurança cibernética e segurança física devem ser relatados em até 12 horas após a identificação.

Uma diretiva de segurança adicional , divulgada pela TSA em 20 de julho de 2021, esclareceu ainda que os operadores de dutos devem “implementar medidas de mitigação específicas para proteger contra ataques de ransomware e outras ameaças conhecidas à tecnologia da informação e sistemas de tecnologia operacional, desenvolver e implementar uma contingência de segurança cibernética e plano de recuperação e realizar uma revisão do projeto de arquitetura de segurança cibernética.” Entre os principais itens para revisão estão as práticas de sanitização cibernética, como aplicação de patches, segmentação adequada e implementação de autenticação multifator.

O ataque Colonial Pipeline atraiu a atenção de outros órgãos reguladores de infraestrutura crítica, como o Electricity Information Sharing and Analysis Center (E-ISAC). O E-ISAC está se unindo à North American Electric Reliability Corporation (NERC) e outras empresas de segurança industrial para permitir o setor de serviços públicos de eletricidade para compartilhar dados de inteligência de ameaças anonimamente por meio de várias plataformas que as empresas de serviços públicos podem aproveitar para aprimorar os recursos de detecção.

Em uma resposta sem precedentes, o governo recuperou US$ 2,3 milhões do pagamento do resgate da Colonial Pipeline. Além disso, de acordo com um comunicado de imprensa da Casa Branca , ransomware visando infraestrutura crítica tem sido um tópico de discussão entre o presidente Joe Biden e o presidente russo Vladimir Putin. Essas ações esclarecem que o governo americano levará a sério qualquer outro ataque direcionado à infraestrutura crítica. Ou seja, os estados-nação que visam a infraestrutura crítica devem esperar ações escalonadas.

Estratégias de defesa para organizações com infraestruturas críticas

Dada a importância das infraestruturas críticas, o aumento de ataques e a nova orientação da TSA, oferecemos algumas estratégias táticas de defesa. Essas são algumas ações que as organizações de infraestruturas críticas podem adotar para proteger seus ambientes OT:

Avalie o ambiente OT quanto a possíveis riscos de segurança cibernética que possam comprometer a resiliência operacional e afetar as operações comerciais em andamento. Essa estratégia de defesa começa com a avaliação das ameaças à organização e a maturidade dos controles existentes para atender a vários cenários de ameaças. O modelo deve começar com a identificação das ameaças mais preocupantes, o impacto potencial para o negócio e a probabilidade de ocorrência. Quaisquer lacunas devem ser classificadas com base na probabilidade de ameaças específicas, mitigando controles em vigor e o impacto na organização e nos processos críticos. Medidas preventivas e de detecção devem ser implementadas para quaisquer riscos residuais para indicar um sinal de alerta precoce para um ataque cibernético .

Implemente ou aprimore a segmentação de rede para minimizar o impacto de um ataque de segurança cibernética na infraestrutura crítica de uma organização. A segmentação de rede entre ambientes TI e OT é uma das defesas mais valiosas para evitar o comprometimento ou desligamento da rede de controle. As principais práticas recomendam que a segmentação e a segregação da rede sejam implementadas para limitar ao máximo o tráfego de rede de/para o ambiente OT. A separação lógica, uma alternativa altamente eficaz, protege as organizações que oferecem suporte às infraestruturas críticas.

Uma preocupação comum ao segmentar redes, no entanto, é fornecer acesso remoto a fornecedores terceirizados para manutenção. É fundamental garantir que esses gateways de acesso remoto sejam restritos ao pessoal apropriado que tenham autenticação forte (incluindo autenticação multifator sempre que possível), que haja monitoramento de segurança em vigor, que contas de fornecedores sejam removidas imediatamente após o encerramento e dados sejam criptografados em trânsito . Gateways remotos inseguros são um vetor comum para agentes de ameaças contornarem a segmentação de rede e obterem acesso direto a ambientes OT.

Leia também: três etapas para criar um programa eficaz de segurança de sistemas de controle industrial

Teste e simule o plano de resposta a incidentes por meio de exercícios de mesa e determine a resposta da organização a ataques cibernéticos . Testar o plano de resposta a incidentes é uma das melhores maneiras de identificar lacunas nos procedimentos de resposta de uma organização. Recomendamos um exercício para simular um incidente e percorrer o plano de RI com stakeholders de todas as unidades pertinentes, para que entendam suas funções e responsabilidades. Os resultados podem ser aproveitados para corrigir lacunas, como falha na coleta de dados de registro importantes ou na identificação do pessoal adequado do local ou informações de contato desatualizadas. Além disso, aconselhamos as equipes de RI a criar manuais específicos para ambiente de OT. Ou seja, materiais que identifiquem funções e responsabilidades para o pessoal de OT no local.

Desenvolva recursos de caça a ameaças para procurar possíveis incidentes de segurança de forma proativa no ambiente OT. A busca por ameaças — procurar um invasor não detectado pelos recursos de monitoramento existentes — é eficaz para descobrir possíveis ameaças no ambiente OT antes que ocorra um impacto significativo. Essa etapa deve ser concluída assim que as prevenções fundamentais de cibersegurança e os mecanismos e processos de detecção estiverem em vigor.

Os três principais tipos de caça à ameaça são:

1. Caça a ameaças baseada em indicadores – usando indicadores de comprometimento para procurar atividades maliciosas;
2. Caça baseada em ataque – usando metodologias de ataque conhecidas para encontrar sinais de violações internas; e
3. Caça a ameaças comportamentais ou baseadas em anomalias – procurando eventos ou atividades incomuns dentro da organização.

Proteção de Infraestruturas Críticas: Conclusão

A natureza em evolução dos ataques cibernéticos contra ambientes OT requer uma estratégia para proteger as infraestruturas críticas. Assim, é indispensável criar práticas operacionais resilientes que detectam rapidamente incidentes de segurança, mitigam o impacto com eficiência e reduzem o tempo de inatividade.

Por Terry Jost, Justin Turner e Derek Dunkel-JahanTigh – Leia o original em inglês.

Se o ano de 2020 nos ensinou alguma coisa, foi a esperar o inesperado. Neste momento único, vimos empresas se adaptarem a uma nova realidade trazida pela pandemia do COVID-19, fazendo investimentos significativos para preparar suas organizações para enfrentar a próxima tempestade. Também vimos mudanças substanciais nos ambientes de segurança dos Sistemas de Controle Industrial (ICS), uma tendência que traz uma série de considerações para organizações grandes e pequenas.

Em um webinar recente, falamos sobre o que a segurança do ICS significa para as organizações e como as organizações podem criar programas eficazes de segurança do ICS para sustentar a empresa em 2021 e no futuro. Neste artigo, destacamos o que consideramos as etapas mais importantes para desenvolver e implementar um programa de segurança ICS eficaz.

Passo 1: Estabeleça Linhas de Comunicação com os Principais Contatos OT

É extremamente importante engajar as equipes de Tecnologia Operacional (OT) desde o início, obtendo adesão e suporte de “campeões de segurança” em cada local. Em muitas empresas, equipes de tecnologia e equipes operacionais trabalham separadamente, com prioridades diferentes (OT focada em disponibilidade e resiliência, TI mais focada em conectividade e segurança). A principal prioridade da organização de segurança de TI é proteger o ambiente, enquanto aqueles que trabalham em operações estão focados em aumentar a eficiência e garantir que os recursos de produção sejam concluídos da forma mais rápida e segura possível. As equipes de OT geralmente podem ver a segurança e os controles adicionais como impedimentos para atingir seus objetivos.

Muitas vezes, recomendamos que as organizações que buscam aprimorar as medidas de segurança do sistema de controle industrial comecem com a conscientização organizacional sobre por que os controles são necessários e, em seguida, obtenham a adesão das equipes que serão responsáveis pela operação desses controles. Estabelecer “campeões de segurança” – indivíduos que podem comunicar as prioridades de segurança da organização de forma a gerar essa adesão – é uma etapa fundamental que facilita o processo de preencher quaisquer lacunas entre as equipes.

Passo 2: estabelecer a propriedade do programa de segurança de sistemas e alinhar com uma estrutura

Durante nosso webinar, perguntamos ao público quem em sua organização é responsável pela segurança do ICS dentro da empresa. Cerca de um terço (33%) respondeu que o Chief Information Security Officer (CISO) detém essa responsabilidade, seguido pelo Chief Information Officer (CIO), um gerente de fábrica ou um ICS Security Manager. Quase um quarto do público (25%) respondeu “outro”, sugerindo que esse papel crítico pode não receber a atenção necessária.

A próxima etapa envolve a identificação de quem será o proprietário e o condutor deste programa. O objetivo é conseguir as pessoas certas para ajudar a priorizar os riscos e identificar ativos/locais críticos para a organização. O suporte para as iniciativas de segurança do ICS será necessário das equipes corporativas de TI, segurança cibernética, segurança física no local e tecnologia operacional (OT). Conforme mencionado anteriormente, a adesão e o suporte da equipe de automação ou das equipes de OT serão importantes, pois esses indivíduos serão capazes de articular os desafios no nível de campo e as metas/requisitos de negócios. Sua contribuição será fundamental para mapear o caminho a seguir e projetar controles que atendam às necessidades da equipe OT e melhorem a segurança de ativos críticos. Ter o apoio da liderança garante o sucesso a longo prazo, e essa parceria começa com a certeza de que a gerência executiva entenda os riscos, como esses riscos podem ser mitigados e quais benefícios podem ser alcançados (economia de custos, maior eficiência, resiliência) na definição de um estratégia para um projeto de segurança OT.

Existem várias estruturas diferentes que as empresas usam para alinhar seus programas de segurança OT. À medida que ajudamos os clientes a desenvolver seus próprios procedimentos de segurança de ICS, geralmente utilizamos várias estruturas para desenvolver uma solução que funcione melhor para as necessidades específicas da organização.

Nossos clientes em Petróleo e Gás tendem a se alinhar com o NIST Cybersecurity Framework, alguns clientes maduros utilizam vários controles do NIST 800-82 e, em muitos casos, nossa equipe recomenda um framework híbrido que combina abordagens de ambos.

Passo 3: Quantificar os riscos do ICS e priorizar a implementação de controles de maneira baseada no risco

Uma vez que uma organização constrói sua estrutura de governança de ICS Security, ela precisa determinar como lidar com a multiplicidade de riscos enfrentados pela empresa. É provável que existam vários sites operacionais diferentes com diferentes cenários de risco e pilhas de tecnologia, portanto, uma abordagem quantitativa é necessária para determinar como começar a lidar com os riscos de segurança conhecidos. Compreender o cenário legal e regulatório ajudará na priorização de alguns riscos, pois a falta desses controles pode levar diretamente a multas. Ao determinar por onde começar, também recomendamos a classificação de risco para criar uma abordagem prioritária de segurança e obter uma melhor compreensão do negócio. Como os recursos e o tempo geralmente são limitados, torna-se necessário uma abordagem priorizada. Além disso, recomendamos a utilização de uma abordagem piloto com um local de fábrica onde os relacionamentos são fortes para criar suporte para o programa e entender melhor os impactos nos negócios para os controles de segurança propostos. É importante ser flexível na fase piloto, aprender com o negócio e documentar tudo.

Olhando para 2021, vemos que as organizações estão procurando controles que não afetem negativamente a resiliência e a disponibilidade de ativos críticos. O gráfico abaixo identifica os principais desafios de implementação que as organizações de ICS encontram. Como esperado, disponibilidade e segurança são duas das considerações mais importantes. Se você visitou suas fábricas recentemente, certamente está ciente da importância dada à saúde e segurança. As organizações de saúde e segurança fizeram grandes progressos nas últimas duas décadas para incorporar sua missão às operações e suas equipes devem estar profundamente cientes de como se integrar às equipes de saúde e segurança e explicar como a segurança pode ajudar a criar maior confiança na segurança e bem-estar dos funcionários da fábrica.

No que diz respeito à tecnologia de saúde e segurança, um foco principal é a necessidade de proteger os sistemas de informação de segurança. Isso envolve um projeto intencional para garantir que os sistemas de segurança estejam conectados aos sensores certos para criar alarmes no caso de algo acontecer e que os sistemas possam permanecer disponíveis apesar dos desafios inesperados.

Estamos vendo mais empresas se concentrando em separar seus sistemas de segurança de seus sistemas de controle adicionais, o que ajuda a garantir que, se o sistema de controle principal for comprometido, isso não comprometerá necessariamente os sistemas de saúde e segurança.

É um mundo desafiador lá fora, com invasores constantemente criando novas maneiras de afetar os sistemas de controle e causar danos físicos a ambientes e pessoas. As organizações que sabem exatamente como seus dados operacionais fluem entrando e saindo de seus sistemas, sabem quais usuários devem ter acesso para fazer alterações e exigem processos de autenticação fortes podem mitigar danos consideráveis antes que eles aconteçam.

Resumo

A adesão da liderança, forte comunicação entre departamentos de TI e instalações operacionais e ter as pessoas e os sistemas certos são os principais fatores para o sucesso da segurança do ICS. Não se deixe intimidar pelo que pode parecer uma tarefa assustadora. Comparamos o desafio ao ditado sobre comer uma melancia uma mordida de cada vez. Priorize os riscos. Priorize os locais. Desenvolva uma estrutura de risco. Comece com uma abordagem piloto. Em seguida, aproveite o sucesso da segurança do ICS com uma abordagem iterativa que se baseia nos sucessos de implementação de implantações de sites anteriores.