Cibersegurança: o que todo CEO e CFO deve saber

Sumário executivo

Introdução

Pense em [cibersegurança] mais como segurança em estradas e carros. O carro realmente não mudou nos últimos 30 anos, mas muita segurança está incorporada e não é sexy até o momento em que salva sua vida. Você tem pedaços que estão escondidos – airbags – e pedaços lá para lembrá-lo de estar seguro como cintos de segurança… Alguns deles são sobre bom comportamento e boa atitude, alguns deles são sobre segurança física para lembrá-los de que há um risco, e alguns deles são cozidos para salvá-lo.

– Sian John, estrategista sênior de segurança cibernética da Symantec

Vamos admitir. A cibersegurança não é sexy. No entanto, na era digital de hoje, a segurança cibernética tornou-se cada vez mais crítica para grandes corporações e pequenas startups. Hoje, as apostas são mais altas do que nunca, pois “toda empresa se tornou uma empresa de tecnologia”. A tecnologia tornou-se mais do que um complemento às operações de uma empresa e, em muitos casos, os ativos que vivem em sua rede são suas operações principais. Isso é agravado pelo fato de que os hacks estão se tornando comuns devido ao aumento do uso de dispositivos móveis e da internet das coisas, bem como ao crescente ecossistema de cibercriminosos.

Este artigo descreve os tipos de criminosos cibernéticos, táticas de crimes cibernéticos e fatores contribuintes. A peça também inclui soluções tangíveis que as empresas podem usar para se proteger. As soluções incluem salvaguardas tecnológicas e componentes humanos. Por exemplo, a liderança deve reconhecer a segurança cibernética como um problema estratégico de negócios e não apenas um “problema de TI”. Além disso, algumas das soluções mais eficazes são bastante básicas, como educação de funcionários ou autenticação de dois fatores para usuários.

O que é um crime cibernético?

Simplificando, um crime cibernético é um crime com algum tipo de computador ou aspecto cibernético. Pode tomar forma em vários formatos e a partir de indivíduos ou grupos com diferentes fatores motivadores. As ameaças cibernéticas são riscos fundamentalmente assimétricos em que pequenos grupos de indivíduos podem causar danos desproporcionalmente grandes.

Categorias de cibercriminosos

1. Grupos do crime organizado com motivação financeira: A maioria desses grupos está localizada na Europa Oriental

2. Atores do estado-nação: Pessoas que trabalham direta ou indiretamente para seu governo para roubar informações confidenciais e interromper as capacidades dos inimigos. Eles são geralmente os invasores cibernéticos mais sofisticados, com 30% originários da China.

3. Grupos ativistas, ou “hacktivistas”: geralmente não querem roubar o dinheiro. Eles querem promover sua religião, política ou causa; para impactar reputações ou impactar clientes.

4. Insiders: Estes são os funcionários “desiludidos, chantageados ou até mesmo prestativos” que operam dentro de uma empresa. No entanto, eles não podem se envolver em atividades cibercriminosas intencionalmente; alguns podem simplesmente pegar uma lista de contatos ou um documento de design sem perceber o dano que isso pode causar.

A idade média de um cibercriminoso é de 35 anos e 80% dos hackers criminosos são afiliados ao crime organizado. Em suma, as pessoas escolhem isso como uma profissão.

Táticas de crimes cibernéticos

Os cibercriminosos utilizam métodos estáticos e dinâmicos para cometer seus crimes. Vamos aprofundar.

Negação Distribuída de Serviço (DDoS)

Um ataque DDoS tenta interromper o serviço de uma rede. Os invasores enviam grandes volumes de dados ou tráfego pela rede até que ela fique sobrecarregada e pare de funcionar. O tráfego de entrada que inunda a vítima se origina de muitas fontes diferentes, potencialmente centenas de milhares. Isso torna impossível interromper o ataque bloqueando um único endereço IP e dificulta a distinção entre tráfego legítimo e tráfego de ataque.

Phishing

Muitas vezes se passando por uma solicitação de dados de um terceiro confiável, os ataques de phishing são enviados por e-mail e solicitam que os usuários cliquem em um link e insiram seus dados pessoais. Muitas vezes envolve manipulação psicológica, invocando urgência ou medo, enganando indivíduos desavisados ​​para entregar informações confidenciais.

Existem alguns fatores relativos. Primeiro, os e-mails de phishing se tornaram sofisticados e muitas vezes se parecem com solicitações legítimas de informações. Em segundo lugar, a tecnologia de phishing agora está sendo licenciada para cibercriminosos, incluindo serviços de phishing sob demanda e kits de phishing prontos para uso. Talvez o mais preocupante seja o fato de que os serviços da dark web permitiram que os cibercriminosos refinassem suas campanhas e habilidades. Na verdade, os e-mails de phishing têm seis vezes mais chances de serem clicados do que os e-mails regulares de marketing do consumidor.

Malware

Malware, abreviação de “software malicioso”, é projetado para obter acesso ou danificar um computador. Malware é um termo genérico para uma série de ameaças cibernéticas, incluindo cavalos de Troia, vírus e worms. Muitas vezes, é introduzido em um sistema por meio de anexos de e-mail, downloads de software ou vulnerabilidades do sistema operacional.

Uso indevido de privilégios internos

Enquanto os insiders maliciosos que vazam informações para o WikiLeaks recebem toda a imprensa e glória, um cenário mais comum é que um funcionário ou usuário final médio, mas oportunista, secretamente pegue dados confidenciais na esperança de sacar em algum lugar (60% do tempo) . Às vezes, os funcionários ficam um pouco curiosos e bisbilhotam (17%). Informações pessoais e registros médicos (71%) são alvo de crimes financeiros, como roubo de identidade ou fraude de declaração de imposto de renda, mas às vezes é simplesmente para fofocas.

Skimmers de cartões físicos

Esses ataques incluem a implantação física em um ativo que lê os dados da tarja magnética de um cartão de pagamento (por exemplo, caixas eletrônicos, bombas de gasolina, terminais POS). É relativamente rápido e fácil realizar um ataque como esse, com potencial de rendimento relativamente alto – e também é um tipo de ação popular (8%).

Consequências e custos da segurança cibernética

Custos para as empresas

Três anos atrás, o Wall Street Journal estimou que o custo do cibercrime nos EUA era de US$ 100 bilhões. Outros relatórios estimaram que o número era até dez vezes maior do que isso. Em 2017, o custo médio de uma violação de dados foi de US$ 7,35 milhões, comparado a US$ 5,85 em 2014. Os custos incluem desde detecção, contenção e recuperação até interrupção de negócios, perda de receita e danos ao equipamento. Além das preocupações monetárias, uma violação cibernética também pode arruinar intangíveis, como a reputação de uma empresa ou a boa vontade do cliente.

Curiosamente, as empresas com os mais altos níveis de inovação de negócios geralmente têm ataques mais caros. Uma “inovação de negócios” pode ser qualquer coisa, desde uma aquisição ou alienação até a entrada em um novo mercado geográfico. A aquisição ou alienação de uma empresa aumentou o custo do cibercrime em 20%, enquanto o lançamento de um novo aplicativo significativo aumentou o custo em 18%.

Para empresas de serviços financeiros, os custos após uma violação de segurança podem ser atribuídos à interrupção dos negócios, perda de informações, perda de receita e outros custos.

Cibersegurança é pronunciada para o setor de serviços financeiros

A triste verdade é que, embora nenhum setor esteja imune, os problemas de segurança cibernética são particularmente pronunciados para os serviços financeiros. De acordo com o Relatório de Investigações de Violação de Dados de 2017 da Verizon, 24% das violações afetaram organizações financeiras (o principal setor), seguidas por saúde e setor público. Para efeito de comparação, em 2012, o setor ficou em terceiro lugar, depois dos setores de defesa e de utilidades e energia. Além da frequência, o custo para financiar as empresas é o mais alto de todos os setores, perdendo uma média de US$ 16,5 milhões em 2013.

Nos serviços financeiros, o tipo mais comum de violação cibernética envolveu ataques DDoS. E, como em todos os ataques DDoS, o setor financeiro foi o mais atingido.

Hacks famosos de serviços financeiros

Ataque a seis bancos americanos (2012)

Em 2012, seis grandes bancos americanos (Bank of America, JPMorgan Chase, Citigroup, US Bank, Wells Fargo e PNC) foram alvos de uma onda de ataques de computador por um grupo que reivindicava laços com o Oriente Médio. Os ataques causaram apagões na internet e atrasos no banco online, resultando em clientes frustrados que não conseguiam acessar suas contas ou pagar contas online.

Esses foram ataques DDoS, onde os hackers sobrecarregaram os sites dos bancos até o ponto de desligamento. Os ataques também utilizaram botnets, redes de computadores infectados que fazem o lance de criminosos. Às vezes, os botnets são chamados de “computadores zumbis” que obedecem aos comandos de um “botnet mestre”. Infelizmente, estes podem ser alugados através do mercado negro ou emprestados por criminosos ou governos.

JPMorgan (2014)

No verão de 2014, na maior violação de segurança de um banco americano até hoje, os nomes, endereços, números de telefone e endereços de e-mail de cerca de 83 milhões de contas foram comprometidos por hackers. Ironicamente, o JPMorgan gasta cerca de US$ 250 milhões em segurança de computadores todos os anos. A violação de 2014 não foi resultado de um esquema sofisticado. O ataque não usou um ataque de dia zero, o novo bug de software que é vendido por milhões no mercado negro. Também não utilizou malware que hackers na Coreia do Norte empregaram em seu ataque cibernético à Sony. Em vez disso, a origem do problema era básica: o banco não empregava autenticação de dois fatores, que é uma camada adicional de segurança quando os usuários fazem login para acessar dados ou um aplicativo. A equipe de segurança do JPMorgan negligenciou a atualização de um de seus servidores de rede com o esquema de senha dupla – foi o que bastou.

Sistema de pagamento SWIFT (2016)

Em fevereiro de 2016, a Society for Worldwide Interbank Financial Telecommunication (SWIFT), um consórcio internacional de mais de 11.000 bancos que facilita transferências internacionais, foi hackeada. O Bangladesh Bank, um usuário da rede SWIFT, foi hackeado no valor de US$ 81 milhões. Apenas uma pequena proporção foi recuperada antes que o Federal Reserve Bank de Nova York bloqueasse outras 30 transações que poderiam ter transferido US$ 850 milhões adicionais.

Esses ataques mostram que as redes de pagamento são tão confiáveis ​​quanto seu elo mais fraco. Muitos na indústria não ficaram surpresos com o ataque. De acordo com Justin Clarke-Salt, cofundador da Gotham Digital Science, uma empresa de segurança cibernética, os ataques exploraram uma fraqueza do sistema: nem todas as instituições protegem o acesso ao SWIFT da mesma maneira. Afinal, “os invasores geralmente atacam pessoas que são mais fáceis de atacar... Longe do que sabemos ter sido divulgado publicamente, eles têm como alvo instituições financeiras menores. Provavelmente porque eles têm controles menos sofisticados.”

As pequenas ou grandes empresas são mais vulneráveis?

Embora as notícias frequentemente cubram ataques às maiores corporações (Target, Yahoo, Home Depot, Sony), as pequenas empresas não estão imunes. Nos últimos 12 meses, os hackers invadiram metade de todas as pequenas empresas nos Estados Unidos, de acordo com o Relatório de Segurança Cibernética de SMB de 2016.

Por um lado, alguns argumentam que as empresas menores podem não conseguir se recuperar de um ataque cibernético**. **De acordo com Sian John, estrategista sênior de segurança cibernética da Symantec, as empresas atingidas por um problema de segurança sofrem um “grande impacto financeiro e de reputação” para as empresas no ano seguinte, antes de retornar à normalidade. Ela questionou: “Se você é uma empresa menor, pode sobreviver a essa queda?”

Por outro lado, outros argumentam, as pequenas empresas estão em vantagem: “Uma grande empresa é mais vulnerável do que uma pequena empresa: elas têm grandes pools de dados e centenas de pessoas precisam ter acesso… escala, ser inteligente sobre os processos de negócios e entender onde esses processos de negócios podem ser explorados é mais fácil do que para uma grande organização”, declarou Richard Horne, sócio da PricewaterhouseCoopers.

Desafios de segurança cibernética

Fatores que contribuem para o aumento do crime cibernético

Surgiu uma raça “corporativa” de cibercriminosos

Os cibercriminosos agora estão adotando as melhores práticas corporativas para aumentar a eficiência de seus ataques. Alguns dos criminosos mais empreendedores estão vendendo ou licenciando ferramentas de hacking para criminosos menos sofisticados. Por exemplo, criminosos profissionais têm vendido tecnologia de dia zero para criminosos no mercado aberto, onde são rapidamente comoditizados. As gangues também oferecem ransomware como serviço, que congela os arquivos do computador até que a vítima atenda às demandas monetárias e, em seguida, recebe uma parte pelo fornecimento da licença.

Agora existe todo um ecossistema de recursos para os cibercriminosos aproveitarem. “Grupos avançados de ataques criminosos agora ecoam os conjuntos de habilidades dos invasores de estados-nações. Eles têm amplos recursos e uma equipe técnica altamente qualificada que opera com tanta eficiência que mantêm o horário comercial normal e até tiram finais de semana e feriados… golpes”, disse Kevin Haley, diretor da Symantec.

Segurança de fornecedores terceirizados

Se um terceiro for invadido, sua empresa corre o risco de perder dados comerciais ou comprometer as informações dos funcionários. Por exemplo, a violação de dados da Target em 2013 que comprometeu 40 milhões de contas de clientes foi o resultado do roubo de credenciais de rede de um fornecedor de aquecimento e ar condicionado de terceiros. Um estudo de 2013 indicou que 63% das investigações de violação de dados daquele ano estavam vinculadas a um componente de terceiros.

Aumento do uso de tecnologias móveis pelos clientes

Devido a um número crescente de alvos online, hackear tornou-se mais fácil do que nunca. Nos bancos de consumo, o uso de dispositivos móveis e aplicativos explodiu. De acordo com um estudo de 2014 da Bain & Company, o celular é o canal bancário mais usado em 13 dos 22 países e compreende 30% de todas as interações globalmente. Além disso, os consumidores adotaram sistemas de pagamento móvel. Para bancos que competem com startups de fintech, a conveniência do cliente continuará sendo importante. Eles podem ter que pesar as perdas potenciais por fraude com as perdas de uma experiência de usuário mais inconveniente. Algumas instituições estão utilizando autenticação avançada para enfrentar esses riscos adicionais de segurança, permitindo que os clientes acessem suas contas por meio de reconhecimento facial e de voz.

Proliferação da Internet das Coisas (IoT)

A Internet das Coisas (IoT) é dedicada à ideia de que uma ampla gama de dispositivos, incluindo aparelhos, veículos e edifícios, podem ser interconectados. Por exemplo, se o alarme tocar às 7h, ele poderá notificar automaticamente sua cafeteira para começar a preparar café para você. A IoT gira em torno da comunicação máquina a máquina; é móvel, virtual e oferece conexões instantâneas. Há mais de um bilhão de dispositivos IoT em uso hoje, um número esperado para mais de 50 bilhões até 2020. O problema é que muitos dispositivos inteligentes mais baratos geralmente não possuem infraestrutura de segurança adequada. Quando cada tecnologia tem alto risco, o risco cresce exponencialmente quando combinado.

Conscientização sobre segurança cibernética versus prontidão para abordar

Apesar das manchetes sobre segurança cibernética e suas ameaças, ainda há uma lacuna entre a conscientização das empresas e sua prontidão para lidar com isso. No ano passado, os hackers invadiram metade de todas as pequenas empresas dos EUA. Na pesquisa de 2013 do Ponemon Institute, 75% dos entrevistados indicaram que não tinham um plano formal de resposta a incidentes de segurança cibernética. 66% dos entrevistados não estavam confiantes na capacidade de sua organização de se recuperar de um ataque. Além disso, uma pesquisa de 2017 da empresa de segurança cibernética Manta indicou que uma em cada três pequenas empresas não possui as ferramentas para se proteger.

Taticamente falando, as empresas de serviços financeiros têm muito a melhorar em termos de detecção e resposta a ataques. Em 2013, 88% dos ataques iniciados contra empresas de FS tiveram sucesso em menos de um dia. No entanto, apenas 21% deles são descobertos em um dia e, no período pós-descoberta, apenas 40% deles são restaurados em um dia.

As soluções de segurança cibernética exigem uma abordagem multifacetada

Não existe uma solução “tamanho único” para a segurança cibernética. No entanto, em geral, as soluções devem incluir tecnologia sofisticada e componentes mais “humanos”, como treinamento de funcionários e priorização na sala de reuniões.

Inteligência de ameaças acionável

Inteligência em tempo real:

A inteligência em tempo real é uma ferramenta poderosa para prevenir e conter ataques cibernéticos. Quanto mais tempo levar para identificar um hack, mais caras serão suas consequências. Um estudo de 2013 do Ponemon Institute revelou que os executivos de TI acreditam que menos de 10 minutos de notificação antecipada de uma violação de segurança é tempo suficiente para desativar a ameaça. Com apenas 60 segundos de notificação de um comprometimento, os custos resultantes podem ser reduzidos em 40%.

De acordo com James Hatch, diretor de serviços cibernéticos da BAE Systems, “Detectar [um ataque cibernético] cedo é fundamental… Pode ser a diferença entre perder 10% de seus [computadores] e 50%”. Infelizmente, na realidade, as empresas levam, em média, mais de sete meses para descobrir um ataque malicioso.

Ações Complementares:

As empresas podem tomar várias medidas táticas menores para se proteger. Esses incluem:

• Implementação de uma estratégia de defesa em várias camadas. Garanta que ele cubra toda a sua empresa, todos os endpoints, dispositivos móveis, aplicativos e dados. Sempre que possível, utilize criptografia e autenticação de dois ou três fatores para acesso à rede e aos dados.

• Realizar uma avaliação de fornecedor terceirizado ou criar contratos de nível de serviço com terceiros: Implemente uma política de “privilégio mínimo” sobre quem e o que os outros podem acessar. Crie o hábito de revisar o uso de credenciais com terceiros. Você pode até dar um passo adiante com um acordo de nível de serviço (SLA), que obriga contratualmente que terceiros cumpram as políticas de segurança de sua empresa. Seu SLA deve dar à sua empresa o direito de auditar a conformidade do terceiro.

• Backup contínuo de dados. Isso pode ajudar a proteger contra ransomware, que congela os arquivos do computador até que a vítima atenda às demandas monetárias. O backup de dados pode ser crítico se seus computadores ou servidores ficarem bloqueados porque você não precisaria pagar pelo acesso aos seus dados.

• Patching com frequência. Um patch de software é uma atualização de código no software existente. Geralmente, são correções temporárias entre versões completas do software. Um patch pode corrigir um bug de software, solucionar uma nova vulnerabilidade de segurança, solucionar problemas de estabilidade de software ou instalar novos drivers.

• Aplicativos de software de lista branca. A lista de permissões de aplicativos impediria que os computadores instalassem software não aprovado. Isso permite que os administradores tenham muito mais controle.

Seguro anti-hacker

Uma tendência emergente é o seguro anti-hacker, ou seguro cibernético. Seu escopo varia entre os provedores, mas normalmente protege contra brechas e perdas de segurança. As seguradoras normalmente limitam sua capacidade entre US$ 5 milhões e US$ 100 milhões por cliente. Em outubro de 2016, apenas 29% dos negócios dos EUA haviam adquirido seguro cibernético. No entanto, o mercado geral de seguros cibernéticos é estimado em US$ 20 bilhões até 2025, acima dos US$ 3,25 bilhões atuais. As seguradoras estão otimistas, estimando que os prêmios triplicarão nos próximos anos.

Para uma organização determinar quanto seguro cibernético precisa, ela deve medir seu risco cibernético. Ele deve entender como seus ativos são afetados por um ataque cibernético e como priorizá-los.

Programas de recompensas de bugs

Outra ideia nova no setor é algo chamado programa de recompensas por bugs, em que uma organização paga a pessoas de fora (“hackers amigáveis”) para notificá-la sobre falhas de segurança. Empresas como Google e Dropbox, AT&T e LinkedIn já adotaram essa prática.

Não se esqueça do componente humano

• Um “problema de TI” torna-se um problema estratégico de negócios. Para muitos CEOs e CFOs, hackear pode ser frustrante porque eles não entendem o inimigo. De acordo com Richard Anderson, presidente do Institute of Risk Management, “ainda há muitas pessoas montadas em empresas maiores que ainda consideram isso algo que os geeks cuidam, em vez de ser uma questão de negócios”. No entanto, como as estatísticas demonstraram, isso não poderia estar mais longe da verdade.

  Um white paper da Deloitte sugere a criação de uma equipe dedicada de gerenciamento de ameaças cibernéticas e a criação de uma “cultura de conhecimento de riscos cibernéticos”. Também é recomendado que as organizações designem um diretor de segurança da informação (CISO). Por exemplo, nem o JPMorgan nem a Target tinham CISOs quando foram violados em 2014 e 2013, respectivamente.

• De volta ao básico: Treinamento de funcionários. As violações de dados geralmente são o resultado de fraquezas psicológicas dos humanos. Portanto, é fundamental educar seus funcionários sobre os sinais de alerta de violações de segurança, práticas seguras (tendo cuidado ao abrir anexos de e-mail, onde eles estão navegando) e como responder a uma suspeita de aquisição.

Pensamentos de despedida

Uma refutação comum à crescente atenção aos perigos da segurança cibernética é: “E então? Devemos apenas parar de inovar por medo de ataques?” A resposta é, não exatamente. No entanto, pode ser útil para as empresas verem a segurança cibernética como uma questão de ética. Ou seja, a segurança cibernética não deve ser apenas uma questão de tecnologia, mas também de moralidade. Afinal, é ético criar e vender tecnologia que deixa os consumidores vulneráveis? Com a cultura de “crescer ou morrer” do Vale do Silício e às vezes míope, essa é provavelmente uma atitude impopular.

No entanto, há precedentes em outros setores. Por exemplo, a American Medical Association e a American Bar Association exigem que os profissionais sigam seus respectivos códigos éticos. Os médicos devem fazer o juramento de Hipócrates, um dos documentos obrigatórios mais antigos da história, que exige que os médicos se comprometam a proteger seus pacientes. Da mesma forma, os advogados seguem um Modelo de Regras de Conduta Profissional, prometendo proteger e respeitar seus clientes.

Todos nós faríamos bem em lembrar que, embora a tecnologia possa ir e vir, o certo e o errado nunca mudam.