Mais do que tomar medidas preventivas, que está provado minimizarem o risco – como não abrir e-mails, links ou anexos suspeitos, evitar a navegação em sites desconhecidos, proteger as contas e acessos com passwords reforçadas, usar um software de proteção, entre mais um rol de dicas imprescindíveis.
Bruno Morisson, Partner, Offensive Security Services Director na Integrity
“Num atentado nunca visto à liberdade de imprensa em Portugal na era digital, os sites do EXPRESSO e da SIC, bem como algumas das suas redes sociais, foram esta manhã alvo de um ataque informático.”
Foi assim que, no passado dia 2 de janeiro, um dos maiores grupos de comunicação social do País fez saber ter sofrido um ataque informático sem precedentes.
Entretanto, baseado em suposições e meias-verdades, muito se escreveu e opinou sobre a (total?) destruição do histórico de notícias armazenado nos servidores daqueles dois órgãos de comunicação social. Ao que se sabe, o golpe não terá sido de “ransomware” clássico, mas sim a eliminação da memória digital das notícias do Grupo Impresa, ou seja, os dados informáticos, o registo histórico e as cópias de segurança (“backups”) foram simplesmente eliminados.
Partindo desta informação e não querendo divagar, já que por agora não se sabe ao certo os pormenores do que efetivamente se passou, é nosso dever olhar e reavaliar as práticas de Cibersegurança aplicadas nas Organizações pois, como ficou provado, nenhuma entidade, independentemente da sua dimensão, está imune.
Mais do que tomar medidas preventivas, que está provado minimizarem o risco – como não abrir e-mails, links ou anexos suspeitos, evitar a navegação em sites desconhecidos, proteger as contas e acessos com passwords reforçadas, usar um software de proteção, entre mais um rol de dicas imprescindíveis – há que não descurar um outro ponto: a par dos processos de continuidade de negócio devemos preocupar-nos com a preparação da recuperação. Ou seja, depois do ataque se efetivar, há todo um conjunto de procedimentos a serem tomados, cuja eficiência, agilidade e rapidez fazem de facto a diferença.
Há que prevenir os ataques sim, mas também estar preparado e saber dar uma resposta real e concreta quando eles acontecem…
Questione-se…
“Se a minha empresa for alvo de um ataque, estamos preparados para agir e recuperar rapidamente?”
“Após um ataque, temos que nos focar na recuperação… Estará a minha empresa devidamente preparada para esse passo?”
É esta fase igualmente importante que não devemos negligenciar, e aqui chamo especial atenção para os Backups. Sim, é essencial garantir que se fazem backups, no entanto se não houver um plano de recuperação de negócio tudo isto acaba por não ser ágil. De forma objetiva, isto significa que se uma empresa não tem um plano de recuperação de negócio e um processo ágil de reposição, de nada servirão os backups. É fundamental traçar-se uma estratégia e um plano de continuidade de negócio, mas mais importante é fazer com que a empresa volte, o quanto antes, à sua atividade “normal”, ou seja que recupere o negócio e consiga pôr tudo a funcionar como sempre.
Simulacro de ataques informáticos. Acredito que esta é uma das formas de as empresas avaliarem se estão preparadas, caso um dia sejam elas as vítimas e saberem o que têm de fazer. Há que reunir os colaboradores relevantes, apresentar vários cenários, explicar o que pode acontecer e averiguar se está tudo efetivamente funcional. Em poucas palavras: deve-se testar, experimentar e perceber qual a prontidão em caso de emergência.
E isto faz-se, antes de mais, tendo em conta os três grandes pilares de uma empresa:
– Pessoas: tipicamente, quando falamos em ataques de ransomware, o ponto de entrada é feito através das pessoas (o phishing), logo há não só que as consciencializar para uma série de práticas a ter em conta, mas também preparar as que tratam dos processos e da tecnologia, de forma a saberem o que fazer quando ocorre algum ataque;
– Processos: garantir que os processos de recuperação estão todos alinhados e que, após os ataques, funcionam ao nível das operações do dia a dia;
-Tecnologia: testar a tecnologia, fazendo não só atualizações mas também identificando atempadamente potenciais pontos de falha.
É certo que cada negócio é um negócio e cada um tem as suas especificidades, mas também me parece evidente que os processos de recuperação de negócio têm de estar bem montados, pois as consequências geradas por estes ataques podem ser realmente devastadoras e os custos associados muito elevados (indo desde perdas financeira, danos reputacionais, perda de vantagem competitiva até ao nível da quebra da confidencialidade, integridade ou disponibilidade dos recursos em questão, etc.).
Em suma, não nos devemos centrar num só aspeto, devemos garantir que está tudo atualizado, garantir boas práticas de operação e manutenção de tudo o que é sistemas informáticos e não esquecer de complementar com outras medidas de prevenção.
Infelizmente, o tipo de ataque de que o Grupo Impresa foi alvo está a crescer e ao que tudo indica estes números tendem a aumentar significativamente, pelo que é cada vez mais essencial as organizações, seja qual for o seu negócio, estarem atentas e preparadas.