Num cenário de evolução acelerada das ameaças cibernéticas, Dmytro Tereshchenko, Diretor do Departamento de Segurança da Informação da Sigma Software Group, analisa as vulnerabilidades emergentes e apresenta estratégias práticas para que as empresas reforcem as suas defesas. Neste artigo Tereshchenko enfatiza a importância de equilibrar controles de segurança robustos com a conveniência do utilizador, destacando medidas como a gestão eficaz de palavras-passe, autenticação multifatorial e a mitigação de riscos associados ao fator humano.
Numa recente mesa-redonda fechada sobre cibersegurança, realizada no UK-Ukraine Tech Bridge, falei sobre os crescentes desafios na área e o equilíbrio crítico entre a implementação de controles de segurança robustos e a conveniência para o utilizador. Aqui, tento resumir as minhas ideias, apresentando exemplos reais de violações cibernéticas, explorando as limitações das medidas de segurança atualmente em vigor e estratégias para que as empresas reforcem as suas defesas contra ameaças em constante evolução.
No mundo hiperconectado de hoje, a cibersegurança evoluiu de uma preocupação puramente técnica para uma prioridade crítica para os negócios. Com o surgimento de novas tecnologias, a velocidade com que as ameaças cibernéticas evoluem é impressionante, tornando frequentemente as medidas de segurança existentes obsoletas quase de um dia para o outro.
Simultaneamente, desafios tradicionais, como o phishing, as palavras-passe fracas e os protocolos desatualizados, continuam a representar ameaças significativas, permitindo aos atacantes um acesso facilitado a informações sensíveis. As estatísticas são eloquentes – foram reportados mais de 9.000 incidentes cibernéticos apenas no primeiro semestre de 2024, o que se traduz em quase um novo ataque a cada hora.
Este risco crescente elevou a cibersegurança ao primeiro plano da estratégia empresarial. Segundo um estudo recente da Accenture, 96% dos CEOs identificam a segurança como essencial para o crescimento das suas empresas, o que tem impulsionado investimentos contínuos. Contudo, apesar destes esforços, 74% deles manifestam preocupação quanto à sua capacidade de mitigar ou resistir eficazmente a ciberataques, face à complexidade crescente das ameaças. Neste artigo, serão analisados diversos incidentes de segurança de alto perfil, com o objetivo de identificar vulnerabilidades comuns e destacar estratégias para que as empresas evitem ataques sofisticados.
1. Reforçar a Proteção de Palavras-Passe e Frases-Chave
Ah, as palavras-passe – a pedra angular da segurança digital e a primeira linha de defesa!
Para as organizações, manter uma política robusta de palavras-passe é essencial. Uma política típica deve exigir um comprimento mínimo de oito (preferencialmente doze) caracteres, combinando letras, números e símbolos especiais. A atualização regular das palavras-passe é também uma prática amplamente aceite.
Na Sigma Software Group, que conta com mais de 2.000 colaboradores, os nossos especialistas em segurança aperfeiçoam continuamente estas práticas para assegurar a segurança digital da nossa equipa. Contudo, a experiência demonstrou que o cumprimento das diretrizes constitui apenas uma fração da equação. Enfatizamos a importância de uma criação criteriosa das palavras-passe, incentivando a equipa a evitar padrões facilmente previsíveis, como “Spring2024!” ou “Summer2024!”. Esta mentalidade proativa fomenta uma cultura de consciência em matéria de segurança, crucial para prevenir violações de palavras-passe – uma tendência alarmante que afeta tanto indivíduos como organizações.
Um exemplo marcante desta vulnerabilidade surgiu quando o hacker ético holandês Victor Gevers afirmou ter adivinhado a palavra-passe do Twitter do Presidente eleito Donald Trump na sua quinta tentativa. A palavra-passe, “maga2020!” – uma referência ao slogan de campanha de Trump (“Make America Great Again”) – evidenciou uma lacuna significativa na segurança. Gevers esclareceu que a sua intenção não era roubar informações sensíveis, mas sim sensibilizar para os riscos de segurança online. Ele defende a implementação de medidas de segurança online mais robustas, incluindo protocolos complexos de criação de palavras-passe, autenticação de dois fatores e uma gestão eficaz das palavras-passe.
Ao adotar uma abordagem abrangente para a proteção das palavras-passe, as organizações podem mitigar significativamente os riscos e reforçar a sua postura global de cibersegurança.
2. Autenticação Multifatorial: Continua a Ser Suficiente?
A autenticação multifatorial (MFA) foi outrora aclamada como um avanço significativo na segurança. Ao exigir camadas adicionais de verificação – tais como palavras-passe, tokens de hardware ou leituras biométricas – a MFA eleva substancialmente a barreira contra o acesso não autorizado. Contudo, apesar de adicionar proteção, não é infalível.
Imagine um cenário em que os utilizadores perdem simultaneamente o telemóvel e o portátil. Registar o acesso a contas críticas muitas vezes implica contactar o suporte de TI para verificar a identidade – uma abordagem que, embora pareça segura, apresenta falhas, conforme evidenciado pela gigante dos videojogos EA Games.
Em julho de 2021, a EA Games sofreu uma violação significativa devido a uma sofisticada esquiva da MFA. Hackers utilizaram cookies roubados contendo as credenciais de acesso de um colaborador para infiltrar-se no canal Slack da empresa. Fingindo ser o referido colaborador, contactaram o suporte de TI, alegando ter perdido o telemóvel numa festa e necessitar de um novo token de autenticação multifatorial. Esta tática de engenharia social foi eficaz, concedendo-lhes acesso à rede corporativa da EA.
O resultado foi desastroso. Os hackers roubaram 780GB de dados sensíveis, incluindo o código-fonte do FIFA 21, o motor Frostbite e diversas ferramentas internas de desenvolvimento. Estes dados foram posteriormente vendidos em fóruns clandestinos. Embora a EA tenha confirmado que nenhum dado dos jogadores foi comprometido, o incidente expôs vulnerabilidades nos seus protocolos de segurança. A empresa reconheceu, desde então, a gravidade da violação e está a trabalhar ativamente no reforço das suas defesas para prevenir futuras ocorrências.
3. Gestão de Segurança: Abordar o Fator Humano
Mesmo os sistemas de segurança mais avançados não estão imunes a vulnerabilidades e, frequentemente, o elo mais fraco num quadro abrangente de segurança é o erro humano. Um lapso aparentemente insignificante pode introduzir riscos significativos, independentemente da sofisticação das ferramentas ou dos protocolos em vigor.
Um exemplo pertinente provém da Estónia, onde os engenheiros implementaram as melhores práticas no desenvolvimento dos cartões de identidade digital nacionais. Infelizmente, erros durante este processo resultaram em falhas críticas de segurança que afetaram mais de 750.000 portadores de cartões.
Estas questões derivaram principalmente do fabricante dos cartões, a Gemalto. Entre 2014 e 2017, as autoridades estonianas descobriram uma vulnerabilidade importante na biblioteca criptográfica responsável pela geração das chaves privadas. Esta falha criou um potencial caminho para o roubo de identidade, e, no entanto, a Gemalto não informou prontamente o governo. Em consequência, os responsáveis estonianos tiveram de adotar medidas de emergência, suspendendo o uso de certificados digitais nos cartões afetados. Esta situação levou a litígios, culminando num acordo no qual a Gemalto concordou em pagar 2,2 milhões de euros em compensação.
Vulnerabilidades adicionais surgiram devido às práticas de gestão dos cartões de identificação. A Gemalto gerava chaves privadas fora do chip seguro e reutilizava a mesma chave para vários portadores de cartões. Esta negligência permitiu a potencial falsificação, embora, felizmente, não tenham sido reportados casos de utilização indevida de identidades. Os especialistas estonianos identificaram e corrigiram rapidamente o problema, garantindo que a ameaça às identidades digitais permanecesse teórica.
Estes incidentes exemplificam o impacto significativo dos fatores humanos na segurança. Reforçam que um quadro robusto de segurança é insuficiente por si só; o elemento humano também deve ser abordado.
Para mitigar os riscos potenciais associados ao erro humano, as organizações devem implementar estratégias que reforcem a supervisão e a resiliência. Isto inclui proporcionar formação abrangente aos colaboradores para aumentar a consciência em matéria de segurança, realizar auditorias de segurança regulares tanto dos sistemas internos como dos fornecedores externos, e estabelecer protocolos de segurança claros que capacitem os funcionários a reconhecer e resolver eventuais problemas de segurança.
Em Resumo
Um tema recorrente nestes estudos de caso é o impacto do erro humano. À medida que a cibersegurança se torna mais complexa, atalhos – como o uso de palavras-passe simples ou a contorna da MFA – frequentemente criam vulnerabilidades que os atacantes exploram.
O desafio principal na cibersegurança reside em encontrar o equilíbrio entre a implementação de controles de segurança robustos e a manutenção da conveniência para o utilizador.
A cibersegurança é, de facto, um processo contínuo e não uma solução pontual. Nenhuma ferramenta isolada pode oferecer proteção completa, pelo que uma abordagem de defesa em múltiplas camadas, na qual as medidas se complementam, é, sem dúvida, a estratégia mais eficaz para mitigar os riscos e antecipar as ameaças em evolução.
