André Fleury*
10 de janeiro de 2021 | 08h30
André Fleury. FOTO: DIVULGAÇÃO
Era uma quinta-feira, dez e meia da noite, e estávamos na segunda semana de trabalho incansável recuperando os servidores e as informações de uma grande companhia brasileira que tinha sofrido um ataque cibernético e estava sem operar havia sete dias consecutivos. Ao telefone com o presidente da empresa, expliquei porque todo o investimento em segurança tinha sido em vão. Detalhei o método utilizado pelo atacante e discorri sobre os erros cometidos, sobre as decisões erradas, e finalmente sugeri as soluções que precisavam ser implantandas imediatamente para voltarem à operação. Ele me confessou com uma voz cansada e de quem estava sem dormir por mais de 30 horas: “eu nunca mais quero passar por isso em toda a minha vida”.
Essa frase me persegue desde então. Percebi, naquela conversa e em outras mais que tive com executivos daquela e de outras empresas em situações semelhantes, como eles não faziam idéia do risco que sempre correram. Estamos preparados para um mundo sob ameaça constante de criminosos digitais? Não, não estamos.
Desde a declaração de pandemia em 11 de março deste ano, diversos setores da economia foram alvos de extorsões, roubos de informação e paralisação de serviços por ataques de quadrilhas organizadas do crime cibernético. O setor de energia sofreu paralisações. O setor de saúde também, incluindo roubo de dados. O setor financeiro viu crescer fraudes digitais, assim como o de telecomunicações. E os ataques, antes restritos a roubos de informações e a paralisação de serviços ao tirar do ar servidores ou conexões com a internet, agora chegam às plantas de usinas, distribuidoras de energia e montadoras de automóveis com o potencial, inclusive, de risco à vida humana.
Há vários tipos de criminosos, dos mais sofisticados, que desenvolvem suas próprias ferramentas, até os mais amadores, que buscam soluções automatizadas para fazer ataques simples. Com maior ou menor grau de sofisticação, eles vão seguir estes passos básicos já conhecidos pela comunidade internacional de segurança cibernética:
Para o phishing funcionar basta que alguém abra o arquivo malicioso ou clique no link errado. Para aumentar as probabilidades, o atacante estuda as vítimas. Usam as redes sociais para conhecer os líderes da empresa, como se expõe no LinkedIn, Facebook e Twitter, e, assim, escolhem o alvo perfeito. Usam informações públicas para se fazerem passar por um alto diretor ou uma grande executiva da empresa em um ataque, que é quando se utiliza de informações falsas para enganar alguém e obter acessos indevidos. O principal erro é fazer a migração para a nuvem sem se preocupar com segurança. Um scan nas redes da empresa já dá para achar servidores vulneráveis, sem a proteção mínima de um firewall e sem a configuração mínima de segurança. No ano passado, oito de cada 10 incidentes que a minha equipe atuou tinha como causa raiz um servidor mal configurado com acesso irrestrito na internet. Isso não é falha de segurança, é falta de preocupação com segurança.
Outro erro comum é a super exposição nas redes sociais. É fácil descobrir quem são os/as grandes executivos/as, ter informação sobre suas famílias, hábitos, viagens, endereços e quem são os amigos e amigas. Há toneladas de dados vazados, desde sites de romance até hotéis e agências de viagem. Em uma busca numa dessas bases já é possível saber que o alvo do criminoso teve seu e-mail vazado no último ataque a um site de relacionamentos, por exemplo. Estas informações em um e-mail crível faz o alvo clicar no link ou baixar o arquivo.
É fácil adivinhar a sua senha? Uma sequência numérica de 4 dígitos pode ser quebrada em menos de um segundo por softwares atuais. Que tal uma palavra comum, digamos Botafogo… Em sete minutos um laptop comum a quebra. O simples fato de usar oito digitos e misturar letras, números e caracteres já eleva para um mês. As minhas senhas, com 20 caracteres entre todos os possíveis no teclado, os melhores algoritmos levariam 10 mil séculos para quebrar (até a computação quântica chegar de vez, pelo menos). Muitas vezes o criminoso é pago por outro para realizar o ataque com o objetivo de roubar informações confidenciais, plantar informações ou sabotar projetos. O objetivo pode ser roubo de dados pessoais para futura extorsão ou ainda simplesmente dar uma mensagem política. Qualquer que seja o objetivo é nesta fase que o criminoso se prepara para atingir com o menor esforço e maior segurança (por mais contraditório que pareça).
Retomo o que comentei no início do texto: foram sete dias em um ambiente com todas as máquinas criptografadas, trazendo de volta à vida a empresa daquele CEO. Fomos acionados na madrugada em que o ransomware fora disparado. Descobrimos depois, com as nossas investigações, que a fase de delivery, tinha sido realizada seis meses antes, e que a fase inicial de investigação, há mais de oito meses. Se conseguíssemos obter estes dados investigando, teria sido possível que fossem descobertos quando os eventos aconteceram e as reações teriam efeitos mais satisfatórios evitando um desastre maior.
Altos investimentos em segurança não substituem pessoas treinadas nem processos bem definidos e seguidos à risca diariamente. Não há solução mágica para proteger uma empresa. A melhor comparação que costumo fazer é com a higiene pessoal: é diário, constante. Todos os dias novas brechas de segurança são identificadas nos sistemas operacionais, aplicativos de mensagem ou bancos de dados. Os fabricantes dessas ferramentas trabalham incansavelmente para corrigir e publicar novas versões que corrigem falhas. Muitos dos ataques que aconteceram nos últimos 30 dias no Brasil exploraram falhas de segurança conhecidas há mais de 12 meses. Por que não foram corrigidas? Provavelmente porque não exista um processo para isso, com a devida importância e prioridade.
Proponho uma reflexão sobre um episódio que está dando o que falar no mundo da segurança cibernética lá fora: a demissão de Chris Krebs, diretor da Cybersecurity and Infrastrucuture Security Agency (CISA). Ele era considerado o CISO (Chief Information Security Officer) dos EUA e principal conselheiro da Casa Branca quando o tema é segurança cibernética. Enquanto todos lamentam a campanha do atual presidente para desacreditar suas eleições, eu me pergunto como se valoriza a figura do CISO por aqui. Muitas vezes “escondido” sob um gerente de infraestrutura de TI, ou abaixo de um diretor de segurança física, raramente o CISO tem a voz estratégica que deveria ter e só é lembrado na hora de um grande ataque, como os recentemente divulgados.
Estamos em plena revolução digital, cada vez mais ampliando a exposição à internet. Tecnologias como IoT, Inteligência Artificial, computação em nuvem, blockchain, analytics e automação são fundamentais para os negócios das empresas e para o governo e não há outro caminho a não ser tirar o maior proveito destas tecnologias para os negócios. Com isso, todo CEO, todo líder, deve combinar o avanço tecnológico com a inovação da sua organização e precisa do CISO ao seu lado na mesa de decisões apontando quais avanços trazem novas ameças digitais e como minimizá-las e empoderando o responsável pela segurança para fazer o que deve ser feito e quebrar esta escalada de ataques cibernéticos a que estamos assistindo.
*André Fleury, diretor executivo da Accenture para Cibersegurança na América Latina
Os comentários são exclusivos para assinantes do Estadão.