Passado todo o pavor dos ataques que ocorreram no mundo todo no dia 12 de maio, agora é hora de racionalizar. Infelizmente vejo que este foi apenas o primeiro de uma série de ataques, visto que com os vazamentos de artefatos utilizados pelas agências de inteligência americanas, temos grandes chances de estarmos diante de uma nova ameaça tão pior quanto esta primeira. Como já é sabido, ataques de ransomware já foram usados antes e ataques explorando as vulnerabilidades dos sistemas Windows não são novos. Então, por que esse ataque teve um impacto tão grande?
Mesmo com as vulnerabilidades conhecidas, o sucesso do ataque está no fato das organizações continuarem a protelar, ou a não tomarem ações adequadas de correção ou mitigação de sua exposição deixando de atuar continuamente nessas e outras crescentes ameaças. Em algumas ocasiões acabam passando ilesas porém em algum momento as lições podem ser dolorosas.
Chegou a hora de reconhecer que outros ataques cibernéticos tendem a ser cada vez mais sofisticados e mais frequentes ao longo deste ano. Na prática, as organizações devem voltar sua atenção a avaliar seu ambiente de tecnologia, principalmente aquelas que contam com integrações de sistemas embarcados, dispositivos médicos e sistemas de controle industrial para projetar defesas adequadas e que protejam e preservem as pessoas e o negócio.
É importante também educar-se de que, a defesa cibernética, não é uma mera lista de testes e verificações, um projeto único e pontual, ou um esforço que termina ao alcançarem um certo marco. A defesa cibernética é um processo contínuo, periódico e quiçá interminável, de aperfeiçoamento do ambiente de tecnologia para se prevenir e agir proativamente contra ameaças em rápida evolução.
Pensando nisso, listo abaixo as principais ações práticas que as organizações devem adotar imediatamente.
- Realizar um inventário dos ambientes tecnológico da organização, visto que não é possível proteger infraestrutura, conexões, sistemas, aplicações e integrações que não conhecemos.
- Garantir que as atualizações necessárias estejam aplicadas, e que métodos seguros de desenvolvimento de software e integração de sistemas e ambiente fazem parte da rotina.
- Para ambientes críticos que não podem ser atualizados da forma adequada como dispositivos médicos, sistemas de controle industrial e ambientes legados, o ideal é implementar controles mitigatórios para protegê-los, tais como segmentação de redes e filtros de acesso.
- Promover a cultura e educação dos colaboradores quanto a segurança da informação, com conscientização adequada, personalizada, e que seja tangível para todos.
- Garantir que o processo de avaliação de riscos considere as ameaças cibernéticas mais de uma vez por ano, já que as ameaças evoluem rapidamente.
- A organização deve possuir um plano de gestão de crises e resposta a incidentes robusto e atualizado, revisitado a cada três meses, e realizar treinamentos e ensaios desse plano através de simulações, como war games e exercícios teóricos.
- Revisar os planos de recuperação de desastres e de continuidade dos negócios da organização.
- Garantir que as defesas cibernéticas estão adequadas a necessidade do negócio e da organização, com orçamento adequado para sua manutenção e atualização, gerenciada por equipe capacitada e habilitada para administrar os crescentes riscos e ameaças.
O massivo ataque global do dia 12 é mais um exemplo de que a segurança cibernética é um dos maiores riscos para as empresas. Devemos nos preocupar em garantir que o ambiente tecnológico está amparado e protegido com controles amplos de cibersegurança, e que contem com governança, gestão e monitoramento adequados. Este primeiro ataque é um “sinal de alerta”, conforme nossa análise, visto que com a quantidade de “matéria-prima” disponível na Internet, muito mais ainda esta por vir.
Marco Ribeiro é sócio-diretor de Technology Consulting e Cybersecurity da Protiviti, consultoria global especializada em Gestão de Riscos, Auditoria Interna, Compliance, Gestão da Ética, Prevenção à Fraude e Gestão da Segurança.