Segurança cibernética – Marcelo Nagy

Segurança cibernética - entrevista com Marcelo Nagy

ESPECIALISTA REVELA COMO AS EMPRESAS PODEM SE PROTEGER DE EVENTUAIS ATAQUES QUE VISAM COMPROMETER SUAS OPERAÇÕES E CAPTURAR DADOS ESTRATÉGICOS.

ENTREVISTA A PAULO MARTINS

Um ataque cibernético pode gerar enormes prejuízos a uma indústria, decorrentes da redução da produtividade, adulteração de componentes ou parada da produção. O alerta é do especialista Marcelo Nagy, consultor do Instituto de Inteligência Cibernética do Brasil (iIC).
O medo de ser vítima de um crime virtual tem levado muitas empresas a investirem pesado em soluções para proteger seus dados, mas, mesmo assim, alguns ataques continuam acontecendo.

De acordo com Nagy, é preciso criar uma verdadeira política de segurança e investir em treinamento dos colaboradores para tentar se proteger melhor de eventuais tentativas de golpe. “Garantir segurança é, acima de tudo, uma sinergia entre políticas de segurança, instalação de equipamentos e configuração de servidores, seguindo as melhores práticas do mercado, atualização de patches de segurança, antivírus confiáveis, monitoramento de ambiente e treinamento de colaboradores para conscientização de ameaças”, destaca. Nesta entrevista exclusiva, Marcelo Nagy faz uma análise geral do problema, detalha como as empresas podem tentar se proteger e que providências tomar, no caso de um eventual ataque.

1 – O advento da Indústria 4.0 tem gerado novas oportunidades para o mercado, mas também novas demandas e providências. Quais são os principais riscos aos quais estão sujeitas as indústrias, no ambiente cibernético? Que tipos de problemas po­dem ocorrer às empresas que tra­balham nesse ambiente?

Quando falamos de Indústria 4.0, temos que ter em mente seus princípios, que são Interoperabilidade, Virtualização, Descentralização, Capacidade em Tempo Real, Orientação a Serviço e Modularidade. Quando falamos de interoperabilidade, mensuramos a habilidade dos sistemas ciber-físicos (suporte de peças, estações de montagem e produtos), das Pessoas e das Fábricas de se conectarem e se comunicarem entre si através da Internet e da Computação em Nuvem. A partir do momento que estes equipamentos estão interconectados através de uma rede, a possibilidade de acessá-los remotamente é iminente, portanto, risco de serem atacados por hackers.

2 – Um hipotético ataque cibernético pode chegar a com prometer, por exemplo, a
produção de uma indústria? De que forma?

Um ataque cibernético pode causar vários tipos de estrago, como por exemplo, diminuir a produtividade, ou simplesmente parar a produção. Sem contar prejuízos incalculáveis, como a adulteração de um componente no preparo de um produto industrializado no ramo alimentício, ou a adulteração de um componente na indústria farmacêutica, por exemplo. Imagine uma adulteração que transforme o achocolatado de seu filho em veneno, ou o anticoncepcional da mulher em placebo. As consequências poderiam ser incomensuráveis. No evento Ecossistema Ciber 2018 (leia matéria na página 11), promovido em conjunto pela ASSESPRO-SP (Associação das Empresas Brasileiras de Tecnologia da Informaçãoregional São Paulo) e o Instituto Euvaldo Lodi (IEL), demonstrei o funcionamento de um braço interconectado com sistemas administrativos de uma empresa com o objetivo de monitorar e permitir ajustes em sua produtividade através de acesso remoto. Nessa simulação, demonstrei como funciona a cabeça de um hacker, que procura um vetor de ataque inicial nos pontos mais frágeis da empresa, como por exemplo, o computador de uma recepcionista. Através desse computador, utilizando técnicas conhecidas como movimentação lateral, foi possível acessar o braço robótico e alterar seus movimentos, destruindo todos os produtos que estavam sendo manipulados por ele.

3 – O sr. percebe, no mercado, uma preocupação crescente por parte das indústrias, em relação à segurança de seus dados?

Indubitavelmente, o mundo se preocupa agora – ainda que tardiamente – com crimes cibernéticos, principalmente pelos riscos de vazamento de seus dados. Com o surgimento da Lei Geral de Proteção de Dados Europeia (GDPR) e a Lei Geral de Proteção de Dados Brasileira (Lei 13.709 de 14/08/2018), as empresas que tiverem vazamento de dados poderão arcar com uma pesada multa de 2% de seu faturamento anual, além dos enormes prejuízos com sua imagem, afinal, perda de credibilidade é fator determinante para levar uma empresa a bancarrota.

4 – Qual a importância de se trabalhar ‘em nuvem’ no proces­so da Indústria 4.0? Como ter
segurança dos dados nesse tipo de ambiente?

Para contextualizar, quando dizemos trabalhar na nuvem, estamos na verdade usando servidores em ambiente fora da empresa, que pode ser em um fornecedor de soluções ou mesmo em um data center (um ambiente projetado para concentrar servidores). É importante exigir do provedor do serviço em nuvem suas qualificações e seus cuidados para garantir a segurança da informação, através de certificações reconhecidas internacionalmente, além de realização de testes de penetração periódicos em sua infraestrutura, cujo objetivo é mensurar a possibilidade de invasão desse ambiente exposto na internet.

5 – De forma geral, o que as em­presas têm feito para se prevenir contra eventuais ataques cibernéticos?

Nos últimos anos, principalmente as grandes corporações, têm gasto uma soma considerável em equipamentos de ponta para proteção e monitoramento de seus ambientes, como aquisição de firewalls (uma espécie de barreira para garantir o que entra e o que sai dentro de sua rede), como IPS (produto que monitora e impede técnicas de invasão de ambientes conhecidas).

6 – Essas ações têm se demons­trado suficientes e adequadas? Como as empresas po­dem aumentar a segurança em torno de suas atividades no am­biente virtual?

Infelizmente, não são suficientes. O cibercriminoso também aprimora suas técnicas e acaba criando mecanismos para utilizar a própria infraestrutura a seu favor, realizando um by-pass na segurança. Isto não quer dizer que os produtos não funcionem, pelo contrário, ajudam e muito a garantir a segurança, desde que constantemente atualizados e monitorados. Muitas empresas ainda não têm um budget aprovado para segurança cibernética. Com isto, não realizam os testes de vulnerabilidades em seus ambientes (os chamados PENTESTs) e muitos deixam a segurança a cargo de seus administradores de redes, o que é um erro. Além disso, são poucas as empresas que preparam seus funcionários para não serem vítimas de ciberataques. Vale lembrar que os funcionários são os principais vetores de ataque de um hacker, que utiliza técnicas de engenharia social extremamente eficazes para obtenção de informações privilegiadas com o intuito de acessar o ambiente da empresa. São técnicas que permitem desde a obtenção de credenciais de acesso através de convencimento de que se está conversando com um superior ou até mesmo a execução de um programa malicioso (malware) acreditando que se trata de um programa com outros propósitos, permitindo assim que o atacante controle seu computador, e com isto comece a se movimentar pela rede da empresa.

"UM ATAQUE CIBERNÉTICO PODE CAUSAR VÁRIOS TIPOS DE ESTRAGO, COMO POR EXEMPLO, DIMINUIR A PRODUTIVIDADE, OU SIMPLESMENTE PARAR A PRODUÇÃO DE UMA EMPRESA."

7 – Quais departamentos ou ti­pos de profissionais da em­presa devem estar envolvidos nesse tipo de atuação?

As empresas precisam entender que, antes de mais nada, é preciso ter uma área de processos dentro da corporação que defina políticas de segurança e monitore se essas políticas vêm sendo seguidas pelos seus colaboradores. Treinamentos com seus colaboradores são necessários, assim como hoje treinamos a brigada de incêndio periodicamente, para que conheçam todas técnicas de fraudadores e não caiam em seus golpes. Acharmos que um funcionário está preparado é um erro, pois o ser humano é extremamente vulnerável, quando não está preparado para identificar técnicas de engenharia social. Vale lembrar que ainda existem pessoas que caem no conto do bilhete premiado. Criar uma área de resposta a incidentes é importante, que monitore se seus ambientes estão protegidos e em caso de alguma anomalia nos monitoramentos de segurança, o ataque seja contido em tempo real. A área de segurança da informação não necessariamente deve estar ligada à TI da empresa. Garantir segurança é, acima de tudo, uma sinergia entre políticas de segurança, instalação de equipamentos e configuração de servidores, seguindo as melhores práticas do mercado, atualização de patches de segurança, antivírus confiáveis, monitoramento de ambiente e treinamento de colaboradores para conscientização de ameaças.

8 – A que tipo de empresa (por ex.: desenvolvedores de soft­ wares, consultorias, etc) o cliente (no caso a indústria) pode recorrer para solicitar ajuda nesse trabalho preventivo?

Devem procurar empresas e consultores de segurança da informação, especializados em implementação de processos como ISO 27.001 observando sempre a lei geral de proteção de dados brasileira, bem como empresas que realizam testes de vulnerabilidades e consultorias especializadas em implementar proteções para mitigação de riscos de invasão em sua infraestrutura.

9 – Em que situação é necessário ou recomendável que uma in­dústria que tenha sido vítima de ataque cibernético leve o caso às autoridades?

Quando se tem uma área de respostas a incidentes, primeiramente a empresa deve tentar conter um possível ataque para minimizar suas perdas. Quando isto não existe, só resta avaliar qual foi o tamanho do estrago. Nessa hora, as empresas devem procurar um profissional para realização de perícia forense computacional post-mortem, que procura indícios e evidências que o atacante tenha deixado para que seja avaliada a materialidade dos fatos, isto é, o que foi subtraído ou destruído da empresa e, se possível, identificar a autoria, gerando assim um parecer técnico que possa ser utilizado inclusive em tribunais. Realizar um boletim de ocorrência sobre a situação também é primordial. Esse boletim deve ser feito na delegacia mais próxima da empresa. Engana-se quem acha que deve procurar uma delegacia especializada em crimes cibernéticos. Esse tipo de delegacia investiga crimes baseados nos boletins de ocorrência gerados nas demais delegacias e encaminhados a ela após avaliação do delegado titular de cada delegacia. Procurar um bom escritório de advocacia, bem como empresas especializadas em investigação em cibercrimes também é um caminho a se considerar quando há perda financeira envolvida ou suspeita de vazamento de dados.

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Esse site utiliza o Akismet para reduzir spam. Aprenda como seus dados de comentários são processados.