Primeiro, foque nas ameaças às atividades principais — não na tecnologia em si.

Na última década, o custo e as consequências dos ataques cibernéticos cresceram assustadoramente. Em 2017, por exemplo, as perdas financeiras e econômicas totais do ataque WannaCry foram estimadas em US$ 8 bilhões. Em 2018, a Marriott descobriu que uma violação do sistema de reservas de sua subsidiária Starwood havia exposto as informações pessoais e de cartão de crédito de 500 milhões de hóspedes. Os hackers parecem cada vez mais eficazes. Mas, em nossa experiência como consultores em todo o mundo, descobrimos outro motivo pelo qual as empresas são tão suscetíveis a ameaças de hackers: elas não conhecem ou não entendem os riscos cibernéticos críticos porque estão focadas demais nas vulnerabilidades tecnológicas.

Quando as iniciativas de segurança cibernética abordam apenas a tecnologia, o resultado são líderes mal informados e empresas desprotegidas. As discussões sobre ameaças cibernéticas acabam sendo preenchidas com o jargão técnico especializado, e os executivos seniores não conseguem participar de forma significativa. A responsabilidade de lidar com os riscos é então totalmente relegada à segurança cibernética e à equipe de TI, cuja atenção foca principalmente nos sistemas de informática corporativa. O resultado tende a ser uma longa lista de tarefas de mitigação sem prioridades bem definidas. Como nenhuma empresa tem recursos para solucionar todos os problemas de segurança cibernética, ameaças importantes podem não ser resolvidas.

Uma abordagem mais proveitosa é adotar a visão de que a cibersegurança deve se concentrar mais no impacto potencial das ameaças nas atividades da empresa. Digamos que você seja executivo de uma empresa química. Em vez de perguntar quais ciberataques podem ocorrer nos sistemas de informática, pergunte: como um ataque cibernético pode atrapalhar sua cadeia de suprimentos? Ou expor seus segredos comerciais? Ou fazer com que você não cumpra suas obrigações contratuais? Ou causar uma ameaça à humanidade? Esse ajuste pode parecer trivial, mas quando os líderes começam com as atividades cruciais, eles conseguem priorizar melhor o desenvolvimento de ciberdefesas.

Um CEO com quem trabalhamos, Richard Lancaster, da CLP, o terceiro maior fornecedor de eletricidade da Ásia, descreveu a mudança de mentalidade da seguinte maneira: “Inicialmente, víamos os ciberataques principalmente como um problema de TI. Com o tempo, percebemos que a vulnerabilidade real estava em nossa rede elétrica e usinas geradoras. Agora reconhecemos que o risco cibernético é realmente um risco comercial — e meu papel como CEO é gerenciar o risco comercial”. Com essa perspectiva, a responsabilidade muda da TI para executivos seniores e conselhos de administração, que devem assumir um papel ativo e garantir que as equipes de segurança cibernética se concentrem nas ameaças certas.

Como desenvolver narrativas de ameaça cibernética

Identificar e consertar riscos cibernéticos é um processo social. Para avaliar com precisão onde estão os mais importantes, você deve considerar o ponto de vista e a opinião de uma ampla gama de funcionários. Ao envolver um grupo maior, você desenvolverá, desde o início, um entendimento comum dos fatos e detalhes críticos, o que permitirá chegar a um consenso quando, posteriormente, você tiver de gerenciar os riscos.

Para ajudar as empresas a organizar e compartilhar as informações relevantes com um público grande, desenvolvemos uma ferramenta que chamamos de narrativa de ameaças cibernéticas. Ela aborda as quatro partes da história de um possível ataque cibernético: uma atividade comercial importante e os riscos para ela; os sistemas que apoiam essa atividade; os tipos de ataque potencial e possíveis consequências; e os adversários com maior probabilidade de realizar ataques. A descrição detalhada dessas quatro partes ajudará as empresas a reconhecer e priorizar seus riscos e a preparar ações corretivas.

O pessoal do seu grupo de segurança cibernética deve se encarregar do desenvolvimento de narrativas cibernéticas, mas deve solicitar contribuições de:

• Liderança. O CEO, a equipe executiva e outros executivos seniores. Reuniões com líderes executivos são fundamentais, mas não precisam ser demoradas; fazer um roteiro cuidadoso das entrevistas e discussões as tornará mais eficientes e fáceis de documentar.

• Operações. Pessoal envolvido diariamente nas principais atividades comerciais.

• Sistemas de TI. Pessoal responsável pela gestão dos sistemas de computação que dão suporte às atividades.

• Especialistas relevantes. Funcionários com experiência relacionada ao tipo específico de ameaça que você está descrevendo e suas consequências, como funcionários da área jurídica, de relações públicas, recursos humanos e segurança física. Por exemplo, se uma narrativa é sobre um ataque que resulta em perda de dados pessoais, você deve incluir a equipe jurídica em suas discussões devido à possibilidade de uma violação regulatória.

Vamos analisar agora cada elemento de uma narrativa de ameaça cibernética, como desenvolvê-la e quem deve estar envolvido.

Atividades críticas de negócios e riscos envolvidos

Para identificá-las, a equipe de segurança cibernética deve entrevistar os líderes da empresa; examinar suas declarações escritas de tolerância a riscos, como aquelas encontradas nos relatórios anuais; e considerar os objetivos da empresa, como crescimento em novos mercados ou metas de receita. Estas, por exemplo, podem depender do desenvolvimento de novos produtos ou da oferta expandida de serviços. Entrar em um novo país pode ser essencial para aumentar a base de clientes. Atividades críticas podem estar fora da empresa, relacionadas a operações internas ou envolver o futuro estratégico da empresa. Para uma empresa química, uma atividade crítica poderia ser, por exemplo, a fabricação de resinas de poliéster, um produto especializado de alta demanda.

A importância de uma atividade varia de acordo com o setor e a empresa. O suporte ao cliente é uma atividade de baixo risco em alguns setores, como software para o consumidor ou varejo. Mas em outros, como na indústria de jogos, o relacionamento com os clientes é fundamental. Os cassinos de Macau, por exemplo, contam com um pequeno segmento de clientes VIP que responde por mais de 54% de sua receita bruta combinada de jogos. Os riscos para a gestão de relacionamento com o cliente também ameaçam os resultados dos cassinos.

O número de atividades críticas de negócio e, portanto, o número de narrativas de ameaças cibernéticas que ela deve desenvolver também variam de empresa para empresa.

Para avaliar seus riscos, pense em como cada atividadechave pode falhar de uma maneira que prejudique a empresa. Por exemplo, no caso do fabricante de produtos químicos, uma interrupção nas operações da fábrica poderia impedir a produção de resinas, o que poderia reduzir sua receita. Examine também o risco de danos colaterais aos seus clientes ou a outros stakeholders — uma liberação de produtos químicos venenosos no ambiente, por exemplo, ou a perda de informações confidenciais do cliente, como senhas e dados de cartão de crédito.

É bom lembrar que fatores que representam um risco significativo para uma empresa podem não representar para outra. Embora a interrupção da produção de resina possa ser prejudicial para uma empresa química, pode não ser para outro fabricante de produtos químicos cujas resinas não têm demanda, dão uma contribuição insignificante aos lucros ou podem ser produzidas em fábricas alternativas.

Sistemas de apoio

Sua empresa não pode montar uma defesa cibernética eficaz se não souber o que precisa proteger. Portanto, você precisa catalogar seu sistema de informática e os serviços e funcionalidades que ele fornece para cada atividade em questão. Esse processo deve ser iniciado pelos funcionários operacionais envolvidos na atividade, porque sabem qual software usam e quais serão as consequências se esses programas funcionarem mal. Os funcionários que mantêm os sistemas de informática também devem participar, pois têm uma visão mais ampla da tecnologia que apoia esse software. Para computadores de uso geral, isso normalmente significa equipe de TI; para sistemas de controle industrial, significa engenheiros. O inventário deve observar a localização física dos sistemas, para que os funcionários de resposta a incidentes cibernéticos saibam onde devem fazer os consertos no caso de um ataque.

Embora existam produtos que auxiliam os departamentos de TI no inventário automatizado de computadores e software, eles não conseguem identificar quais ativos são mais importantes. Ao catalogá-los especificamente com base nas atividades comerciais, a empresa pode priorizar de modo eficaz o reparo de vulnerabilidades e o aprimoramento de proteções nos computadores.

Tipos e consequências de ciberataques

Em seguida, a equipe deve descrever todos os tipos de ataque que podem interromper cada atividade crítica, descrevendo o que seria necessário para que os ataques fossem bem-sucedidos e quais seriam as possíveis consequências.

No nível mais básico, os ciberataques exploram vulnerabilidades nos sistemas de informática. Ataques de malware, por exemplo, usam software malicioso para tirar proveito dos erros de programação nos aplicativos (Essa foi a técnica usada pelos hackers no incidente do WannaCry). Sua equipe de segurança cibernética pode e deve identificar os tipos de técnica que podem ter como alvo vulnerabilidades em seus sistemas cruciais de computador.

É importante observar que os ataques nem sempre são sofisticados ou tecnicamente complexos. Uma vulnerabilidade comum a todos os sistemas de informática é o controle quase completo de um administrador sobre as informações e aplicativos contidos nele. Esse poder é necessário para a operação e a manutenção adequadas, mas qualquer administrador pode abusar dele.

Um ataque cibernético pode ser executado de inúmeras maneiras, e não é prático ou útil enumerar todas elas. É suficiente identificar tipos básicos de ataque, como um hacker externo que instala malware ou um funcionário que abusa dos privilégios do computador.

Requisitos de ataque. Compreender o que um adversário precisa para realizar um ataque cibernético é vital para desenvolver suas defesas. Seu grupo de segurança cibernética e a equipe operacional envolvida nas atividades críticas podem identificar os requisitos específicos, mas a maioria se enquadra em um destes três tipos:

Conhecimento. Informações que o adversário precisa ter — por exemplo, como programar software mal-intencionado ou como funcionam as usinas hidrelétricas.

Ferramentas e equipamentos. De quais dispositivos um adversário precisa — não apenas dispositivos para hackeamento, como cracker de senha e analisadores de rede, mas também hardware como laptops e transmissores de rádio.

Posição. Onde um adversário precisa estar — por exemplo, precisa estar fisicamente próximo a um prédio ou ter status de funcionário ou de terceirizado na empresa?

Um banco do Sudeste Asiático com o qual trabalhamos havia sofrido um ataque cibernético que resultou em uma enorme fraude de cartão de débito. A investigação revelou que os hackers precisavam saber o formato dos códigos de autorização da Visa e da Mastercard e como configurar um terminal de cartão de crédito. As ferramentas de que precisavam incluíam vários dos terminais e um banco de dados de número de conta de cartões de débito. Eles também precisariam estar na vizinhança local para coordenar com os comerciantes que estavam envolvidos com a fraude, mas não precisavam necessariamente trabalhar no banco ou entrar fisicamente no prédio.

Ataque as consequências. A liderança executiva e a gestão sênior estão bem posicionadas para identificar os efeitos de rupturas nas principais atividades comerciais e devem orientar o grupo de segurança cibernética nessa tarefa. A equipe de operações e sistemas podem apontar consequências adicionais; especialistas de outros departamentos, como jurídico, financeiro e conformidade, podem detectar possíveis danos colaterais. Um conjunto simples de perguntas “E se …?” fará com que as conversas com todos esses atores sejam produtivas. Por exemplo, o que aconteceria com a prestação de cuidados em um hospital se o registro de pacientes não estivesse mais acessível devido a um ataque de ransomware (software nocivo que bloqueia o sistema e solicita um pagamento em criptomoedas para não apagar ou publicar arquivos). Após o WannaCry, o Serviço Nacional de Saúde da Inglaterra cancelou milhares de consultas e operações.

Algumas consequências vão além dos custos financeiros diretos. Em 2017, o ciberataque NotPetya interrompeu as operações de várias grandes empresas em todo o mundo, causando perdas estimadas em até US$ 300 milhões na AP MollerMaersk e US$ 400 milhões na FedEx. A gigante farmacêutica Merck estimou o impacto da NotPetya em seus negócios em US$ 870 milhões devido a custos diretos e perda de receita.

Além disso, a interrupção resultou em baixos estoques de uma vacina da Merck que evita certos tipos de câncer.

Ciberadversários

Quem vai te atacar? A identificação de possíveis criminosos, bem como suas motivações e capacidades, ajudará a avaliar a probabilidade de um ataque e a desenvolver os controles necessários para impedi-lo. Seus adversários podem ser países, organizações criminosas, concorrentes, funcionários descontentes, terroristas ou grupos de defesa. Não subestime sua sofisticação: as ferramentas avançadas para hackers estão amplamente disponíveis.

Líderes da empresa e funcionários de operações envolvidos nas atividades críticas de negócios são os mais indicados para identificar possíveis adversários, porque sabem o que pode motivar os atacantes e qual o ganho envolvido. Uma boa forma de começar é perguntar o que a empresa possui que pode ter valor para outra pessoa. Por exemplo, um concorrente pode estar interessado em seus segredos comerciais e de pesquisa e desenvolvimento, enquanto uma organização criminosa estaria mais interessada em roubar registros financeiros de clientes para vender no mercado negro.

As empresas também devem considerar o contexto comercial mais amplo dos possíveis adversários. Os gestores de um cassino de Macau haviam decidido não criptografar as conexões de rede que usavam para transmitir seus dados de clientes VIP para um centro de operações centralizado. A necessidade de fazê-lo não havia sido identificada. Mas quando pedimos aos gestores do cassino que pensassem em quem poderia ganhar com um ataque, perceberam que a própria rede de telecomunicação era de propriedade de um conglomerado que incluía o maior concorrente do cassino.

Até clientes podem ser ciberadversários. Os executivos da AMSC, desenvolvedora de software para controle de turbinas eólicas, ficaram surpresos quando a Sinovel, um de seus maiores clientes, cancelou repentinamente todos os pagamentos de contratos atuais e futuros, no valor de US$ 800 milhões. Uma investigação revelou que a Sinovel havia conseguido roubar o software da AMSC e implantá-lo com mais de mil novas turbinas. Como resultado desse roubo de propriedade intelectual, a AMSC registrou uma perda de mais de US$ 186 milhões no ano fiscal de 2010. O total de perdas por roubo da empresa foi de US$ 550 milhões — sendo que apenas uma fração foi recuperada. O esquema também custou aos acionistas da AMSC US$ 1 bilhão em patrimônio e obrigou a organização a perder 700 empregos — mais da metade de sua força de trabalho global. As operações da empresa ainda não devolveram a AMSC à lucratividade.

Às vezes, o setor de uma empresa ou a maneira como ela conduz seus negócios provoca o ataque. Grupos ambientalistas podem ter como alvo empresas com histórico ruim de poluição. Edward Snowden, um ex-contratado da NSA, roubou informações da agência para expor programas de vigilância que ela havia negado publicamente. Ações como demissões ou fechamento de fábricas também podem motivar os funcionários a retaliar usando seus privilégios de computador de modo indevido. E sempre haverá indivíduos aleatórios com motivações pessoais ou uma reputação a defender.

Sua empresa pode sofrer as consequências de um ataque, mesmo que não seja o alvo direto. A infraestrutura, por exemplo, é cada vez mais objeto de ataques cibernéticos. Considere os ataques à infraestrutura de energia em IvanoFrankivsk em 2015. Se, como se suspeitava, a Rússia estava por trás dos incidentes, suas motivações provavelmente não tinham nada a ver com as empresas de energia em si — ou com seus clientes, que sofreram com as interrupções no fornecimento de energia. Provavelmente, as empresas foram visadas simplesmente por estarem localizadas na Ucrânia, um país com o qual a Rússia tem um relacionamento hostil. Ao avaliar quem pode ter motivações para perturbar seus sistemas, você deve olhar além da sua empresa para o mundo comercial e político mais amplo em que opera.

Uma crise que poderia ter sido evitada

Vamos agora examinar em profundidade um ataque cibernético e como os quatro elementos da narrativa de ameaça cibernética poderiam ter capturado informações relevantes que teriam permitido que a empresa envolvida o tivesse evitado.

O condado de Maroochy é um destino turístico a cerca de 100 quilômetros ao norte de Brisbane, na Austrália. A área é de notável beleza natural e significado ecológico, com longas praias de areia branca e florestas úmidas subtropicais com riachos e cachoeiras.

Na virada do milênio, o sistema de água e esgoto do condado era supervisionado pela Maroochy Water Services, que coletava, tratava e descartava 35 milhões de litros de águas residuais diariamente. No fim de janeiro de 2000, o sistema que gerenciava suas estações de bombeamento de águas residuais começou a perder o controle sobre as bombas e emitir alarmes falsos. Quando um fornecedor concluiu que os computadores do sistema estavam sob ataque, o esgoto bruto havia refluído das estações e escoado por todo o condado, inclusive sobre o campo de golfe do campeonato da PGA, que antes era um resort Hyatt Regency de cinco estrelas. Nos parques locais, as vias navegáveis se tornavam escuras e fedidas e a vida marinha morria. O cheiro era horrível. Os ataques continuaram por três meses, até que a polícia prendeu o agressor depois de uma perseguição de carro perto de uma das estações de bombeamento.

Em retrospecto, é fácil perceber o que deu errado, mas vamos reconstruir como poderia ter sido a narrativa de ameaças cibernéticas ao serviço (veja o quadro “A narrativa de ameaça cibernética da Maroochy”).

Para a empresa, o tratamento de águas residuais era uma atividade comercial crítica. Os sistemas da Maroochy tinham 142 estações que bombeavam esgoto para a estação de tratamento. Por causa das variações de elevação no condado, se as bombas funcionassem mal, havia um risco considerável de que as águas residuais voltariam para os parques e áreas turísticas da região.

Os sistemas de computação de apoio das bombas incluíam um sistema central de gestão de operações e o equipamento de controle dentro das estações de bombeamento. No sistema central, os operadores podiam ativar ou desativar estações de bombeamento individuais e alterar as taxas de bombeamento. As estações de bombeamento também podem ser gerenciadas localmente, usando equipamentos que também podiam manipular o sistema central.

Esses sistemas de suporte tinham duas vulnerabilidades de segurança cibernética. A primeira era que qualquer um poderia montar uma conexão de rede com o equipamento; e a segunda era que, depois de estar conectado, não era necessário ter uma senha para fazer log on.

Para ter sucesso, um invasor em potencial precisava saber como o equipamento funcionava, o que poderia ser obtido com a experiência ou com a leitura dos manuais e a radiofrequência usada para se comunicar com o equipamento, que podia ser encontrada facilmente na documentação da empresa. O invasor precisaria de vários computadores (incluindo um que fosse do mesmo tipo usado nas estações de bombeamento), cabos de rede e equipamento de rádio bidirecional. E, para se conectar aos sistemas de controle de uma estação de bombeamento individual, ele ou ela precisaria estar dentro da área de alcance do rádio, mas não precisava invadir fisicamente a estação de bombeamento.

Nesse caso, o ciberadversário se revelou ser um ex-funcionário do fornecedor que vendeu o equipamento de controle da estação de bombeamento. Após um período conflituoso no fornecedor, candidatou-se duas vezes a um emprego na Maroochy Water Services, mas não foi contratado. Como resultado, ficou desapontado e ressentido e queria se vingar de ambas as empresas. Ele havia roubado um dos computadores das estações de bombeamento e, como conhecia o funcionamento do sistema de controle, foi capaz de usá-lo junto com o equipamento de rádio para se comunicar com as estações de bombeamento individuais. Ele então os manipulou para assumir o sistema central de gestão de operações e causar estrago.

Se os executivos da Maroochy Water Services tivessem trabalhado com sua equipe para desenvolver uma narrativa para o tratamento de águas residuais, teriam descoberto e compreendido os riscos significativos que enfrentavam. Embora possamos supor que teriam reconhecido que o tratamento de águas residuais era uma atividade crítica, a investigação e a análise envolvidas na criação de uma narrativa teriam proporcionado a eles e a sua equipe de segurança de TI uma ideia clara de como os ataques cibernéticos poderiam prejudicar os sistemas de informática e causar falhas nas bombas e em outros equipamentos de tratamento de águas residuais. E teriam uma ideia do que seria necessário para que os ataques cibernéticos tivessem sucesso e quem poderia estar por trás deles.

Teriam também uma base para mitigar esses riscos. Os membros da equipe de segurança de TI da Maroochy Water Services conheceriam as duas vulnerabilidades que precisavam ser tratadas para evitar a crise das águas residuais e poderiam explicá-las aos executivos e ao conselho em uma frase sem jargões: “Para impedir um ataque cibernético em nossas estações de bombeamento, precisamos exigir que as pessoas façam log on nos computadores das estações e restringir quem pode se conectar às suas redes”.

Identificar riscos cibernéticos é um processo contínuo: à medida que sua empresa evolui e à medida que os sistemas subjacentes de computação mudam, ela enfrenta novas vulnerabilidades. Para identificá-las, sua empresa deve ter, em seu processo de gestão de mudança, pontos de verificação bem definidos nos quais avalia riscos cibernéticos.

Mas identificar as vulnerabilidades cibernéticas mais importantes de sua empresa é apenas o primeiro passo. Saber quais são os riscos permitirá que você priorize ataques em potencial, identifique controles que ajudarão a evitá-los e criar — e, se necessário, executar — um plano prático de reparo. Uma boa gestão digital requer colocar os riscos de negócios — e líderes de negócios — no centro de todas essas conversas.


THOMAS J. PARENTY é especialista em segurança cibernética interna-
cional, trabalhou na Agência de Segurança Nacional e assessorou outras organizações em todo o mundo.


JACK J. DOMET é especialista em gestão que se concentra em ajudar as empresas multinacionais a se adaptarem às mudanças de tecnologia, globalização e consumismo. Domet e Parenty são cofundadores da empresa de cibersegurança Archefact Group e os coautores de A leader’s guide to cybersecurity (Harvard Business Review Press, 2019), no qual este artigo é baseado.

Fonte: hbrbr.uol.com.br

 

Be Sociable, Share!

Nenhum comentário »

No comments yet.

RSS feed for comments on this post. TrackBack URL

Leave a comment