Por Nuno Cândido, Infraestructure Solutions Senior Manager da Noesis
Depois de decretado o estado de emergência no país, a prioridade da maioria das empresas foi garantir que os seus sistemas de IT funcionavam a 100%, para o trabalho não estagnar durante o confinamento, contudo, multiplicaram-se as notícias de ataques informáticos a grandes multinacionais e de burlas e fraudes online.
Com o confinamento, foram centenas, senão milhares, as empresas que, de repente, viram o seu consumidor transferido para as respetivas casas e a optarem pelo online como forma de comprar os produtos e, assim, partilhar os seus dados. Nuno Cândido, Infraestructure Solutions Senior Manager da Noesis, explica de que forma os retalhistas podem proteger os dados dos seus consumidores que, nas últimas semanas, adotaram o online como o seu canal de compras preferencial.
Nos últimos anos, tem-se verificado um aumento das compras via canais digitais (e-commerce, m-commerce, redes sociais, etc.). Que desafios de cibersegurança é que esta tendência vem colocar às empresas e aos consumidores?
Desde logo, um desafio na proteção de dados dos consumidores, tão relevantes como dados pessoais, dados de compras, hábitos de consumo e dados de pagamento. Todas estas informações são críticas e é fundamental protegê-las. Fenómenos como a clonagem de websites ou esquemas de phishing são formas recorrentes de tentativa de intrusão e de captação indevida de credenciais de acesso e dados pessoais/pagamento, por exemplo.
Neste contexto de pandemia, com o aumento das compras através dos canais online, acibersegurança assume especial importância para as empresas?
A cibersegurança é um tema premente em qualquer negócio. Têm vindo a público, nos últimos dias, notícias de ataques informáticos a grandes empresas por todo o mundo, e também em Portugal. Este período de pandemia está a originar o maior volume de ataques alguma vez visto, fruto da enorme sensibilidade do tema e da propensão dos utilizadores para acederem a conteúdos e clicarem em links relacionados com a COVID-19. Para melhor ilustrar esta ideia, sabemos, por exemplo, que o número de sites registados com nomes associados a "coronavírus" aumentou mais de 68 mil vezes e os domínios registados com palavras-chave associadas à pandemia subiram de 3000 para 53 mil. Este exemplo é elucidativo do risco atual, com o surgimento de websites malignos que exploram esta propensão. Por outro lado, para as organizações, a movimentação repentina de grande quantidade de colaboradores para o contexto de teletrabalho veio expôr as organizações a maiores vulnerabilidades e a uma maior dificuldade na monitorização e defesa dos seus sistemas de informação e dados críticos. No caso concreto do retalho, esta vulnerabilidade é ainda mais preocupante se considerarmos que lidam sobretudo com dados pessoais de consumidores, informação de consumo, financeira, dados de pagamento, entre outros dados sensíveis.
Cibersegurança não é só online
Os consumidores portugueses estão conscientes das ameaças de segurança existentes no online ou ainda existe uma faixa populacional mais "ingénua" que não está consciente dos perigos que podem estar "escondidos" nestes canais?
Quando falamos em cibersegurança, é importante termos a noção de que nunca estamos plenamente protegidos, porque tal não é 100% possível. Porém, há ainda um esforço de consciencialização muito grande a fazer, a nível individual, mas também das próprias organizações, precisamente porque, muitas vezes, não há essa perceção de que o risco é permanente e que o cibercrime é cada vez mais sofisticado. Assim sendo, do lado das organizações, é necessário que a cibersegurança esteja sempre no topo das preocupações de qualquer departamento de IT e que exista, na gestão de topo, também essa perceção da importância do tema. O que temos assistido é que a adoção de controlos que permitam mitigar as diferentes ameaças tem sido colocada, muitas vezes, em segundo plano. Também a nível particular, esta cultura de cibersegurança tem de ser fomentada constantemente, em todos os nossos gestos no quotidiano, desde os gestos básicos como conectarmo-nos a uma rede Wi-Fi pública num café, passando por uma cultura de definição de passwords fortes e alteradas de forma recorrente.
O que podem os retalhistas fazer para protegerem as suas lojas online?
Este ano, a Noesis tem reforçado junto dos seus clientes a necessidade de adotar novas tecnologias de cibersegurança que, com base em inteligência artificial e machine learning, ajudam a mitigar estas vulnerabilidades. As soluções que temos vindo a implementar em ambientes corporativos, como as do nosso parceiro tecnológico Darktrace, têm uma abordagem que visa substituir o papel tradicional do analista de segurança por mecanismos baseados na inteligência artificial. Esta tecnologia permite não só dar visibilidade desses ataques, como também mitigá-los ou mesmo anulá-los.
Nos últimos tempos, vimos várias empresas a anunciar a criação de lojas online. É possível criar uma loja online segura, de um dia para o outro, e responder de forma rápida sem comprometer os dados e a segurança dos clientes? Que perigos podem estar "escondidos" neste imediatismo?
Sim, é possível criar uma loja online segura com facilidade e cumprindo os preceitos básicos de segurança, como ter um site e um domínio certificado e seguro, e sistemas de pagamento protegidos. Naturalmente que lançar uma loja online segura não é suficiente. A cibersegurança tem de seguir uma lógica transversal e não estar apenas focada na loja online. A loja online é apenas uma das componentes do negócio e um dos interfaces. Para além disso, uma loja online implica um conjunto de integrações com diferentes sistemas de informação das organizações, aplicações de gestão de stock, faturação, entre outras, pelo que é necessário monitorizar de forma eficiente e adoptar medidas de cibersegurança a todo esse ecossistema e em toda a rede, e não apenas focar a atenção na criação de uma loja online segura.
Quais são, para os retalhistas, as medidas essenciais para evitar problemas de cibersegurança?
A melhor abordagem aos riscos cibernéticos é, sem dúvida, uma abordagem transversal a toda a organização, onde se incluem os fornecedores, com visão 360° dos sistemas e potenciais vulnerabilidades. De facto, como o nome indica, a gestão de risco tem como objetivo mitigar as ameaças e vulnerabilidades, ao mesmo tempo que expõe o risco a que a empresa fica suscetível após a mitigação. Não havendo uma fórmula 100% segura contra ataques cibernéticos, as organizações devem optar por uma abordagem de gestão de risco. É exatamente nesta fase que encontramos diversas lacunas em Portugal: ou não é feita a análise e gestão do risco, ou é incorretamente implementada, ou ainda negligenciada quanto aos resultados que produz. A análise de risco deve ter como base uma série de controlos, sejam eles NIST, ISO27k ou CIS, onde existam controlos de segurança a ser aplicados nas 3 dimensões: utilizadores, fornecedores e fabricantes. As organizações nacionais devem adotar e implementar eficientemente cada um desses controlos, tendo em conta a framework escolhida.
"A vulnerabilidade é ainda mais preocupante [no retalho] se considerarmos que lida sobretudo com dados pessoais de consumidores, informação de consumo, financeira, dados de pagamento, entre outros dados sensíveis"
As inúmeras ameaças
O Portal da Queixa mostra que, desde o início do ano, aumentaram as reclamações relativas a esquemas de burla e fraude. É expectável que estes tipos de ameaças de segurança aumentem nos próximos tempos?
Sim, não só é expectável como já se tem verificado. A situação do coronavírus potenciou toda esta situação, o volume de ciberataques é o maior a que já se assistiu, de acordo com os dados da CTI League. Em Portugal, temos muito presentes as tentativas de phishing, através de e-maus, websites e SMS falsos que afirmam ser uma entidade credível, como a OMS ou a UNICEF, de forma a obter os dados mais sensíveis de cada um. No entanto, esta realidade não é exclusiva a Portugal, é um fenómeno a que se assiste à escala global.
Um outro estudo revelou que aumentaram os ataques relacionados com o coronavírus, nomeadamente phishing, sites web maliciosos, que afirmam oferecer informação ou aconselhamento real sobre a pandemia, malware e ransomware. O que podem as empresas fazer para se protegerem deste tipo de ameaças?
As empresas, infelizmente, também não escapam a estes ataques e, hoje, as vulnerabilidades são acrescidas, tendo em conta a situação que o país atravessa neste momento. Os colaboradores estão ligados a redes desprotegias. Por exemplo, basta alguém dessa rede deixar entrar um malware para que os acessos fiquem bloqueados. Em 2019, foram notificados 24 casos de ransomware a empresas portuguesas, empresas essas que atuavam num ambiente protegido. Assim, tendo em conta que ocorrem tentativas, frequentemente, num ambiente protegido, é natural que a preocupação seja acrescida, no panorama atual, quando as empresas têm atualmente todos os seus colaboradores a atuar em redes, maioritariamente, desprotegidas. Perante este contexto, é essencial que exista uma comunicação clara e direta e que sejam indicadas quais as ferramentas mais apropriadas para serem utilizadas de modo a garantir que o trabalho remoto é seguro. É, igualmente, necessário informarmos os nossos colaboradores das diversas maneiras que podem ser alvo de um ciberataque, explicar que canais são de utilização segura, que informação pode ser partilhada e como reportar qualquer suspeita de tentativa de ciberataque. Os equipamentos também devem estar formatados com ferramentas como VPN encriptadas, vários níveis de autenticação, bloqueio de malware, URL maliciosos e tentativas de phishing, de forma a garantir uma navegação e ligação à rede empresarial segura. Por exemplo, uma das formas das empresas conseguirem ultrapassar e vencer esta nova forma de "guerra" contra o número crescente de ataques que poderão ter será automatizar ao máximo todas as funções que os profissionais executam, sejam de defesa ou de ataque Red/Blue Team; analisar a informação que resulta dessa automatização de processos; passar, sempre que possível, essa análise para Inteligência Artificial ou Machine Learning, analisando essa mesma informação e automatizando novos processos. Temos de nos proteger, hoje mais que nunca. É um facto indiscutível. No início desta transformação para o remoto, a maior preocupação das equipas informáticas era garantir que os sistemas de cada empresa funcionavam a 100% para o trabalho não estagnar, agora é urgente que se foquem na importância da cibersegurança. Nunca é demasiado o investimento na proteção dos nossos dados, temos de informar e estar informados. Basta um dique no sítio errado para deixar entrar um ciberatacante na nossa rede privada.
Para as empresas que estão a trabalhar de forma remota, quais são as maiores ameaças de cibersegurança, neste momento?
A principal ameaça surge desse movimento brusco e exponencial para o teletrabalho. A transformação repentina a que assistimos com a atual pandemia - grande parte da força de trabalho passou a trabalhar remotamente de uma forma abrupta, sem que tenham sido consideradas as medidas de segurança informática necessárias para assegurar que a informação, os colaboradores e a organização se encontram seguros com esta mudança. Se aliarmos este fator ao aumento de ataques a que temos assistido nas últimas semanas, temos a receita perfeita para o desastre - a probabilidade de as organizações verem os seus dados comprometidos é muito elevada. Neste sentido, como podemos, então, confiar nos dispositivos que se ligam diariamente à nossa rede a partir de inúmeros locais? Como podemos garantir que sabemos quem está do outro lado? Será que é seguro partilhar informação sensível da empresa? A Noesis tem vindo a trabalhar com os seus clientes e parceiros naquilo que podemos designar como uma segunda vaga de intervenção nesta pandemia - em primeiro lugar foi necessário colocar as pessoas em segurança em suas casas - nesta segunda vaga temos de garantir a segurança dos utilizadores, da informação e dos sistemas. Para isso, dispomos, neste momento, de duas parcerias muito fortes, com a Darktrace e a Microsoft, que nos permitem, através de modelos de Machine Learning e Behaviour Analysis, implementar rapidamente as ferramentas que as organizações necessitam para detetar e mitigar as ameaças de uma forma transversal, incluindo os utilizadores/ /informação que se encontram em teletrabalho.
Com o confinamento decretado, o consumidor está mais exposto às plataformas online. Do lado do consumidor, o que se pode fazer para prevenir este tipo de ataques? Que dicas daria aos consumidores para se protegerem?
Desde logo, é muito importante ter especial atenção aos websites por onde navegam. Como já foi referido anteriormente, têm proliferado novos sites e fontes de informação que aproveitam esta situação de pandemia e de incerteza das pessoas. E o problema não é apenas a questão com as famosas fake news e desinformação. O problema é que muitos desses sites "piratas" difundem informação falsa com o objetivo de servir de "isco" para o cibercrime. Assim sendo, o primeiro conselho é que acedam apenas a websites de confiança, conhecidos e que habitualmente utilizam. Uma forma muito simples de verificar se se trata de um website de confiança é verificar se o endereço é composto com "https:" e não "http:". O primeiro caso indica que o website em causa tem um certificado de confiança e segurança e que a ligação é mais segura. O mesmo com o ícone de um cadeado que surge no browser junto ao endereço e que atesta isso mesmo. Os utilizadores devem também desconfiar de e-mails que possam parecer suspeitos ou enviados por remetentes "estranhos" e não devem ceder à tentação de carregar em links que constem nesses e-mails, por mais tentador que a informação possa parecer. Essa é uma das técnicas de phishing mais antigas, porém, ainda muito eficaz, ainda mais neste contexto da COVID-19. É também fundamental adotar políticas de password forte, ou seja, passwords alfanuméricas e criadas de forma aleatória, para além de que devemos ter passwords únicas para cada aplicação. Utilizar, por exemplo, a mesma password para aceder ao netbanking ou ao e-mail é um erro básico, a evitar. Existem inúmeras aplicações gratuitas de gestão de passwords, que são altamente recomendáveis. Por fim, no que toca a compras online, um conselho básico será que utilizem cartões "virtuais", criados para aquela compra específica e não os dados do cartão de crédito original. Aplicações do tipo MBNet evitam que, em caso de roubo dos dados desse cartão, se possam fazer mais compras com o mesmo. Há muitas outras técnicas ou dicas de segurança, estes são apenas alguns exemplos de fácil implementação para qualquer consumidor.
"A cibersegurança tem de seguir uma lógica transversal e não estar apenas focada na loja online. A loja online é apenas uma das componentes do negócio e um dos interfaces"
*Artigo publicado em DistribuiçãoHoje
