Uma em cada três PME já foi vítima de ciberataques e 80% quer aumentar o investimento em segurança. Os ataques cibernéticos são um dos maiores desafios da atualidade para as organizações. Em média, cada ataque custa 250 mil dólares (perto de 236 mil euros ao câmbio atual), mas podem atingir os sete milhões, segundo dados divulgados pela Microsoft.
Por todo o mundo, as instituições governamentais têm sido alvo de ataques. Em Portugal, no ciberataque à Agência para a Modernização Administrativa, vários sites públicos deixaram de funcionar, abrangendo mais de 400 serviços e 20 plataformas e portais, incluíndo o gov.pt.
Em Espanha, a Agência Tributária Espanhola terá sido vítima de um ciberataque do grupo de piratas Trinity, que comprometeu milhares de dados confidenciais. O objetivo, de acordo com a imprensa espanhola, foi exigir um resgate de perto de 40 milhões de euros, com os hackers a ameaçarem tornar a informação pública a 31 de dezembro.
A privacidade já não existe. Este é o ponto de partida para uma conversa com Daniel Ehrenreich, israelita, perito em cibersegurança industrial, com mais de 45 anos de experiência no setor da alta tecnologia, sobretudo na área dos sistemas de controlo industrial para geração e distribuição de eletricidade, água e esgotos, petróleo e gás. Em 2016, estabeleceu a conferência anual ICS-Cyber Security, de que é presidente permanente.
Vivemos numa época em que a evasão de privacidade e invasão de privacidade estão em pé de igualdade. Uma espécie de Big brother is watching you, ou mais perigoso do que isso?
O irmão está a observar-te, mas já não é só o grande irmão, é o grande, o pequeno, toda a gente está a observar toda a gente. Esta é a vida hoje. A tecnologia permite estas soluções, há procura e há pessoas dispostas a pagar por isso. E isto é tudo quanto basta para haver crime.
Normalmente um crime tem um móbil. Quais são as motivações do cibercrime?
Existem algumas motivações, mas a maioria dos ataques em todo o mundo é motivada por dinheiro. E se no passado quem queria cometer um crime precisava de ter um vasto conhecimento e muitos planos, hoje basta alugar uma ferramenta por três mil dólares para conseguir três milhões. Se é assim tão fácil, porquê hesitar? Isto pode acontecer a nível individual, em empresas ou países, depende daquilo que impulsiona o crime.
Isto significa que quando falamos de cibersegurança há basicamente uma questão importante, que é aquela que todos devemos fazer quando acordamos de manhã: quem (ou o quê) me pode causar problemas? E temos quatro possibilidades.
Quais são?
Em primeiro lugar, qualquer pessoa. Alguém, por qualquer motivo, pode roubar o nosso carro, ou a nossa bicicleta. Essa pessoa não quer saber quem é o dono, se o modelo é bom ou mau, se é ou não legal. Apenas precisa de o roubar e vai fazê-lo, ponto final. Este é o nível mais baixo.
O segundo nível são as pessoas que, não sendo especialistas, estão motivadas, têm um foco. Ou seja, não querem roubar um carro qualquer ou uma bicicleta qualquer, querem aquele carro ou aquela bicicleta específica. O risco já está a aumentar, mas ainda não é preciso muito conhecimento ou experiência.
O terceiro nível é o crime organizado, que, obviamente, pode contratar pessoas especializadas. Neste caso, pode dedicar tempo ao assunto e devemos sempre assumir que será bem-sucedido nas suas intenções.
O nível quatro são países hostis. E os países hostis têm recursos ilimitados, não importa quem vai fazer nem quanto pode custar. É este o mundo em que vivemos.
Um ciberataque é uma tentativa de obter acesso não autorizado a sistemas informáticos para roubar, modificar ou destruir dados. Antes de mais, estamos a falar de que tipo de infra-estruturas?
Quando falamos de sistemas de dados, podemos estar a falar de bancos, hospitais, universidades, patentes, por aí fora, em que o objetivo é, na maioria das vezes, roubar informação, ou de infra-estruturas críticas.
Infra-estrutura crítica pode ser um termo enganador, porque para uma criança ou adolescente isso pode ser o seu telemóvel, por isso prefiro falar de sistemas físicos que permitem a movimentação de algo, como energia, água, gás, petróleo ou transportes. Nestes casos, surpreendentemente, os ataques não são motivados por dinheiro, mas são quase sempre demonstrações de força.
E houve ataques famosos, como o Stuxnet, descoberto em 2010...
Sim, o vírus Stunex terá sido desenhado por israelitas e americanos para atacar infra-estruturas críticas iranianas, uma instalação nuclear. Mas não havia dinheiro por trás do ataque (claro que as pessoas que o fizeram ganharam dinheiro com isso), mas foi uma mensagem: tenham cuidado, estamos aqui. É uma questão de poder.
Houve outro ataque muito famoso, em 2015, na Ucrânia. Nessa altura, os russos ainda atacavam sem bombas. Mas conseguiram penetrar numa central energética e desligar a eletricidade e uma cidade inteira. Mais uma vez, o ataque não foi motivado por dinheiro, foi para dizer "nós podemos".
Ainda mais recentemente tivemos as explosões de pagers e walkie-talkies no Líbano.
Esse é um tipo diferente de ataque. Não sou especialista na matéria, mas havia diversas etapas, desenvolver a técnica e levar as pessoas a interessarem-se pelo produto. Não sei se se pode chamar a isso um ataque cibernético, diria que sim, mas não é a forma típica de o fazer.
Falou em ciberataques a hospitais. Os hospitais portugueses estão vulneráveis a hackers e nos primeiros seis meses do ano houve mais de 4 mil ataques a instituições de saúde, públicas e privadas.
Estamos a falar de dados sensíveis. Um registo médico no mercado negro pode valer entre 700 e 1.500 dólares. Se atacar um hospital e conseguir exfiltrar, digamos, 10.000 ou 100.000 registos médicos secretamente, sem ninguém saber, pode conseguir uma pequena fortuna.
Saca os registos, verifica-os cuidadosamente e descobre informações valiosas. Imagine que uma pessoa famosa fez determinado tratamento que quer esconder, que um gestor nomeado CEO de uma grande multinacional tem um problema de saúde, que uma ficha revela um tratamento a um comportamento altamente reprovável. O pirata pode chantagear aquela pessoas, exigir uma determinada quantia para se manter de boca fechada. Também pode arranjar problemas com seguros. Provavelmente, 99% dos registos são para o lixo, mas basta que 1% seja interessante para ganhar a lotaria.
Há uma nova diretiva europeia na área da cibersegurança, ainda em processo de transposição para Portugal, que obriga os principais operadores de setores-chave a apertar as regras e a fiscalização, no setor público e privado, e atribui mais responsabilidade aos dirigentes destas entidades. Que medidas devem adotar estas instituições?
Estas orientações são óptimas, porque visam educar as pessoas em relação ao que tem de ser feito. É fundamental saber proteger a sua organização, seja um hospital, uma central elétrica, ou o serviço de abastecimento de água. Mas há um lado problemático, é que existem muitos - demasiados - regulamentos.
Ninguém consegue explicar porque existem cinco regulamentos criados pelos Estados Unidos e agora 15 regulamentos criados pela União Europeia. Em quase todos os países existe um documento, grande ou pequeno, seja um regulamento criado pelo NIST (National Institute of Standards and Technology) ou por outro departamento qualquer, nas versões 2.0 ou demais. O problema é este, quem é que vai ler documentos de 1.500 ou 2.500 páginas? Não estou a dizer que não devem fazê-lo, estou apenas a apontar dificuldades.
Outro problema é que as pessoas que estão a definir estes padrões não vêm todas da mesma escola, não têm todas o mesmo background, ou a mesma experiência. Têm conhecimentos diferentes, umas vêm da banca, outras da energia, outras da indústria ou do setor da água. Estas pessoas reúnem-se e tentam escrever um documento comum. Agora, pode imaginar como é que se pode escrever um documento padrão para ser usado tanto por uma pequena unidade de retalho como por uma grande central nuclear.
Quem ler vai achar que são documentos para especialistas e não passa das cinco páginas, porque acha que nunca vai compreender. Ou vai achar que é tudo a mesma coisa e já leu regulamentos iguais não sei quantas vezes, pelo que não vale a pena estar a perder tempo.
Como se ultrapassa essa dificuldade, como lhe chamou?
Alguém corajoso, não vou dizer o nome, mas foi um especialista, afirmou que a regulação é necessária, mas o que precisamos realmente de fazer é proteger os nossos sistemas. E temos de fazê-lo desde a torradeira, como gostamos de dizer, à central nuclear.
E como é que isso pode ser feito?
A minha perspetiva é que, antes de mais, temos de analisar o impacto de um ciberataque. O que pode acontecer? Isto em função da atividade em causa. Se queremos proteger uma estação de tratamento de água, o que pode acontecer? Ou vai deixar de funcionar ou a água vai ter baixa qualidade ou ficar contaminada. Se for um banco, o que pode acontecer? Pode haver uma fuga de dados ou os dados podem ser manipulados. E se for um produto de consumo? A máquina de lavar roupa pode não funcionar bem, mas muito provavelmente não vai saltar até ao teto e cair na minha cabeça.
Ou seja, em primeiro lugar gosto de analisar o impacto que pode ter no negócio. Com essa análise feita, já sei para o que tenho de me preparar.
Em segundo lugar, é importante fazer uma pergunta simples - depois de considerar alguns incidentes: quais as principais razões pelas quais estes incidentes tiveram êxito? É uma questão legítima. Na maioria das vezes vai descobrir que foi porque as pessoas não tiveram formação sobre o tema.
Essencialmente, existem três factores. O factor pessoal, a educação, a experiência, a capacidade, a dedicação, entre outros. O factor procedimento/política da empresa, aquilo que a instituição determina que seja o comportamento. Por fim, a tecnologia, que, na verdade, devia ser a actualização tecnológica, porque a ferramenta que comprei há cinco anos e era relativamente simples já não serve, o risco aumentou.
Isso significa que, antes de mais, as organizações têm de ter as atualizações tecnológicas e a formação previstas no seu orçamento?
Claro, porque isso tem custos, é preciso dinheiro para isso. E este é o primeiro problema, "ah, está bem, para o ano alocamos uma verba para isto". Na verdade, a formação pode custar tanto ou menos do que o dinheiro que se gasta em café para a equipa durante um ano. E a formação é mesmo importante, as pessoas têm de saber como reagir.
A gestão do conhecimento é outro problema, porque é preciso saber o que comprar. O terceiro problema é este: se quiser mesmo instalar esta nova tecnologia, posso fechar o banco, a empresa de água, ou de energia durante três, ou quatro semanas, talvez dois meses?
Isso parecem mais problemas do que soluções. É especialista, o que recomenda que as organizações façam para evitar serem vítimas de hackers?
Número um, digo às pessoas que prestem atenção à proteção física do perímetro. Se não trancar a sua casa, o que pode esperar? A proteção do perímetro físico é fundamental, porque é provavelmente uma forte pré-condição para qualquer outra coisa que vá fazer.
Dois, é preciso fazer uma espécie de segregação, torna difícil para alguém de fora saltar de uma "rede" para outra (quando falo em rede, falo na rede de dados do banco, na rede da central elétrica, na rede de comunicações satélite, na comunicação baseada na cloud).
Porque um hacker comprometer o Wi-Fi da cidade, provavelmente não será assim tão complicado, mas se a partir daí conseguir saltar para o banco, já é um problema maior.
Três, fazer uma avaliação periódica das vulnerabilidades, verificar tudo uma vez por ano, duas vezes por ano, quanto mais vezes, melhor. É como a nossa casa, descobrir se há uma telha partida, alguma fechadura avariada, janelas por onde é fácil entrar, renovar códigos.
Por último, formação. Treinar e fazer exercícios é muito útil para relembrar e prevenir. O exercício deve ser adaptado ao ambiente com que lida. Um edifício de escritórios tem facilmente 500 pessoas. O que fazer se de repente os detetores de fumo são accionados? Isso significa que há um incêndio? Talvez sim, talvez não. Ou se os telefones desatam todos a tocar ao mesmo tempo, ou se os elevadores ficam parados, ou se as portas ficam trancadas... Tudo isto pode ser obra de um hacker.
Porque, atenção, é preciso dizer isto com toda a clareza: é impossível impedir um ciberataque. Isso não existe. Haverá sempre uma frincha, um espaço através do qual um hacker vai conseguir penetrar. É como ter uma mosca dentro de casa, mas como é que ela entrou? Não sabemos como, mas ela encontrou o caminho.
Por isso com os passos que mencionou antes, é impossível impedir um ataque, mas podemos dificultar a vida dos piratas.
Exatamente. E não se faz isso com uma medida única, não há uma bala de prata, não posso dizer: compre esta tecnologia e vai ficar seguro. Muitas pessoas estão a gastar balúrdios em tecnologia e não estão a ter benefícios. É preciso entender que estamos a falar de defesa, defender um sistema de um ataque. Tudo o que pode fazer é minimizar o risco.
Gosto de pegar no comportamento das pessoas na sua vida privada de todos os dias para explicar. Vamos falar do seu automóvel; compra um carro novo, presta atenção à manutenção, à inspeção, ao combustível que usa, à substituição dos pneus, faz um seguro, estaciona na garagem, guia com cuidado. Ou não faz nada disto e aumenta os diversos riscos, da avaria ao roubo ou mesmo a um acidente.
Para isso, é preciso estar ciente do perigo. Os nossos governantes estão conscientes do perigo, sabem os riscos que o país corre nas diversas dimensões?
Toca numa ferida. A questão é que quando se fala de cibersegurança fala-se de dinheiro, "este já está a querer sacar-me algum". Depois, as pessoas sentem-se estúpidas por não entender o assunto na totalidade, não gostam. Então, o que temos de fazer é alterar um pouco a terminologia. Pode perguntar a gestor de topo de uma grande indústria o que acontecerá se a sua fábrica parar oito ou 24 horas. Pode perguntar ao presidente de uma câmara municipal o que acontece se a cidade tiver menos 20% de energia ou de água. Sabe que vai perder milhões ou que a sua reputação será prejudicada ou que as pessoas se vão revoltar.
Os regulamentos devem orientar e ajudar, mas para isso é preciso ter conhecimento. Como disse há pouco, muita desta regulamentação sobrepõem-se, só se aplica a determinados casos. É preciso saber escolher o que é importante e crítico para a continuidade de cada atividade.
Mas lembre-se, estamos a falar de quem nos pode atacar em busca de possibilidades. Depois disso, estamos a falar sobre o impacto de um ciberataque para a organização. Assim é fácil perceber que talvez seja importante ter um plano de reserva. Porque, da mesma maneira que acabará sempre por ter uma panne no seu automóvel, mais tarde ou mais cedo vai ser confrontado com um ciberataque. Então, é bom que esteja preparado para responder: parar o ataque, minimizar os danos, recuperar e investigar - porque todo o incidente deve ser investigado, até para evitar que se repita. Tudo isto tem de ser planeado pelas organizações.
Há uma tendência para relaxar, para achar que só acontece aos outros?
Mas esse é o maior erro de todos. Há apenas três possibilidades: um, já lhe aconteceu; dois, já aconteceu e não sabe; três, vai acontecer. Muitas vezes o hacker fica meses num sistema sem ninguém dar por isso. É como dormir com uma cobre em casa. Durante este tempo, o atacante está a construir e a fortalecer a sua posição. Na verdade, torna-se um funcionário da sua empresa, tem email, níveis administrativos, podem comprometer o mecanismo de defesa. É uma bomba-relógio.
O que se aprende com isto? Ninguém está seguro. Mas não digo isto para lançar o pânico, digo isto para as instituições estarem preparadas. Para cada um de nós estar preparado, porque todos os dias colocamos a ponta do dedo no telemóvel, visitamos o TikTok ou outra plataforma qualquer. Está seguro?
Trata-se de pessoas, processos, tecnologias. Então, dê o seu melhor em cada direção e o resultado será melhor. E lembre-se, cada vez que pede comodidade, cria um risco. Porque é que tem portas em casa? É uma maçada, abre, fecha, tranca, destranca. Mas precisa de privacidade. Bom, então está a concordar que opta pelo inconveniente para ganhar segurança.
Tem de passar isto para a sua empresa, para as suas redes ou à boleia da conveniência o hacker aproveita para atacar e, quando estiver a desligar os sistemas, um segundo depois ele liga-se no seu lugar. Que riscos está disposta a correr para ter conveniência? É esta a pergunta que tem de fazer.
Os ataques estão em todo o mundo, por todo o lado. E os incidentes que acontecem muito devido à negligência. Alguns ataques são profissionais, alguns são amadores, mas esta é a história: é preciso ter um pensamento estratégico. Isso significa que é preciso fazer todas as perguntas, estimar a probabilidade de um ataque acontecer, o impacto desse ataque. O mitigar riscos.
Mas há respostas, é preciso ter muito cuidado para não cair na armadilha de que tudo pode ser destruído em cinco minutos.
Comentários