Empresas de todo mundo passaram a adotar um discurso sobre a questão da cibersegurança, no qual defendem padronizações e maior segurança. No entanto, pouco elas têm feito para criar e manter padrões significativos que evitem ou que respondam de forma eficientes a esses ataques cibernéticos. Essa argumentação foi apresentada pelo professor da Universidade de Nottingham, na Inglaterra, John Walker (foto), durante o Cyber Security Summit Brasil 2018, em sua palestra na última sexta-feira (27/7), em São Paulo.
“Precisamos de menos compliance e mais segurança. Também é preciso adotar Red Teaming, ou seja, se autoatacar para testar capacidades e vulnerabilidades”, defendeu o especialista que possui um extenso currículo em segurança cibernética. John passou pelas Operações de Inteligência, Investigações e Contra-Inteligência da Royal Air Force, atuou no GCHQ e CESG nas Agências dos EUA e do Reino Unido, e Gestor de Sistemas Credenciados pela CIA.
John também ressaltou que possuir um plano de ação em casos de ataques é tão importante quanto prever os riscos. “A indústria de cibersegurança é ruim. As empresas têm dificuldades ao tratar as ameaças hoje em dia. Resposta a incidentes é a chave e é algo que precisa ser planejado com antecedência”.
O especialista ainda lembrou até mesmo empresas que são consideradas modelo em cibersegurança também são alvos de ataques. Ele citou o caso da operadora britânica TalkTalk, na qual o pessoal do TI foi avisado sobre uma vulnerabilidade em seu sistema mas ignorou os avisos e a empresa foi hackeada. “Uma empresa que, agora em 2018, foi elogiada e considerada exemplo de infraestrutura e segurança”.
Outra empresa citada por John foi o Tesco Bank, considerado modelo de engenharia reversa. “Em 2016, 20 mil clientes tiveram suas contas invadidas por hackers em um sábado de manhã. Por que em um sábado? Porque poucas pessoas trabalham nesse dia”, explicou.
Alguns problemas reais elencados por John Walker:
Self Survival: muitas empresas acreditam que não precisam se importar com ciberataques, bem como o cibercrime, e acham que são autossuficientes e acima de tudo.
Falta de conhecimento em novos esquemas de ameaças: falta de imaginação sobre as novas ameaças. É preciso pensar mais em defesa. Não podemos ter medo de inverter os papéis.
Certificação: apenas a certificação em segurança não é suficiente, é preciso também ter junto com a certificação habilidades para atuar com segurança cibernética.
Falsificação de credenciais: Infelizmente esse problema também é recorrente, de pessoas que conseguem certificação, mas depois usam isso para o cibercrime.
Falta de liderança e habilidades: hoje ouvimos que a segurança não é apenas uma questão de quem atua na área, mas de todas as pessoas. O público é o maior vetor desse assunto. Por isso, é sempre importante estar em contato com as pessoas para procurar entender o que acontece ao redor.
Pequenas Empresas: muitos ignoram pequenas empresas, mas elas também podem ser fontes de ciberataques. Isso não pode ser negligenciado.
Crime cibernético de ponta: o cibercrime está cada vez mais arrojado e ataca diversos tipos de sistemas como infosegurança, carros, hotéis.
Resposta é a chave: a resposta a incidentes é a chave, e é algo que precisa ser planejado antes. Não pode ser de última hora.
Red Team: Testar suas capacidades e vulnerabilidades, treinar as pessoas.
Minority Reporting: É preciso ser proativo com si mesmo, atacar a si mesmo.
Tocar o intocável: É preciso conversar com quem está em risco.