O ano começou com a notícia do ciberataque ao Grupo Impresa, que deitou abaixo sites, redes de comunicação e levou, por exemplo, a equipa do Expresso a escrever a edição que assinalava os seus 49 anos à mão. Claro que o tema, além de notícia, foi motivo de conversa entre amigos e é aqui que surge a ideia de lhe trazer um artigo para responder a perguntas que muitos de nós, certamente, devemos ter feito nestes últimos dias.
Conseguiremos alguma vez punir o cibercrime? Como nos podemos proteger destes ataques? Se tiver uma pequena ou média empresa estou a salvo destes ataques? Para responder a estas questões convidei Pedro Castro Lobo, Incident Responder & Forensic Analyst, e Andreia Brito, Legal Advisor, com especialização em proteção de dados, privacidade e cibersegurança. Da conversa resultaram não só a resposta a setes questões, como quatro curiosidades.
De que forma uma empresa, independentemente da sua dimensão, pode minimizar um possível ataque destes?
PCL: Minimizar o impacto é o fator chave aqui, pois por muito investimento que seja feito na defesa externa, também é necessário saber o que fazer no dia em que a mesma não for suficiente. Em modo de analogia, podemos dizer que as empresas constroem muralhas à volta da sua infraestrutura erguendo um castelo digital e, pronto, estão protegidos contra ameaças externas. Agora o problema é como detetar aquele intruso que entrou pelo esgoto. Para além da defesa a ameaças externas, é necessário contratar guardas para patrulharem o interior do castelo e identificarem e lidarem com os intrusos. Portanto, é necessário também monitorizar o que se passa dentro do nosso ambiente e para isto é necessário alguém especializado, que saiba distinguir o comum do malicioso e que saiba lidar com um intruso. Isto pode ser feito criando uma equipa interna para dar resposta a incidentes, se a dimensão for suficiente, ou contratar empresas externas que trazem o conhecimento de como o fazer.
O que são os backups e como devem ser feitos? Como tudo na vida, estas medidas também podem ser falíveis, certo?
PCL: Um backup é uma cópia suplente da informação e servem o propósito de restabelecer a mesma caso seja necessário, caso tenha sido inadvertidamente apagada ou alterada. Nos backups existe uma regra de boa prática, chamada a regra 3-2-1. Esta regra foi implementada por um fotógrafo americano e é também utilizada em informática e diz o seguinte: 3 cópias da informação, em 2 meios distintos e 1 em localização externa.
Portanto devemos ter a informação “normal” guardada, por exemplo, num servidor, uma cópia dessa informação guardada num disco rígido diferente (por exemplo, para o caso do disco avariar), e uma outra cópia guardada num sistema externo, para evitar que, por exemplo, um incêndio destrua toda a informação e cópias (backups) – também conhecida como cópia de recuperação de desastre.
Em relação a um ataque de ransomware em que toda a informação está cifrada, a única maneira de recuperar a informação sem pagar aos atacantes, será usando backups.
Consideras que existe uma preocupação por parte das empresas em relação à cibersegurança?
PCL: Sim. A perceção das empresas, e das pessoas em geral, tem aumentado bastante em relação à cibersegurança, principalmente por causa das notícias dos ataques mais mediáticos. E, provavelmente, também porque muitas empresas já experienciaram em primeira mão um ataque – o mais recente, e que acho que mais expressão teve, terá sido o ransomware WannaCry, em 2017, que afetou muitas empresas portuguesas, que atacava uma vulnerabilidade “recente” nos sistemas Windows e que muitas empresas ainda não tinham atualizado o seu software.
E também se começa a falar em ciberguerra, que é algo estranho à maioria das pessoas, de como pode ser feita, mas basta vermos a atual dependência do mundo digital neste momento para percebermos o potencial estrago que pode ser efetuado “à distância”. Se pensarmos que provavelmente, hoje em dia, os controladores de fábricas e máquinas, eletricidade, água e outros estão ligados a um sistema informático para permitir a monitorização e controlo e que provavelmente estará acessível por rede, e se o mesmo não está devidamente desacoplado da Internet, é possível que alguém consiga lá chegar, de qualquer parte do mundo. E se chegar, as ações que pode tomar, podem ser graves.
A preocupação com segurança está a crescer e um indicador disso é a nova legislação que saiu este ano que passou, o decreto de lei 65/2021, que vem regulamentar “o Regime Jurídico da Segurança do Ciberespaço e define as obrigações em matéria de certificação da cibersegurança”
Quais são as principais ideias (erradas) pré-concebidas sobre cibersegurança?
PCL: Que comprar a ferramenta X vai resolver o problema. Que existem soluções chave-na-mão que previnem todos os ataques. Que só acontece aos outros. Que não tem nada de valor e por isso ninguém vai perder tempo com eles. Que se esconder, ninguém vai encontrar.
Um grande problema com a segurança é que não existe uma maneira de garantir que estamos seguros. A todo o momento estão a ser descobertas novas maneiras de subverter e os sistemas estão cada vez mais complexos, portanto é necessário uma monitorização da atividade para entendermos se existe alguma ameaça dentro da rede.
Recentemente, o tempo médio entre uma intrusão e a sua deteção andava à volta de 3 meses. Este número tem vindo a diminuir graças à ação das equipas de segurança e a sua constante monitorização dos ambientes.
Podemos pensar que somos uma empresa pequena e que os atacantes não têm muito a ganhar com o tempo que perdem para nos atacar, mas os atacantes também usam programas automáticos para infetar os computadores e redes vulneráveis e, como tal, esses programas estão pré-configurados para encontrarem alvos vulneráveis e estão constantemente a varrer a internet à procura dos mesmos.
Se não atualizarmos os sistemas que usamos, podemos ser alvo, mais cedo ou mais tarde, desses programas que, incessantemente, procuram vítimas.
Existe legislação sobre isto e, na tua opinião, suficiente?
AB: Não creio que tenhamos um problema de insuficiência de legislação. Atualmente existem vários diplomas que regulam as matérias relacionadas com a cibercriminalidade e a cibersegurança, desde logo, e a título de exemplo, a Lei do Cibercrime, que estabelece as disposições penais no domínio do cibercrime e que tipifica crimes como a sabotagem informática, o acesso ilegítimo e a destruição indevida de sistemas e dados informáticos. Temos, também, a Estratégia Nacional de Segurança do Ciberespaço, que enquadra e define os objetivos e linhas de ação nacionais em matéria de segurança, o Regime Jurídico da Segurança do Ciberespaço, que introduz um conjunto de medidas destinadas a garantir um elevado nível comum de segurança das redes e dos sistemas de informação, e que foi recentemente regulamentado através do Decreto-Lei n.º 65/2021, de 30 de julho. Existem, ainda, outros instrumentos muito relevantes, como o Quadro Nacional de Referência para a Cibersegurança e o Quadro de Avaliação de Capacidades de Cibersegurança, que permitem às organizações reduzir o risco associado às ciberameaças, e claro, um conjunto de boas práticas que as empresas e cidadãos devem considerar.
É possível punir quem leva a cabo estes ataques, sendo estas pessoas quase fantasmas?
AB: É possível puni-las, mas, arrisco-me a dizer, não é tarefa fácil. Antes de mais, porque tratam-se muitas vezes de ataques altamente sofisticados, bem organizados, que podem partir de qualquer parte do mundo, que recorrem a tecnologias de ponta, e que são de execução rápida e (infelizmente) eficaz, como aliás vimos suceder nos recentes ataques à SIC e ao Expresso. A combinação destes elementos dificulta o trabalho das autoridades responsáveis pela investigação destes casos, à qual se deve somar a ocasional ausência de meios operacionais e de competências específicas. Mas é muito importante que as empresas e cidadãos alvo destes ataques não deixem de os denunciar junto do Ministério Público ou dos órgãos de polícia criminal (PJ; GNR; PSP), que farão tudo o que estiver ao seu alcance para identificar os (ciber)criminosos envolvidos.
Independentemente do que aconteceu, na tua opinião, como vês o combate ao cibercrime, estamos no bom caminho?
PCL: A área da cibersegurança está em claro crescimento e, com isto, espero que venha muito conhecimento novo para combater os criminosos. O problema da cibersegurança é um problema de gato e rato, em que o gato está eternamente atrás do rato que lhe foge, sendo o rato os atacantes e o gato os que defendem. Até recentemente, quem tinha como função proteger, para além de todo cuidar, atualizar e manter todo o resto da infraestrutura informática, eram os administradores de sistema, mas dada a quantidade de tarefas que tinham de cumprir, a atenção que seria necessária dar à da defesa, ficava perdida entre muitas mais e os atacantes ganhavam cada vez melhores conhecimentos do funcionamento e falhas dos sistemas. Hoje em dia já temos pessoal e serviços especializados nas técnicas de ataque, através de pentesting e outras, e isto permite testar muito melhor as defesas e monitorizações, ao invés das mesmas apenas serem testadas num caso real. Isto permite um avanço real da área da defesa.
AB: O caminho é sinuoso e periclitante, e não menosprezando os desafios que o combate à cibercriminalidade implica, não me parece que seja rigoroso, ou tão-pouco justo, concluir que não estamos no bom caminho. O combate ao cibercrime é um trabalho árduo e ingrato, desde logo, porque estes ataques evoluem muito rapidamente em número, sofisticação e complexidade e evitá-los ou mitigá-los não é tarefa fácil. Podemos testemunhar o compromisso europeu e nacional com o combate ao cibercrime e com a promoção de uma cultura mais cibersegura – por exemplo, para o período 2021-2027, a UE comprometeu-se a investir 1,6 mil milhões de euros no reforço das capacidades de cibersegurança – mas este não é, nem pode ser, um compromisso meramente “high-level”, porque num mercado cada vez mais digital, as empresas têm a obrigação de estar informadas sobre estas matérias, preparadas e vigilantes, e todos nós, cidadãos, também devemos munir-nos dos conhecimentos (elementares) de cibersegurança para estarmos mais atentos e protegidos.
Curiosidades
Linha de suporte à vítima…do grupo atacante
“Foi vítima de um ataque do nosso grupo? Não se preocupe. Estamos cá para ajudá-lo a resolver a situação de forma rápida e eficaz.” Podia ser um anúncio de um qualquer grupo de piratas informáticos, já que…Tan tan taaan…alguns destes grupos disponibilizam uma linha de apoio às suas vítimas para ajudar a resolver o problema que criaram. Ficaram confusos com tamanha gentileza? Também eu! Mas parece que a reputação é tudo para estes grupos. Pedro Castro Lobo explica que “num mercado em que a anonimização é prevalente para proteção pessoal de quem efetua atividades ilícitas online, a reputação dos mesmos é chave, pois é a única bitola que se pode usar sem confiar, e por isso estes grupos de ransomware normalmente têm um serviço forte de ‘pos-ransom’ em que contratam pessoal que ajuda as vítimas a percorrer o processo de recuperação necessário, pois se o processo for muito complexo para as vítimas não vai haver dinheiro a entrar, e se a reputação for de que mesmo pagando, eles não resolvem o problema, mais nenhuma vítima vai pagar, o que novamente nega a entrada de dinheiro”.
Cursos online gratuitos em cibersegurança
Se quer aprender a proteger-se no mundo digital, saiba que o Centro Nacional de Cibersegurança oferece vários cursos gratuitos, em regime e-Learning, que permitem melhorar as suas competências de ciberhigiene, um termo que designa um conjunto de boas práticas que devem ser asseguradas no âmbito deste tema.
Depois da guerra fria…a ciberguerra
Se na segunda metade do século XX assistimos à guerra fria, o século XXI será marcado, acreditam os especialistas, pela ciberguerra. Segundo a APDSI – Associação para a Promoção e Desenvolvimento da Sociedade da Informação, este termo diz respeito à “modalidade de guerra onde a conflitualidade não ocorre com armas físicas, mas através da confrontação com meios eletrónicos e informáticos no chamado ciberespaço”. Exemplo disso foram alguns ciberataques que ocorram em 2021 aos EUA alegadamente por parte de grupos com ligações ao Kremlin, entre os quais um a uma empresa ligada ao Partido Republicano (ver notícia). Sobre este tópico, fica uma sugestão de leitura: A Arma Perfeita – Guerra, Sabotagem e Medo na Era da Ciberguerra, de David E. Sanger
Hackers vs Crackers – os do bem e dos mal no mundo digital
Como tudo na vida, existe o bem e o mal e no mundo digital essa realidade não é exceção. Por isso mesmo, saiba que nem todos os hackers são maus. E os maus, esses, podem ser chamados de Crackers. Hackers são pessoas que usam as suas skills para o bem, ao passo que os piratas informáticos usam-nas para o mal e, nesse caso, podem ser apelidados de Crackers. Ainda assim, Pedro Castro Lobo, refere que “esta distinção entre hackers e crackers, e outras nomenclaturas, já se perdeu um bocado. Houve uma altura em que os hackers se distinguiam pela ‘cor do chapéu’ que usavam, sendo os whitehat (chapéu branco) hackers aqueles que usavam os seus conhecimentos para ajudar a resolver as falhas encontradas no software pelos mesmos e que hoje em dia se integrou na comunidade “InfoSec”; e os blackhat (chapéu preto) hackers, que usavam os seus conhecimentos para extorquir dinheiro das vítimas e espalhar o caos nos sistemas informáticos.
Nota: as opiniões expressas neste artigo vinculam apenas os seus autores.
Marta Cerdeiro, Communication Consultant
