5 ameaças à cibersegurança que deverão dominar em 2018

As redes de IoT vão adicionar perigo, o serviços de cibercrime terão mais ferramentas, mas o desalinhamento com a administração traz também riscos.

Se pensa que 2017 foi um ano terrível em matéria de quebras de segurança de dados, espere por 2018. O Fórum de Segurança de Informação (ISF), um organismo global e independente de segurança de informação focado em cibersegurança e gestão de risco de informação, prevê um aumento no número e impacto das violações de dados, devido, em grande parte, a cinco ameaças principais que as organizações vão enfrentar em 2018.

“A abrangência e o ritmo das ameaças à segurança da informação estão a prejudicar a reputação das organizações de maior confiança da actualidade”, diz Steve Durbin, director-geral da ISF. Em 2018, vamos ver as ameaças a tornar-se mais sofisticadas, personalizadas aos pontos fracos de cada um e transformando-se para contornar as defesas que já foram implantadas, explica. “Actualmente os desafios estão mais elevados que nunca”.

O aumento dos números de vulnerabilidades será acompanhado pelo crescimento do volume de registos comprometidos, afirma Durbin. “Por isso, os ataques do próximo ano serão mais dispendiosos para as organizações de todas as dimensões.

Aos custos tradicionais com a limpeza das redes e a notificação dos clientes, irá somar-se custos adicionais relacionados com litígios envolvendo cada vez mais partes, assinala Durbin. A ISF prevê que os clientes insatisfeitos  vão pressionar os governos a introduzir legislação de protecção de dados mais rígida, com custos concomitantes

Crime as a Service (CaaS) terá mais ferramentas e serviços

No ano passado o ISF tinha previsto um “salto quântico”, com organizações criminosas a desenvolver hierarquias complexas, parcerias e colaborações em tudo semelhantes à organização do sector privado.

Durbin considera que a previsão se concretizou, uma vez que, em 2017, se regirou um “enorme incremento no ciber-crime, em particular do crime-como-um-serviço.” A ISF prevê que a tendência continue em 2018, com maior variedade de organizações criminosas em novos mercados e distribuídas por todo o mundo.

Algumas organizações estarão assentes em estruturas criminosas existentes, diz a ISF, enquanto outras vão surgir exclusivamente focadas no ciber-crime.

A maior diferença? Em 2018, através dos Crime as a Service (CaaS), os “ciber-criminosos aspirantes”, sem muitos conhecimentos técnicos, poderão comprar ferramentas e serviços que lhes permitam realizar ataques que de outra forma não seriam capazes de empreender, diz Durbin. “O ciber-crime está a deixar de se focar apenas em ‘grandes iscos’ como a propriedade intelectual ou os grandes bancos”, sublinha.

O “criptoware” será actualmente a mais popular categoria de malware. Anteriormente, a utilização do ransomware por parte dos criminosos dependia de uma perversa forma de confiança: depois de bloquear o computador, a vítima pagaria o resgate e o ciber-criminoso desbloqueava-o.

Mas Durbin assinala que a chegada de ciber-criminosos aspirantes a esta área significa que essa “confiança” se está a desvanecer. Até as vítimas que pagam o resgate poderão não ter acesso à chave para desbloquear os seus dados. Por outro lado, os ciber-criminosos podem voltar uma e outra vez.

Em simultâneo, Durbin diz que os ciber-criminosos estão a tornar-se mais sofisticados na utilização da engenharia social. Apesar de os alvos serem, geralmente, indivíduos e não empresas, os ataques representam uma ameaça para as organizações.

“Para mim, estão a esbater-se os limites entre as empresas e os indivíduos. O indivíduo é cada vez mais a empresa”, salienta.

Internet das Coisas adiciona riscos

As organizações estão a adoptar cada vez mais dispositivos de Internet das Coisas (IoT), mas a maioria dos dispositivos não está seguro desde a concepção (“security by design”). Além disso, a ISF adverte que haverá uma crescente falta de transparência no, constantemente em evolução, ecossistema de IoT, com termos e condições vagas que permitem às organizações utilizar dados pessoais de modos que os clientes não pretendiam.

Será problemático para as organizações saberem que informações estão a sair das suas redes ou que dados estão a ser captados e transmitidos secretamente por dispositivos como smartphones e televisões inteligentes.

Quando as violações de dados ocorrem, ou as violações de transparência são reveladas, as organizações estão susceptíveis a ser responsabilizadas quer por reguladores quer por clientes. E no pior dos casos, o dano na segurança dos dispositivos de IoT em sistemas de controlo industrial poderão levar a danos físicos ou à morte de seres humanos.

“Do ponto de vista do fabricante, saber qual é o padrão de utilização, e compreender melhor os indivíduos é claramente importante”, diz Durbin. “Mas tudo isto abriu mais vectores de ameaça do que alguma vez tivemos.” Acrescenta ainda “como podemos tornar tudo isto seguro, para que estejamos em controlo em oposição a estar o dispositivo a controlar? Vamos assistir a um incremento dos níveis de alerta nestas áreas”.

Cadeia de abastecimento: o elo mais fraco na gestão de risco

A ISF há anos que chama a atenção para as questões das vulnerabilidades da cadeia de abastecimento. A organização assinala que existe um vasto conjunto de dados valiosos e sensíveis que é frequentemente partilhado com os fornecedores. Quando essa informação é compartilhada, o controlo directo é perdido. Isso significa maior risco de se comprometer a confidencialidade, integridade ou disponibilidade da informação.

“No ano passado, começámos a ver grandes indústrias a perder capacidade de produção, porque eles estavam bloqueados e com o abastecimento comprometido “, diz Durbin. “Não interessa em que área de negócio se está.

Todos nós temos cadeias de abastecimento”, acrescenta. “O desafio que enfrentamos é saber como é está a nossa informação em cada fase do ciclo de vida? Como protegemos a integridade dessa informação enquanto é partilhada?”

Em 2018, as organizações terão de se concentrar nos pontos mais fracos das suas cadeias de valor, diz a ISF. Embora nem todas as quebras de segurança possam ser prevenidas antecipadamente, as empresas e os fornecedores terão de ser pró-activos.

Durbin recomenda a adopção de processos fortes, escaláveis e reproduzíveis com garantias proporcionais aos riscos enfrentados. As organizações devem incorporar gestão de risco de informações na cadeia de abastecimentos nos processos de gestão de contratos e fornecedores existentes.

Regulamentação irá somar-se à complexidade da gestão de activos críticos

A regulamentação vai acrescentar complexidade, e o Regulamento Geral de Protecção de Dados (RGPD) irá estar em vigor em Maio de 2018, acrescentado uma nova camada de complexidade à gestão de activos críticos.

“Provavelmente não tenho uma conversa, em qualquer lugar do mundo em que o  RGPD não é referido”, diz Durbin. Não é apenas a questão da conformidade. “Trata-se de se certificar que tem a capacidade, em toda a sua empresa e cadeia de abastecimento em qualquer momento, de identificar dados pessoais e perceber como estão a ser geridos e protegidos”. É preciso ser capaz de o demonstrar em qualquer momento, não apenas a pedido dos reguladores, mas também dos indivíduos.

“Se vamos de facto implementar estas soluções correctamente, vamos ter de mudar a maneira como estamos a fazer negócios”, acrescenta. O ISF assinala que os recursos adicionais necessários para abordar as obrigações da RGPD são susceptíveis de aumentar os custos de conformidade e de gestão de dados, e de desviar a atenção e o investimento de outras tarefas.

Riscos do desalinhamento com as expectativas da administração

O desalinhamento entre as expectativas da administração e a realidade da capacidade da função de segurança da informação para entregar os resultados será uma ameaça em 2018, de acordo com a ISF.

“A administração, em regra, não percebe. Compreendem que estão a trabalhar no ciber-espaço, mas o que não entendem, em muitos casos, é a real implicação disso”, refere Durbin. “Eles acham que o CISO tem tudo sob controlo. Em muitos casos, a administração ainda não sabe as perguntas certas a fazer. E o CISO ainda não sabe como falar com a administração ou com os responsáveis pelo negócio sobre o assunto”.

A ISF diz que as administração esperam que os orçamentos de segurança de informação mais elevados, dos últimos anos, tenham habilitado o CISO e a função de segurança da informação a produzir resultados imediatos. Mas uma organização totalmente segura é um objectivo intangível.

E mesmo que o compreendam, muitas administrações não compreendem que fazer melhorias substanciais à segurança da informação leva tempo, mesmo quando as organizações têm as competências e capacidades disponíveis. Esse desalinhamento significa que quando ocorre um incidente importante, ele não terá impacto apenas na organização.

É provável que tenha impacto na reputação da administração, tanto colectiva, como  individualmente. Por isso, o papel do CISO deve evoluir, diz Durbin.

“Actualmente o papel do CISO é antecipar, assegurar que a firewall se mantém operacional”, assinala. “Tem de antecipar o modo como os desafios que estão à espreita irão afectar o negócio e articulá-lo- com a administração.

Um bom CISO precisa ser um vendedor e um consultor. Não pode não ter as duas valências. Eu posso ser o melhor consultor do mundo, mas se não consigo vender as minhas ideias, estas não vão chegar à sala da administração.

Autores
Tags
O seu comentário...

*

Top