Infelizmente, é bastante habitual depararmo-nos com notícias de ataques cibernéticos a esta ou aquela empresa ou administração, na qual os seus dados foram expostos ou as aplicações e a informação foram “sequestrados”. Mas o que quer isto dizer exatamente? E, mais importante, podemos estar totalmente protegidos? Vamos ver algumas breves noções das consequências destes ataques e se podemos fazer algo para estar mais protegidos agindo em vários pontos de entrada da nossa organização.
A Cibersegurança é um conceito amplíssimo e que vai continuar a crescer com a maior conectividade entre sistemas, como a IoT e o aumento do uso da Internet ou sistemas informáticos. Mas vamos dar umas pequenas bases e centrar no que afetaria a Administração Pública em que o que queremos são basicamente duas coisas: ter disponíveis a nossas aplicações para dar serviços aos cidadãos e que a nossa informação não seja exposta. No meio privado, aumenta o número de pontos a ter em conta, já que acrescentaremos a espionagem industrial, sabotagem de sistemas, roubo de fornecedores, extorsão, campanhas de desinformação, ciberterrorismo, etc. Em comparação, o risco na administração pública pode parecer inferior ao privado, mas não é dado ao impacto que teria uma interrupção generalizada nos sistemas sanitários ou de emergências, por exemplo. Ou que os dados de todos os cidadãos de uma localidade ou uma freguesia sejam expostos. É claro que há várias casuísticas além das comentadas como o phishing, por exemplo, no qual simulam roubos, ou o man in the middle, de roubo de dados, mas não vamos ser tão detalhados.
Em comparação, o risco na administração pública pode parecer inferior ao privado, mas não é dado ao impacto que teria uma interrupção generalizada nos sistemas sanitários ou de emergências, por exemplo.
Se depois de ler este artigo quiser saber mais sobre o tema, a Internet está plena de recursos, mas ao falar da Administração Pública espanhola, o nosso ponto de referência é o Centro Criptográfico Nacional que oferece relatórios, documentação, ferramentas e, além disso, certifica os esquemas de segurança que a nossa organização pode ter ou as ferramentas que usamos, que veremos que são uma das bases principais de defesa que temos para evitar problemas.
Como referimos, podemos pensar, principalmente, em duas perdas: impossibilidade de uso de nossas sistemas e roubo de informação.
No primeiro caso, há várias formas de impedir o uso dos nossos sistemas. A mais “clássica” é um ataque DoS ou DDoS, de recusa de serviço. É tão fácil como saturar chamadas ou pedidos uma página ou serviço até que deixe de funcionar. Seria como clicar no botão para atualizar milhares de vezes por segundo. Aqui, é tão fácil provocar como resolver, deixando novamente ativos os nossos serviços. A questão é que apenas podemos colocar um penso, em vez de tomar medidas, voltaremos a ter outra falha.
Estes ataques DDoS não costumam afetar tanto como os conhecidos como ramsonware, já que, neste caso, encriptam ou restringe o acesso aos nossos próprios sistemas e somos incapazes de utilizar a nossa própria informação. Já que foi executado um programa dentro dos nossos sistemas que provocou esta situação encriptando ou até eliminando os nossos dados. Ao contrário do anterior, este caso é difícil de resolver e, além disso, também é difícil identificar a origem que o causou. Já que pode ser por uma falha técnica ou humana (abaixo veremos os dois).
E o segundo grande problema que podemos ter é a exposição da nossa informação. Conhecemos a importância dos dados que manuseamos e que, além disso, o seu tratamento e possível exposição são regulados pelo RGPD, mas há exceções em que podemos sofrer um ataque para obter os nossos dados (sejam de cidadãos ou internos na nossa entidade). Nestes casos, pode haver várias origens. Desde aplicações com pouca segurança, passando por configurações de rede incorretas, até o fator humano, que está sempre presente. O objetivo destes roubos costuma ser a extorsão para não os publicar ou a própria venda da informação. Na administração pública, de momento, não temos sabotagens ou espionagem industrial como podíamos ter no privado.
E podemos evitar que estes problemas ocorram? Podemos tentar, mas é muito difícil, para não dizer impossível, garantir 100% de cobertura, mas há sempre um fator humano implicado e porque o mal corre sempre mais depressa do que o bem. Vejamos o que podemos fazer e onde podemos atuar.
É muito difícil, para não dizer impossível, garantir 100% de cobertura, mas há sempre um fator humano implicado e porque o mal corre sempre mais depressa do que o bem
A nível técnico, há dois grandes fatores: as aplicações e tecnologias que temos e o nosso esquema de segurança.
Logicamente, se temos uma aplicação mal concebida, pode ser um buraco de segurança perante uma SQL Injection, roubo de sessão,… que pode provocar tanto o roubo da informação, como a introdução de software malicioso que afete os nossos sistemas. Por isso, devemos ter claras as características das nossas aplicações, sejam nossas ou de terceiros, e garantir que, pelo menos, esta parte está tratada. É evidente que já damos por feito acessos com certificado digital para determinadas zonas, fator de autenticação dupla ou tripla, renovação periódica de palavras-passes, etc.
No entanto, não devemos pensar apenas nas aplicações finalistas, como pode ser o registo ou a contabilidade. Também há vulnerabilidades nos sistemas operativas, as aplicações de firewall,… que costumam aplicar correções rápidas periodicamente perante novas ameaças.
E o segundo ponto é o nosso esquema de segurança, ou seja, como temos configurados os nossos equipamentos, as nossas redes, quem pode aceder a cada site,… para evitar as menos portas possíveis que nos coloquem em risco. E, na tendência atual de aceder à nuvem, devemos exigir estas mesmas garantias aos nossos fornecedores.
Mas há um grande problema… Por muito empenho na proteção e garantia de redes, aplicações, sistemas, no fundo, por trás de cada ecrã, há uma pessoa, para o bem e para o mal. Muitas das técnicas mais eficazes de ataque têm como base a engenharia social, no roubo de identidades que “enganam” os nossos utilizadores e abrem as portas aos nossos sistemas. E, nos últimos anos, com o teletrabalho, unido ao stress da pandemia e tudo o que temos tido, favoreceu este tipo de erros humanos. Aqui a solução é educação, educação e educação. Com as aplicações e o esquema de segurança, podemos minimizar os danos, mas ao educar os nossos utilizadores, poderemos minimizar os ataques.
Por muito empenho na proteção e garantia de redes, aplicações, sistemas, no fundo, por trás de cada ecrã, há uma pessoa, para o bem e para o mal.
Resumindo, há muitos fatores que afetam a nossa segurança e o pior deste tema é que os ataques e as consequências vão aumentando. Não estão todos os tipos de ataque, nem todas as formas de os prevenir, é impossível compilar todos num artigo, mas pretendia-se compilar uma pequena introdução à Cibersegurança e os seus focos, já que nem sempre é culpa da “máquina”, nem sempre é também culpa da pessoa.
