Quando as ameaças já estão dentro das organizações

Quem anda no mundo da cibersegurança sabe que não é apenas através de sistemas extremamente complexos, atacantes superinteligentes e métodos complicados que se ataca uma organização. Por vezes, o simples carregar de uma ligação num simples email coloca em xeque toda a empresa.

Na larga maioria das vezes, carregar numa ligação não é uma ação intencional para colocar em risco toda a organização, mas sim uma desatenção ou uma falta de cultura de ciberhigiene que, na verdade, ameaça a operação da empresa.

Mas há também quem, intencionalmente, rouba informação da empresa, seja por desacordo com a própria empresa, seja por uma motivação financeira. Todas estas ameaças são tão importantes quanto o tal sistema extremamente complexo e os tais métodos sofisticados que, eventualmente, encontram uma brecha na organização para roubar tais informações confidenciais.

Paulo Pinto, Business Development Manager da Fortinet Portugal, relembra que uma ameaça interna “é um tipo de ciberataque provocado por um indivíduo que trabalha para uma organização ou tem acesso autorizado às suas redes ou sistemas”.

Rui Duro, Country Manager da Check Point Software Technologies em Portugal, explica que as ameaças internas “podem ser intencionais, como um ataque deliberado, ou não intencionais, como neglicência ou erro humano que resulta em exposição não autorizada de informações”.

David Grave, Security Director da Claranet Portugal, diz que, quando se fala de ameaças internas, fala-se de qualquer tipo de atividade maliciosa provocada por um membro de uma organização, onde se incluem “funcionários ou ex-funcionários que podem aceder, divulgar ou roubar informações confidenciais”.

Aaron Bugal, Field CTO APJ da Sophos, explica que, ainda que “haja muitas circunstâncias diferentes possíveis, qualquer pessoa pode ser uma ameaça interna” numa organização.

As ameaças (internas) comuns

Rui Duro, da Check Point, diz que, neste momento, há uma “variedade de ameaças internas que podem comprometer a segurança dos ativos digitais” e, como tal, “é importante reconhecer a importância de estar sempre um passo à frente desses desafios”. Estas ameaças dizem respeito a acesso não autorizado, a phishing interno – que leva à divulgação inadvertida de informações confidenciais –, ao furto de dados, à negligência, ao malware interno e à privacidade e conformidade.

	“Há várias práticas que permitem antecipar e/ou detetar ameaças internas com relativa rapidez, dependendo da sua natureza e da forma como estão dissimuladas” David Grave, Security Director da Claranet Portugal

David Grave, da Claranet, separa os tipos mais comuns de ameaças internas em três categorias: furto de dados, acesso não autorizado e erro humano. “No caso do roubo de informações confidenciais sobre os negócios, os clientes e os funcionários, pode causar grande prejuízo à organização, passando ideias, números financeiros, contactos de clientes e projetos a concorrentes, por exemplo. Já o acesso não autorizado a sistemas e redes, normalmente protagonizado por funcionários mal-intencionados, pode resultar na “navegação” por áreas restritas de uma rede, na instalação de software malicioso ou na utilização de credenciais roubadas, comprometendo os sistemas. Por fim, a execução de ações incorretas, atitudes de negligência ou a falta de formação dos colaboradores podem comprometer a segurança dos dados e da rede da organização”, afirma David Grave.

Para além das ameaças intencionais e não intencionais, Paulo Pinto, da Fortinet, acrescenta ainda as ameaças maliciosas, que são “uma forma de ameaça interna intencional que pretende causar danos para benefício pessoal ou como um ato de vingança. As ameaças maliciosas de pessoas com informação privilegiada têm como objetivo a fuga de dados sensíveis, o assédio a diretores de empresas, a sabotagem de equipamentos e sistemas empresariais ou o roubo de dados para tentar progredir nas suas carreiras. Muitas destas ameaças maliciosas têm motivações financeiras, uma vez que os colaboradores roubam dados da empresa para os vender a hackers, organizações terceiras ou empresas rivais”.

Aaron Bugal, da Sophos, refere que “a fuga e a perda de dados são riscos muito comuns que as empresas enfrentam – sobretudo quando se trata de algum informador a causar danos. Em muitos casos, as fugas e perdas podem acontecer acidentalmente – por exemplo, através da utilização da opção 'responder a todos' a uma mensagem de email de origem externa, ou da perda de um computador portátil não encriptado, ou de um dispositivo de armazenamento em massa com dados relevantes, e que podem depois ser encontrados por qualquer pessoa”.

Os fatores internos que mais contribuem

David Grave considera que alguns dos fatores que levam os colaboradores a tornarem-se ameaças internas incluem “a falha na implementação de políticas e procedimentos de segurança da informação, incluindo a falta de atualizações de software e hardware, recursos e formação. Por outro lado, a implementação de políticas de segurança muito restritivas, que os funcionários consideram invasivas, pode levá-los a contorná-las, muitas vezes por falta de conhecimento. O sentimento de descontentamento, de insatisfação ou mesmo um simples descuido por parte de funcionários também dá origem a comportamentos intencionais contra a organização”.

Ameaça interna “é um tipo de ciberataque provocado por um indivíduo que trabalha para uma organização ou tem acesso autorizado às suas redes ou sistemas” Paulo Pinto, Business Development Manager da Fortinet Portugal

Paulo Pinto, por sua vez, relembra que, “como em qualquer outra relação, a dinâmica colaborador-entidade empregadora muda com o tempo. Pequenos ressentimentos e queixas podem acumular-se e transformar-se em rancores contra a empresa e/ou a equipa de liderança”, como o não cumprimento de promessas, a desvalorização do trabalho ou não ouvir sugestões.

Para Aaron Bugal, é claro que “as pessoas” são o principal fator de ameaça interno nas organizações. “Os colaboradores, tanto antigos como atuais, são o maior risco interno para qualquer organização. São as pessoas que normalmente clicam em emails de phishing, inserem dispositivos USB aleatórios nos ativos da empresa e configuram mal ou não fazem a manutenção correta dos ativos digitais que têm em sua posse, entre outras possibilidades, aumentando a superfície de ataque e gerando oportunidades para que algo mau aconteça”, explica.

Rui Duro destaca o comportamento humano e a gestão inadequada dos recursos internos como os principais fatores que aumentam a ameaça interna das organizações. “A falta de consciencialização dos funcionários sobre práticas seguras, a negligência em seguir políticas de segurança e a iliteracia cibernética são fatores-chave”, diz o executivo, acrescentando que “a má gestão de acessos e privilégios, a ausência de uma monitorização efetiva das atividades dos utilizadores e a falta de uma cultura organizacional centrada na segurança, podem criar vulnerabilidades internas significativas”.

Melhores práticas para detetar ameaças

Paulo Pinto alerta que, “se as organizações souberem como identificar as táticas e ferramentas” que uma pessoa infiltrada utiliza para atacar, então “podem detetar o ataque tão cedo quanto possível e tomar medidas para o atenuar”, como backdoors, hardware ou software que permite o acesso remoto, palavras-passe alteradas ou alterações não autorizadas a firewalls e ferramentas antivírus. No entanto, além dos sinais mais técnicos, é importante ter atenção aos indicadores humanos, como “o mau humor constante no local de trabalho ou queixas incessantes, que podem ser precursores de uma ação de ‘lobo solitário’ por parte de um colaborador para prejudicar a empresa a partir do interior”.

	“Se adotarmos uma abordagem de cima para baixo para manusear melhor as informações que geramos e/ou extraímos dos nossos clientes, e as armazenarmos em segurança e sem acesso fácil, desenvolveremos uma cultura na qual as informações devem ser sempre protegidas, e teremos sempre presente uma atitude protetora em relação ao tratamento de dados” Aaron Bugal, Field CTO APJ da Sophos

Aaron Bugal assume que “esta é a questão mais difícil de resolver e implementar”, uma vez que as organizações “têm de conseguir alcançar o equilíbrio delicado entre educar os colaboradores e desenvolver uma atitude e cultura positivas no sentido de serem ciber-resilientes. Para além disso, também têm de implementar processos claramente articulados para ajudar a manter e difundir esta cultura, e selecionar as tecnologias mais adequadas às pessoas e aos processos para reduzir as ameaças e minimizar os riscos”.

Para Rui Duro, é importante implementar práticas e soluções avançadas para fazer o reconhecimento prévio de ameaças, como monitorização contínua, gestão de identidade e acesso, soluções de prevenção de ameaças avançadas, políticas de segurança claras e atualizações regulares.

David Grave, diz, também, que “há várias práticas que permitem antecipar e/ou detetar ameaças internas com relativa rapidez, dependendo da sua natureza e da forma como estão dissimuladas”, como monitorização de atividades suspeitas, controlo de acesso e auditoria interna dos sistemas.

Privacidade e monitorização

Aaron Bugal, da Sophos, explica que é preciso existir “uma delimitação clara entre a vida privada e a vida profissional de um colaborador, e os ativos da empresa atribuídos a um colaborador devem ser apenas isso: ativos da empresa. Realizar atividades pessoais nos dispositivos da empresa deve ser aceitável, sendo que o bom senso dos colaboradores deve prevalecer quando têm de decidir ao que vão aceder e o que vão fazer num dispositivo que não lhes pertence. Como tal, se pretendem manter a privacidade das suas atividades pessoais, devem recorrer a dispositivos e redes alternativos, tendo de compreender que os ativos da empresa podem ser monitorizados por esta”.

“A falta de consciencialização dos funcionários sobre práticas seguras, a negligência em seguir políticas de segurança e a iliteracia cibernética são fatores-chave” Rui Duro, Country Manager da Check Point Software Technologies em Portugal

Já Rui Duro diz que o equilíbrio entre a privacidade dos colaboradores e a necessidade legítima de monitorizar atividades suspeitas será “um dos desafios mais complicados e, ao mesmo tempo, importantes para as organizações”. Assim, as empresas precisam de ter políticas transparentes, princípios de necessidade, anonimização de dados, ferramentas de monitorização contextual e formação de consciencialização em cibersegurança e ciberhigiene.

Para David Grave, da Claranet, é importante estabelecer “políticas claras de privacidade e segurança” e fornecer formação adequada aos colaboradores. No entanto, acima de tudo, é preciso ter informação transparente sobre os seus direitos e expectativas. “É importante que as empresas realizem uma revisão das suas políticas e sistemas de segurança da informação, verificando a conformidade com as leis relevantes e as políticas internas”, diz.

Paulo Pinto defende, também, que é necessário manter “uma comunicação transparente e aberta com os colaboradores” para que “não sejam levantadas questões éticas e morais entre a privacidade do colaborador e a segurança da empresa” e, também, do próprio trabalhador. “É importante que os colaboradores percebam a importância desta monitorização para prevenir e mitigar possíveis ataques”, acrescenta.

Mitigar as ameaças internas

Para mitigar as ameaças internas, diz Rui Duro, da Check Point, “é essencial adotar uma abordagem abrangente que englobe políticas, tecnologia e cultura organizacional”, estabelecendo políticas de segurança claras e comunicando-as de forma eficaz. Depois, também é necessário monitorizar as atividades dos utilizadores através de ferramentas especializadas e realizar avaliações periódicas de risco que permitem a identificação e a correção proativa de vulnerabilidades. Por fim, a resposta a incidentes deve ser ágil, com planos bem definidos e testados regularmente.

Já David Grave aponta quatro práticas que considera necessárias para as organizações mitigarem as ameaças internas: adoção de uma cultura de segurança da informação; definição de políticas claras de segurança da informação; implementação de sistemas de controlo de acesso; e monitorização e auditoria regulares dos sistemas de IT.

Aaron Bugal indica que é necessário “gerir as expectativas relativamente à forma como as informações internas são tratadas. Esta questão é de importância crucial neste momento, e é um sinal de que muitos governos estão a definir e a fazer cumprir os regulamentos e as leis de proteção de dados. Se adotarmos uma abordagem de cima para baixo para manusear melhor as informações que geramos e/ou extraímos dos nossos clientes, e as armazenarmos em segurança e sem acesso fácil, desenvolveremos uma cultura na qual as informações devem ser sempre protegidas, e teremos sempre presente uma atitude protetora em relação ao tratamento de dados”.

Por último, Paulo Pinto, da Fortinet, diz que é necessário formar os colaboradores, implementar ferramentas que possam monitorizar o comportamento e as atividades dos utilizadores, segmentar a rede, implementar um processo de data loss prevention, reforçar o identity and access management e utilizar multifactor authentication e, por fim, utilizar tecnologias de engano e honeypots. No entanto, relembra, “não existe uma poção mágica que acabe com as ameaças internas”.