O efeito dominó na cibersegurança

Isto começou a levantar uma série de questões dentro das organizações e a nível individual e global mas, na verdade, não se trata de nada que já não tivéssemos previsto.

Entre outras consequências, estes ciberataques vão começar a tornar mais visíveis as fraquezas nas dependências sistémicas, como uma peça de dominó que é o mote para derrubar todas as outras. Em outubro de 2021, a interrupção de algumas horas no funcionamento do Facebook lembrou-nos (ou devia ter-nos lembrado) das muitas dependências sistémicas que existem neste cibermundo e das quais, até que este tipo de acontecimentos ocorram, não estamos conscientes.

Mas, para entendermos exatamente de que forma isto funciona, temos de ter em mente que o risco sistémico é aquele se encontra inerente à complexidade dos sistemas digitais. Utilizando um prédio como exemplo, um risco sistémico poderia ser a porta do prédio, ao ser deixada aberta por um estafeta que veio entregar uma encomenda a um dos moradores. Nesta analogia em específico, a proteção individual de cada habitação iria determinar o grau de risco a que cada um estaria exposto. Contudo, como somos dependentes de uma estrutura partilhada (neste caso, as áreas comuns do prédio), uma brecha de segurança nestas áreas pode colocar em causa a segurança de cada uma das partes. 

Um exemplo simples destas dependências prende-se com a utilização de uma conta para aceder a outras contas ou sistemas (como utilizar o Facebook para efetuar login no Spotify ou utilizar o Apple ID no telefone, computador, relógio, televisão…). Quando um dos sistemas fica comprometido, há a possibilidade de comprometer os restantes. Isto porque, deixando de ter acesso ao sistema que utilizamos para fazer login, podemos também deixar de ter acesso aos sistemas que dele dependem. A questão pode ainda ser mais grave, caso os dados de acesso a um dos sistemas sejam comprometidos - por sua vez, vão comprometer os outros.

As dependências sistémicas são de facto interessantes para os hackers, uma vez que, por norma, as pessoas e as empresas protegem as suas contas mais importantes (por exemplo, a do banco), mas são mais lenientes no que toca a outras (por exemplo, as redes sociais). Ora, se for utilizado o mesmo login para o e-mail e para uma rede social (que foi hackeada), abre-se espaço para que alguém mal intencionado consiga aceder a informação mais sensível.

Os hackers têm vindo a explorar partes específicas de sistemas complexos por esse mesmo motivo. Descobriram também que paralisar um sistema e prejudicar a capacidade de funcionamento de uma organização é uma ferramenta poderosa de ataque, sem ter como alvo direto as partes mais protegidas e que chamam mais à atenção quando as suas falhas de segurança estão a ser exploradas.

Compreender e proteger as ‘jóias da coroa’ é um conselho básico de cibersegurança, mas não é suficiente. É necessário também entender e existir proteção contra este risco sistémico, que pode partir de um ativo que não é considerado importante o suficiente.

No futuro - e estamos a falar de um futuro muito próximo -, podemos assistir a mais ataques e interrupções de funcionamento que explorem estas interdependências. E, assim que cai a primeira peça do dominó, não há muito a fazer em relação às restantes