Empresas de todo mundo passaram a adotar um discurso sobre a questão da cibersegurança, no qual defendem uma padronizações e maior segurança, no entanto, pouco elas têm agido para criar e manter padrões significativos que evitem ou que respondam de forma eficientes esses ataques cibernéticos. Essa tese foi defendida pelo Purveyor Dark Intelligence e professor da Universidade de Nottingham, na Inglaterra, John Walker, durante o Cyber Security Summit Brasil 2018, que aconteceu nesta sexta-feira,27, em São Paulo.
"Precisamos de menos compliance e mais segurança. Também é preciso adotar Red Teaming, ou seja, se auto atacar para testar suas capacidades e vulnerabilidades", defendeu o especialista que possui um extenso currículo em Crimes Cibernéticos. John passou pelas Operações de Inteligência, Investigações e Contra-Inteligência da Royal Air Force, atuou como GCHQ e CESG nas Agências dos EUA e do Reino Unido, e foi ITSO e Segurança de Sistemas Gestor dos Sistemas Credenciados pela CIA.
Ele também ressaltou que possuir um plano de ação em casos de ataques é tão importante quanto prever os riscos. "A indústria de cibersegurança é ruim. As empresas têm dificuldades ao tratar as ameaças hoje em dia. Resposta a incidentes é a chave e é algo que precisa ser planejado com antecedência".
O especialista ainda lembrou até mesmo empresas que são consideradas modelo em cibersegurança também são alvos de ataques. Ele citou o caso da TalkTalk, no qual o pessoal do TI foi avisado sobre uma vulnerabilidade em seu sistema, mas ignoraram e foram hackeados. "Uma empresa que, em 2018, foi elogiada e considerada exemplo de infraestrutura e segurança".
Outra empresa citada por John foi a Tesco Bank, que foi considerada modelo de engenharia reversa. "Em 2016, 20 mil clientes tiveram suas contas invadidas por hackers em um sábado de manhã. Por que em um sábado? Porque poucas pessoas trabalham nesse dia", explicou.
Alguns problemas reais elencados por John Walker:
Self Survival: muitas empresas acreditam que não precisam se importar com ciberataques, bem como o cibercrime, e acham que são suficientes e acima de tudo.
Falta de conhecimento em novos motores de ameaça: falta de imaginação sobre as novas ameaças. É preciso pensar mais em defesa. Não podemos ter medo de inversão.
Certificação: apenas a certificação em segurança não é suficiente, é preciso também ter junto com a certificação habilidades para atuar com segurança cibernética.
Falsificação de credenciais: Infelizmente esse problema também é recorrente, de pessoas que conseguem certificação, mas depois usam isso para o cibercrime.
Falta de liderança e habilidades: hoje ouvimos que a segurança não é apenas uma questão de quem atua na área, mas de todas as pessoas. O público é o maior vetor desse assunto. Por isso, é sempre importante estar em contato com as pessoas para procurar entender o que acontece ao redor.
Pequenas Empresas: muitos ignoram pequenas empresas, mas elas também podem ser fontes de ciberataques. Isso não pode ser negligenciado.
Crime cibernético de ponta: o cibercrime está cada vez mais arrojado e ataca diversos tipos de sistemas como infosegurança, carros, hotéis, developement.
Resposta é a chave: a resposta a incidentes é a chave, e é algo que precisa ser planejado antes. Não pode ser de última hora.
Red Team: Testar suas capacidades e vulnerabilidades, treinar as pessoas.
Minority Reporting: É preciso ser proativo com si mesmo, atacar a si mesmo.
Tocar o intocável: É preciso conversar com quem está em risco.