Os ataques cibernéticos estão nas manchetes. Todos os tipos de organizações – de Target, Yahoo!, Sony Pictures e Bangladesh Bank ao Comitê Nacional Democrata nos Estados Unidos – têm sido vítimas deles nos últimos anos. Como compreender melhor as ameaças à segurança cibernética e o que fazer para proteger as empresas?
O especialista em segurança cibernética Stuart Madnick, professor do Massachusetts Institute of Technology (MIT), oferece algumas respostas. Nesta entrevista, ele faz uma afirmação que pode surpreender muitos executivos: “Se você não abordar os aspectos gerenciais, organizacionais e estratégicos da cibersegurança, estará negligenciando as partes mais importantes”.
Saiba mais sobre STUART MADNICK
Quem é: professor de tecnologias de informação da MIT Sloan School of Management e de sistemas de engenharia da MIT School of Engineering.
Relação com cibersegurança: ele é diretor do consórcio interdisciplinar do MIT voltado para melhorar a cibersegurança de infraestrutura crítica, conhecido como IC, que reúne também empresas e especialistas governamentais.
Experiência: estuda segurança digital há muito tempo. Seu primeiro livro sobre o assunto foi lançado em 1979.
**Por que o consórcio de cibersegurança do MIT, que o sr. lidera, escolheu se concentrar na infraestrutura crítica dos Estados Unidos?**
Grande parte da preocupação sobre cibersegurança se concentra em eventos como fraudes com cartões de crédito – o que é importante, claro, e não negligenciamos isso. No entanto, surpreendentemente pouca atenção tem sido dada aos ataques cibernéticos à infraestrutura de um país, aquela essencial para que a economia e a vida cotidiana funcionem.
Você não ouviu muito sobre a explosão do oleoduto turco ou o colapso da usina de aço alemã, não é? E sobre o ataque cibernético à rede elétrica ucraniana que aconteceu perto do Natal de 2015? Provavelmente não também.
Esses eventos envolvendo ataques à infraestrutura não recebem muita atenção da mídia. Eles não são tão “sexy” quanto e-mails das estrelas de cinema sendo revelados, mas seu impacto tende a ser muito maior.
Isso não significa que vamos ignorar o resto, mas achamos que precisamos aumentar a atenção que prestamos à segurança cibernética da infraestrutura crítica.
Algumas coisas são particularmente únicas nesse tipo de ataque. Pense em prevenção, por exemplo. E se um ciberataque fizer com que a rede elétrica do estado da Nova Inglaterra caia e permaneça caída por três meses? Que tipo de prevenção o governador de Massachusetts, o prefeito de Boston ou o MIT elaboraram para ficar três meses sem energia, já que esta vem de lá? A resposta é provavelmente “insuficiente”.
Ficar sem energia por tanto tempo não é uma ideia absurda e tem consequências graves. Se seu computador pessoal apaga por um tempo, o que você faz quando a energia volta? Você o reinicia. Se isso não funciona, você o reformata e reinstala o sistema. Mas imagine se uma turbina de usina elétrica quebra por causa de um ciberataque. Você não pode simplesmente ir até a loja de turbinas do bairro.
A usina de cogeração do MIT teve uma falha de turbina recentemente – não por um ciberataque, mas por um problema mecânico provocado por uma peça defeituosa. E levou três meses para reparar a turbina! Essas coisas são enormes e muita coisa não está disponível para pronta-entrega.
**O que os executivos podem fazer para diminuir as vulnerabilidades de segurança cibernética de suas empresas?**
Se você não abordar os aspectos gerenciais, organizacionais e estratégicos da cibersegurança, estará negligenciando as partes mais importantes. Muitas pessoas estão trabalhando no desenvolvimento de hardware e software para segurança mais eficientes, e isso é bom. Entretanto, é apenas uma peça do quebra-cabeça.
Estima-se que entre 50% e 80% de todos os ciberataques são ajudados ou instigados por _insiders_, em geral sem intenção – tipicamente por meio de algum tipo de _phishing_ [fraude que envolve e-mails falsos contendo um link ou anexo para clicar]. Os e-mails de _phishing_ de massa não direcionados têm taxa de abertura de 1% a 3%. No entanto, o _spear phishing_, altamente direcionado, é muito mais eficaz, com taxa de abertura de cerca de 70%.
No _spear phishing_, você recebe um e-mail que parece vir de um executivo do alto escalão de sua empresa, que se refere a você pessoalmente e lhe pede que tome alguma ação específica condizente com sua função, como autorizar o acesso de um novo funcionário ou transferir fundos para um novo fornecedor.
Portanto, se você não abordar as questões de pessoal, estará ignorando os problemas de cibersegurança realmente difíceis. Muitas das vulnerabilidades que existem nas organizações vêm da cultura corporativa que criamos e das práticas que temos.
Dou alguns exemplos. Trabalhamos com refinarias de petróleo e uma pessoa que visitou a sede de uma delas me contou que, se você estiver subindo ou descendo as escadas sem segurar o corrimão, alguém vai lhe dizer: “Por favor, apoie-se no corrimão, por segurança” – esse conceito de segurança já está entranhado. Se você estiver andando pelo corredor digitando em seu celular, alguém vai alertá-lo: “Pare. Ou você escreve ou você anda. Não faça as duas coisas”. Isso porque eles entendem que, se fizerem algo errado, a fábrica pode explodir e pessoas podem morrer. A organização está impregnada dessa mentalidade de segurança.
Quando você entra em qualquer planta industrial, frequentemente vê uma placa dizendo: “Estamos há 520 dias sem acidentes”. É a prova cabal da cultura de segurança disseminada.
Agora, você alguma vez entrou em um centro de dados e viu uma placa dizendo: “Estamos há 520 milissegundos desde o último ataque cibernético bem-sucedido”? Você ao menos sabe quantas tentativas de ciberataques acontecem em sua empresa em um dia normal? Não.
As organizações precisam desenvolver na segurança cibernética o mesmo tipo de cultura e mentalidade que têm em relação a acidentes de trabalho.
Eu posso colocar uma trava mais forte em minha porta, mas, se ainda deixo a chave sob o tapete, realmente tornei minha casa mais segura? Embora seja uma simplificação exagerada, é isso que ocorre nas empresas: estamos construindo portas mais fortes, mas deixando chaves em toda parte. É por essa razão que os aspectos organizacionais e gerenciais da cibersegurança são tão críticos.
**A cibersegurança tem de ser feita só na empresa ou em toda a sua cadeia de valor?**
Em toda a cadeia. As pessoas costumam usar a expressão “e2e” (_end to end_), de ponta a ponta. Sua peça do quebra-cabeça pode ser perfeitamente segura, mas, hoje em dia, todo mundo está interligado de uma forma ou de outra.
A varejista Target sofreu uma invasão por meio de uma empresa de manutenção de aquecimento, ventilação e ar-condicionado, que teve acesso a alguns de seus sistemas. A plataforma de mensagens Swift, para instituições financeiras, foi usada para explorar vulnerabilidades do Bangladesh Bank, que perdeu US$ 63 milhões com o caso.
**A didática história do ciberataque na Ucrânia, por Stuart Madnick**
A Ucrânia tem várias redes de energia elétrica separadas, muito parecidas com as dos EUA [e do Brasil]. Em dezembro de 2015, três dessas redes foram atacadas e caíram, e cerca de 225 mil pessoas ficaram sem energia por muitas horas.
Vários especialistas, particularmente dos EUA, foram à Ucrânia para entender exatamente o que aconteceu, eu incluído. Fiquei particularmente surpreso com duas das conclusões dos investigadores:
1. O ataque foi pouco sofisticado e, em certa medida, simples de replicar. Os hackers usaram sete técnicas para derrubar a rede elétrica, e todas estavam prontamente disponíveis para venda na internet. Nenhuma nova arma precisou ser desenvolvida; existe um enorme ecossistema de cibercrime operando na internet.
2. O ataque foi extremamente bem organizado. Os hackers montaram as sete armas em conjunto e fizeram coisas muito inteligentes. Eles não só derrubaram a rede elétrica, como desligaram o sistema de backup, por isso a empresa de energia teve dificuldade para voltar a operar. Também apagaram todos os discos rígidos, o que dificultou rastrear o que tinham feito. E eles ainda sobrecarregaram o centro de chamadas da provedora de energia para que os clientes não pudessem avisar da falta de luz.
**O sr. vê algum setor de atividade fazendo um bom trabalho na gestão de cibersegurança?**
Eu classificaria os setores de ruins a terríveis. Nessa escala, os serviços financeiros provavelmente estão fazendo um trabalho melhor do que a maioria das outras indústrias. Por outro lado, são eles os alvos do maior número de ataques. Assim, mesmo que sejam duas vezes melhores na segurança cibernética, se sofrem quatro vezes mais ataques, não estão bem.
Eu não sei qual setor é o mais fraco, mas os hospitais claramente estão disputando essa posição. Falemos dos ataques de ransomware, nos quais os computadores ficam “reféns”, a menos que os usuários paguem. Segundo um relatório recente, 88% de todos os ataques desse tipo em organizações ocorrem em hospitais, porque eles são alvos fáceis. Se um hospital está com seu sistema bloqueado por um _ransomware_, ele paga o resgate.
Afinal, se seus computadores foram sequestrados, os pacientes estão em maior risco: a equipe não tem mais acesso a registros médicos atualizados, como resultados de exames e alterações de medicação, o que pode colocar a vida das pessoas em risco.
**Que conselhos o sr. gostaria de dar aos executivos nessa área?**
Que pensem em uma abordagem com três vertentes: prevenção, detecção e recuperação.
Prevenção é importante, mas não foi à toa que o Gartner Group recentemente publicou um relatório intitulado “Prevenção será inútil em 2020”. Isso é coerente com o que penso: se o Pentágono pode ser invadido, se a NSA [agência de segurança nacional dos EUA] pode ser hackeada, se as forças de defesa israelenses podem ser invadidas, por que você acha que sua empresa não vai ser atacada?
Prevenção é importante, mas é preciso dar todos os três passos. Sabia que,de acordo com vários estudos, uma ciberinvasão pode levar mais de 200 dias para ser detectada? Eu li um relatório recente que diz que na Ásia essa média é de 520 dias – mais que o dobro. Ou seja, detecção é fundamental; nossa capacidade de detectar que algo estranho está acontecendo é muito fraca.
No momento em que você descobre um ataque, os hackers provavelmente já reviraram tudo, roubaram documentos e fizeram um monte de coisas por bastante tempo.
Eu brinco que, se todos os dias, às 4 horas da tarde, uma das pessoas que saem de um banco saísse com um carrinho de mão cheio de dinheiro, você acha que alguém notaria depois de alguns dias? Sim, provavelmente! Mas coisas como essas acontecem o tempo todo em sistemas de computador e ninguém está prestando atenção. Talvez não seja tão visual.
Já a recuperação é feita muito ao acaso. Em geral, um CEO é pego despreparado quando alguém empurra um microfone na frente dele para falar sobre o ciberataque que foi descoberto em sua empresa. E isso é apenas parte da recuperação. Outras questões precisam ser descobertas: realmente limpamos nosso sistema ou o ataque ainda está acontecendo? Como ter certeza de que isso não acontecerá de novo semana que vem?
A maioria das organizações é pobre na prevenção, muito ruim na detecção e terrível na recuperação.
Outra brincadeira que faço é que, até pouco tempo atrás, a cibersegurança era uma tarefa que você atribuía ao estagiário assistente do programador júnior, e seu trabalho era ir de PC em PC para instalar os patches mais recentes da Microsoft. Agora vemos o CEO da empresa falando na TV quando um ciberataque é descoberto. Houve uma inversão total!
Várias perguntas devem ser respondidas: qual é a educação sobre cibersegurança necessária em cada nível da organização? Qual é a preparação necessária? Como lidar com esses ataques? Os executivos precisam levar essas questões a sério.