Hoje, dia 19/09/21, assisti um vídeo muito interessante do canal Dinheiro com Você, tratando sobre o assunto Cyber Pandemia. O assunto é muito interessante, mas deixa muitas perguntas no ar.
Gostaria de compartilhar a minha visão, experiência (atuo na área) e algumas dicas técnicas.
Os ataques cibernéticos são uma realidade incontestável. Mas, o que separa a realidade da teoria de conspiração? E o que podemos fazer para nos proteger? Acreditem, não é tão complexo como vendem na Internet. A chave está na palavra “informação”.
Sem sombra de dúvidas, com a pandemia do SARs-COV-2 (ou COVID19), o home-office (trabalho em casa) ampliou a proporção do problema. No entanto, o problema já existia e continua explorando uma fragilidade antiga: “excesso de exposição desnecessária e desinformação”.
Já trabalho focado em acesso de Internet e “segurança da informação” (perfil de acesso) faz algumas décadas e o conflito sobre os diferentes níveis de acesso ainda é o mesmo de décadas atrás. Na realidade, conforme o tempo passou, aceitamos níveis de exposição cada vez mais altos. O fato é que a tecnologia vem avançando em ritmo muito mais acelerado que a segurança da informação.
Recentemente, visando ampliar a segurança da informação (dados), o governo brasileiro criou a LGPD (Lei de Proteção de Dados Pessoais). A iniciativa é boa, mas pouco efetiva na prática. Todos nós sabemos que devemos tomar cuidado com dados pessoais, como não divulgar o CPF (por exemplo). Porém, diferentes sistemas armazenam este tipo de informação e compartilham entre si. Na realidade atual, saber exatamente de onde um vazamento de informação partiu é praticamente impossível. Uma proteção realmente efetiva é contratar um serviço de monitoramento como o Serasa Premium (antigo Serasa Antifraude). Aliás, se você for MEI e trabalha com diferentes plataformas digitais é provável que já exista alguma exposição na Dark Web.
Ainda assim, o foco do cyber ataque em massa é outro…
De maneira geral, as pessoas anseiam por acesso a qualquer informação sem se preocupar com os riscos envolvidos. Até hoje, poucas empresas entendem (principalmente os Governos) a diferença fundamental que existe entre acesso doméstico e acesso corporativo – que, aliás, é a chave de todo o problema. Não subestimem a importância disto! Espero que fique claro no final deste artigo.
Para melhor compreensão, entendam que uma rede de computadores pode ser subdivida em rede privada ou rede local (acesso interno apenas) e rede pública (endereços com exposição remota (na Internet)). O “grande problema” (ou também, em algumas situações, vantagem) é que as duas redes podem coexistir simultaneamente.
A Internet provê uma infinidade de ferramentas que são consideradas essenciais nos dias atuais. A grande questão reside na decisão de como ou quando trabalhar com estas ferramentas sem expor desnecessariamente a segurança da rede privada (dispositivos internos de sua casa ou escritório – de impressora à servidores de aplicação).
E, como se não bastasse, ainda existe um movimento de ampla exposição através da Internet das Coisas (IOT) – são equipamentos domésticos ou também dispositivos de casa inteligente com exposição direta à Internet (quando cada equipamento apresenta um IP público). Não se iluda, poucos administradores de rede se preocupam com o isolamento físico destas redes.
Estão percebendo onde quero chegar?
A liberdade e a facilidade de acesso são inversamente proporcionais a segurança! Quanto mais fácil, livre e amplo for o acesso, mais sensível será a sua rede.
Com a pandemia, o problema se agravou. Para facilitar o acesso remoto aos funcionários, as empresas disponibilizaram acesso remoto à rede local por meio de VPNs (redes virtuais privadas). Não se preocupem com os aspectos técnicos que estão envolvidos, apenas entendam que uma VPN permite conectar o computador de sua casa à rede do escritório ou interconectar redes distantes geograficamente. Acreditem, este ainda NÃO é o maior problema.
Por mais incrível que possa parecer, o grande problema está na forma como os acessos remotos são concedidos (tanto da rede local para Internet como da Internet para a rede local). Infelizmente, é o seu colaborador que abrirá as portas da sua empresa para o mundo (no pior sentido)!
Talvez, muitos de vocês pensem que já entenderam a situação, mas duvido muito!
Pela emergência do momento, muitos administradores concederam acesso direto ao ambiente de rede da empresa quando na verdade deveriam ter permitido acesso restrito apenas ao computador interno em que cada colaborador costuma trabalhar (sem incluir compartilhamentos de rede). Assim, o perfil de acesso interno permaneceria exatamente o mesmo. A pressão costuma ser grande entre gestores e desenvolvedores de software.
Pois é, facilitar o acesso globalmente é sempre mais fácil, rápido e extremamente inseguro!
Mas, o problema não parou aí.
Muitas empresas intercalaram o trabalho presencial com o home-office. Então, internamente, também surgiu uma demanda muito maior por liberação de ferramentas de comunicação em grupo e vídeo conferência. Dependendo do número de empresas parceiras ou perfil de filial, foi necessário tratar mais de uma ferramenta para o mesmo propósito.
Infelizmente, não é tão fácil tratar tantas alternativas de acesso correndo contra o tempo!
Novamente, para facilitar o vida dos administradores e tratar a urgência do momento, inúmeras empresas, governos e instituições, afrouxaram os controles de acesso que eram “granular” (nem sempre) para permitir a utilização completa das diferentes ferramentas que vinham sendo solicitadas. Não se trata de achismo, presenciei inúmeras vezes o que estou dizendo.
Ainda assim, tudo isto só ampliou um problema que já existia.
Bem antes da pandemia, por exemplo, um grande hospital da cidade em que moro sofreu ataque de ransomware e precisou paralisar todos os seus sistemas por mais de um dia. Na época (por indicação do meu cunhado), fui contactado pela equipe de TI do hospital – não estou falando apenas sobre algo que ouvi dizer.
Um ransomware atua de forma “semelhante” a um vírus (com maior apelo financeiro), procurando se replicar explorando vulnerabilidades na rede e encriptando áreas de dados que costumam ser liberadas apenas mediante pagamento em criptomoedas. Ou seja, o foco principal é o sequestro digital. Percebam que, com maior apelo financeiro, a tendência é que o desenvolvimento de novos ransomwares aumente cada vez mais.
Vale lembrar que qualquer administrador de redes, com mais de 3 anos de experiência, acompanhou o estrago causado pelo primeiro ransomware, em 2017, com alcance mundial que foi identificado como WannaCry. Apesar do alto poder de replicação em rede, o alcance na America Latina não foi tão grande. Logo, este já seria o motivo suficiente para começar as teorias de conspiração.
Infelizmente, as pessoas costumam ignorar os riscos até que o problema bata a sua porta!
No Brasil, a repercussão aumentou depois da divulgação do incidente em Instituições Públicas Federais como o Tribunal de Justiça. Porém, a verdade é que as esferas estaduais e municipais também foram afetadas, mas nem sempre divulgam. Agora a “atenção mundial” tomou grandes proporções porque o governo norte-americano também vem sofrendo as consequências deste tipo de ataque com maior frequência.
Acredite você ou não, a solução pode ser mais “simples” que parece e está na compreensão correta de perfil de acesso. Dentro de uma rede corporativa, o perfil de acesso de Internet não pode ser equivalente ao perfil de acesso doméstico. O difícil é conscientizar grande parte dos colaboradores e até alguns gestores.
Não estou afirmando que seja impossível, mas este tipo de incidente costuma ser bastante raro entre grandes Bancos porque o acesso de Internet dos colaboradores é extremamente restritivo, incluindo o controle de acesso aos recursos locais dos equipamentos de trabalho. Segundo informação de outros administradores de rede que conheço, o mesmo pode ser observado no perfil de acesso nas redes do Exército Brasileiro.
Por outro lado, o que vemos nas demais instituições públicas e algumas empresas é justamente o inverso (restringem muito pouco, isto quando restringem).
Confiram algumas medidas simples:
- Sistemas críticos não deveriam permitir exposição direta à Internet.
- Sistemas críticos não podem permitir a entrada de conexões novas de endereços de rede que sejam dinâmicos.
- Sistemas críticos precisam ter navegação (saída de Internet) extremamente restritiva (liberação pontual por whitelist).
- A atualização do Sistema Operacional ou aplicações críticas deve ser tratada pontualmente e autorizada no instante exato.
- O segmento de rede de dispositivos IOT (Internet das Coisas) não pode estar conectado ao segmento de rede principal de sua empresa.
- Se houver alguma demanda por acesso mais flexível, crie um segmento de rede a parte e completamente isolado para este propósito.
- Conscientize seu colaboradores de que não estão em casa.
Vou repetir: é o seu colaborador que abrirá as portas da sua empresa para o mundo (no pior sentido)!
Você pode contar com a melhor consultoria do mundo, porém se alguém com acesso irrestrito permitir a instalação de um ransomware em sua rede, terá que lidar com uma paralisação de alguns dias até estabilizar todos os sistemas novamente.