O flagelo do ransomware

Durante o mês de dezembro, a IT Security, com o apoio da WatchGuard Technologies, realizou um fórum dedicado ao tema do ransomware e da crescente ameaça junto das organizações.

Representantes de várias organizações a operar em Portugal – nomeadamente da CCA, da CM Amadora, da CM Oeiras, da EPAL, da ERC, do Grupo Brodheim, do KuantoKusta, da Orey, da Polisport, da Universidade de Évora, da Vishay, da Worten e da própria WatchGuard – partilharam as suas experiências num cenário onde há cada vez mais ameaças contra a operação que as organizações levam a cabo.

Admitindo que as ciberameaças são cada vez maiores, os participantes desta mesa-redonda partilharam o seu próprio conhecimento e a sua experiência com diferentes realidades ao longo dos últimos anos.

António Monteiro, Head of IT and Innovation, Grupo Brodheim: “O ransomware – sobretudo nos últimos dois anos – tem tido um aumento exponencial no ataque a várias organizações. Este contexto atual contribui muito para isso; temos uma rede de utilizadores muito distribuída, com teletrabalho e com todas as preocupações que resultam desse ambiente, e houve uma grande preocupação das organizações em cibersegurança e especificamente com ransomware. Naturalmente, temos de ter uma preocupação muito centrada na infraestrutura e conseguir chegar ao endpoint”

André Alves, Diretor da área de Security, Worten: “Os ataques são cada vez mais evoluídos. Já não estamos perante uma ameaça de um ator isolado, que está numa cave a fazer ataques; estamos perante ameaças de organizações bem financiadas, com capacidades humanas bastante evoluídas. Já temos modelos de negócio no ransomware, como o Ransomware-as-a-Service; hoje, qualquer pessoa, mesmo com poucos conhecimentos, pode contratar um serviço destes para atacar uma empresa. Na realidade, todos estamos expostos, independentemente da dimensão da organização; risco zero não existe”

Martim Bouza Serrano, Advogado (Data Protection Team), CCA: “Os ciberataques não se podem resolver por lei e não há propriamente nenhuma solução legal ou jurídica. Do ponto de vista legal, aquilo que terá mais impacto serão as políticas internas, dos colaboradores. Aquilo que sinto é que o próprio IT vive muito dentro do próprio IT; é essencial formas as equipas, mas também é essencial incluir a própria atividade do IT em toda a estrutura. Muitas vezes, chegamos às empresas e, ainda que tenham políticas escritas, não estão propriamente partilhadas dentro da organização e ninguém sabe”

Ricardo Madeira Simões, Chefe de Divisão de Sistemas e TIC, CM Amadora: “A gestão de topo deve estar envolvida e ter consciência que estas questões não acontecem só aos outros. Devemos, também, ter soluções que garantam que a informação está sempre disponível, como por exemplo, ter snapshots garantidos por backups ou soluções de virtualização e ter soluções de backups implementadas e com planos testados, com testes de restore que por vezes não é considerado e quando queremos repor a informação não corre bem. Se possível, também é importante ter uma solução de disaster recovery implementada”

Joaquim Godinho, Diretor dos Serviços de Informática, Universidade de Évora: “Há que apostar, tendo em conta o que é a evolução dos ciberataques, em duas perspetivas importantes. Uma é a organização, como nos organizamos, como definimos políticas e as implementamos desde o topo até ao utilizador final. O outro aspeto é a prevenção e hoje é cada vez mais importante prevenirmos, anteciparmos e estar um bocadinho à frente dos ataques que possam vir a surgir. Esta prevenção tem de atuar ao nível tecnológico, mas também ao nível das pessoas”

Sérgio Trindade, IT Director & Digital Transformation, EPAL: “O observatório de cibersegurança – assim como a nossa própria observação – aponta claramente para um crescimento que não é só de agora, mas de há vários anos. Talvez fruto de muita gente ir para casa e alguns cuidados terem baixado, tem existido um crescimento abrupto daquilo que é o nosso principal indicador de segurança. Nenhuma organização pode estar a salvo e acreditamos que o que resta é incrementar o nosso nível de proteção, não só tecnológico, mas também de awareness”

Renato Ribeiro, CIO, Grupo Polisport: “Tem havido um crescimento [de ciberataques] e temos sentido. Tem existido um investimento em tecnologia e em educação e sensibilização dos colaboradores para esta prática e para estarem atentos. Tem existido várias tentativas de intrusão no sentido de roubarem dados para, daí para a frente, se poderem fazer outras coisas. Acredito que a formação e a educação serão essenciais para todos os colaboradores; ainda é o elo mais fraco”

José Martins, Head of Department, CM Oeiras: “O crescimento dos cibercrimes tem vindo a acontecer em todos os anos à medida que vamos avançando nos anos. Nestes últimos dois anos, por virtude da pandemia e do impacto e das mudanças resultantes disso, fez crescer o cibercrime porque as fronteiras que estavam mais definidas passaram a estar mais exteriorizadas e foi muito mais difícil para as organizações controlarem todos os seus utilizadores. Temos sentido um grande crescimento de incidentes que foram reportados e notificados pelo nosso SOC”

Miguel Borges, Global Security, Vishay Intertechnology: “Particularmente no último ano, por causa da pandemia e os utilizadores estarem em casa sem as mesmas condições de segurança que estando nas instalações da empresa, sentimos um crescimento de ciberataques. É preciso prevenir, detetar e depois isolar. Sei que é complicado, mas temos de treinar as nossas equipas para puder isolar um PC, um servidor ou mesmo um data center. Isso já depende da organização, de ter a autoridade para desligar qualquer coisa, que é sempre muito complicado”

Hugo Martins, Diretor de Sistemas de Informação, Orey: “Acho que há dois pontos importantes. Um é a unificação interna, porque aquela lógica de ter vários fornecedores de serviços para o caso de um ser comprometido ter o outro hoje já não faz sentido; faz sentido termos tudo nos mesmos fabricantes. Por outro lado, faz sentido as organizações perceberem que a defesa tem de partir de todos e não da empresa A, B ou C. No fundo, acabamos por cada um proteger a sua quinta e não partilhar informação”

Luis Ribeiro Corrêa, Responsável pelo Núcleo de Informática, ERC: “A minha preocupação é, por um lado, a confiança que tenho de ter no endpoint; sabendo que, a não ser que existia algo muito estranho, nenhum executável corre dentro da rede sem ser previamente aprovado, é algo que vejo como muito positivo. Por outro lado, temos a proteção do perímetro que, hoje, se encontra complicada pelo facto de o perímetro estar em todo o lado. A necessidade de ter um sistema de backup eficaz é óbvia; se houver um problema, temos de voltar à vida o mais rápido possível”

Paulo Pimenta, CEO, KuantoKusta: “Também notámos durante este ano e meio um aumento de várias tentativas de ataques, nomeadamente a servidores, colocar o site em baixo, tentativas de phishing, tentativas de transferências bancárias e passarem-se por mim para tentativas de burlas. Tivemos de chamar à atenção dos nossos colaboradores, dar alguma formação, aumentar a nossa proteção através de antivírus, de proteção da rede. Para nós, foi formação, acompanhamento, processos, backups por todo o lado, com dupla proteção e autenticação”

Carlos Vieira, Country Manager Portugal e Espanha, WatchGuard: “A formação de todos os colaboradores é importantíssima, é a primeira barreira de proteção. Depois, temos de ter soluções eficazes na proteção de cloud, de perímetro e do endpoint; são três áreas importantes que se começam a falar cada vez mais de XDR que é ter todos estes componentes de segurança a falarem, a sincronizarem e a correlacionarem informação entre todos. O perímetro é cada vez mais difuso e os dados podem estar nos portáteis ou telemóveis dos colaboradores, ou numa cloud – privada ou pública”

Diogo Pata, Global Sales Engineer, WatchGuard: “Sem dúvida que houve um aumento exponencial daquilo que são o número de organizações. Temos os nossos Internet Security Reports onde é facilmente comprovável este aumento exponencial. Para os fornecedores de segurança, foram anos muito interessantes, na medida em que tivemos imensas histórias e relatos de ataques direcionados a soluções de fornecedores de segurança; não só nós fabricantes, mas também os nossos parceiros que ajudam os clientes finais são cada vez mais um alvo apetecível”