Sobre os custos escondidos da cibersegurança

Dos custos impostos pela legislação

Como em todas as estatísticas de cibercrime (aqui usado da mesma forma que ‘incidente de cibersegurança’) admite-se a existência de valores importantes das chamadas ‘cifras negras’, a adicionar aos números oficiais relativos aos casos conhecidos.

Fontes externas indicam que até 2025, o custo global dos ciberincidentes será até $10,5 triliões de dólares americanos (1). No caso português, as estatísticas indicam um crescimento de casos galopante, tendo duplicado nos últimos dois anos (2).

Rogério Bravo, Coordenador de investigação criminal da Polícia Judiciária e membro da CIIWA

A estimativa dos danos tem crescido a nível global e existem dados interessantes relativos a Portugal, que relacionam tipos de crime com a importância que lhes é atribuída pelas vítimas (3).

Continuamos, contudo, sem números que quantificam em euros, os incidentes de segurança que constituem crime, ocorridos em território nacional.

Mas no quadro abordado e no nosso entender, existem outros custos de ordem financeira, que merecem atenção.

Trata-se de, no âmbito do quadro empresarial, perceber que tipo de custos podem ser equacionados, ou antecipados, por um lado, no âmbito da implementação técnica e tecnológica para assegurar níveis adequados de proteção; e por outro, os que podem surgir por força da imposição do atual enquadramento legal, seja para as áreas da proteção de dados pessoais, seja para a área da Cibersegurança, ou, por último, para regular as denúncias de infrações.

São estes últimos que vamos designar por ‘custos impostos pela legislação’ e para este fim a que nos propomos, não teremos em consideração se ela se aplica à administração pública, ou ao setor privado.

A intenção de os enunciar, é a de chamar a tenção para factos e facilitar uma previsão de eventuais custos adicionais para quem pretende iniciar uma atividade comercial em determinadas áreas, ou a quem já a exerce, desde que lide com dados pessoais, e em especial, nas seguintes áreas:

• Empresa de eletricidade que exerce a atividade de comercialização; operadores da rede de distribuição e operadores da rede de transporte de energia;
• Operadores de oleodutos de petróleo e operadores de instalações de produção, refinamento e tratamento, armazenamento e transporte de petróleo e empresas de comercialização;
• Operadores da rede de distribuição de gás e os operadores da rede de transporte; Operadores do sistema de armazenamento; operadores da rede de gás natural em estado líquido (GNL). Empresas de gás natural. Operadores de instalações de refinamento e tratamento de gás natural;
• Transportadoras aéreas;
• Entidades gestoras aeroportuárias, aeroportos e as entidades que exploram instalações anexas existentes dentro dos aeroportos;
• Operadores de controlo da gestão do trafego aéreo que prestam serviços de controlo de tráfego aéreo;
• Gestores de infraestruturas de ferrovias;
• Empresas ferroviárias incluindo os operadores de instalações de serviço;
• Companhias de transporte por vias navegáveis interiores, marítimo e costeiro de passageiros e de mercadorias, não incluindo os navios explorados por essas companhias;
• Entidades gestoras dos portos, incluindo as respetivas instalações portuárias e as entidades que gerem as obras e os equipamentos existentes dentro dos portos;
• Operadores de serviços de tráfego marítimo. Autoridades rodoviárias e operadores de sistemas de transporte inteligentes;
• Instituições de crédito, operadores de plataformas de negociação e contrapartes centrais em infraestruturas do mercado financeiro;
• Prestadores de cuidados de saúde;
• Fornecedores e distribuidores de água destinada ao consumo humano, mas excluindo os distribuidores para os quais a distribuição de água para consumo humano é apenas uma parte da sua atividade geral de distribuição de outros produtos de base e mercadorias não considerados serviços essenciais;
• Pontos de troca de tráfego de infraestruturas digitais;
• Prestadores de serviços de Sistema de Nomes de Domínio (DNS);
• Registos de nomes de domínio de topo;

Da combinação de diferente legislação nacional, mas toda ela resultado de transposições de diplomas da UE, resulta o seguinte:

• Obrigação de designação de um encarregado de proteção de dados (com a estrutura que lhe tiver inerente em função da dimensão da empresa);
• Designação nominal de um responsável pela CiberSegurança (e a estrutura que lhe tiver associada para cumprimento das funções);
• Criação de um ponto de contato permanente;   
• Criação de um canal de denúncia se a entidade tiver mais de cinquenta colaboradores. A legislação, aqui em causa, é a seguinte:
• O regime jurídico da segurança no CiberEspaço, a Lei 46/2018, 13Ago;
• O Dec-Lei que a regula o referido regime jurídico, o Dec-lei 65/21, 30Jul;
• Os diplomas legais que as complementam: a RCM 41 /2018, 28Mar, sobre requisitos técnicos (uns obrigatórios, outros facultativos) para uma arquitetura de segurança das redes e sistemas de informação;
• E a instrução técnica relativa a pontos de contacto permanente, responsável de segurança, inventário de ativos, relatório anual e notificação de incidentes, contida no Regulamento 183/2022, 21Fev;
• O Regulamento Geral Proteção de Dados (Regulamento UE 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016) e a respetiva Lei de Execução, a Lei 58/2019, 08Ago;
• O regime geral de proteção de denunciantes, a Lei 9372021, 20DEZ.

O conhecimento e estudo desta legislação, bem como as consequências da adoção dela, não deverá apenas ser do domínio dos juristas, nem do pessoal especializado em Cibersegurança, antes devendo constituir matéria da formação inicial e mesmo, continuada, noutras áreas do conhecimento, designadamente, a da Gestão. 

Dos custos impostos pela tecnologia

Relativamente aos custos e variáveis a considerar sobre as questões técnicas e operacionais de segurança de informação, estão diretamente relacionadas com as capacidades a adquirir bem como o nível de maturidade que se espera atingir.

Quando se fala nas questões técnicas da segurança operacional, estamos a mencionar as capacidades tipicamente associadas a um Security Operations Center (SOC), ou em português, um centro de operações de segurança.

Nestas variáveis relacionadas com a tecnologia existem três grandes eixos a definir:

1. As capacidades e respetivos requisitos técnicos a considerar;
2. Os perfis e competências técnicas necessárias;
3. Modelos de operação de um serviço de SOC.

Ivo Rosa, responsável do Security Operation Center da EDP

No que se refere ao contexto das capacidades as mais comuns são:

• Monitorização continua dos ativos da infraestrutura;
• Gestão e resposta a incidentes de segurança da informação;
• Gestão de vulnerabilidades;
• Análise de ameaças;
• Threat Hunting;
• Cyber Threat Intelligence;
• Purple Team;
• Sensibilização, formação e treino da equipa.

A necessidade de determinados perfis e competências de atuação num SOC depende das capacidades técnicas implementadas na organização bem como o nível de especialidade e detalhe em cada uma delas. A abordagem mais comum nas organizações considera a utilização de analistas, um gestor técnico do serviço de operações de segurança com um conhecimento avançado e responsabilidade sobre os restantes elementos da equipa e um perfil de engenharia ou responsável pela manutenção e melhoria continua das soluções tecnológicas da equipa de SOC. Uma vez mais, dependendo do nível e estado de maturidade das capacidades da segurança os analistas podem tipicamente assumir três níveis denominados de tier com níveis de conhecimentos específicos diferentes entre cada um destes níveis.

Os analistas denominados de tier 1 correspondem a perfis com a missão principal pela realização de uma triagem inicial de eventos e alertas com o objetivo de detetar casos falsos positivos, são também capazes de responder a incidentes perfeitamente tipificados e em que as ações estão perfeitamente definidas. Já os analistas de tier 2 e tier 3 são perfis com um nível de conhecimento mais avançado e especializado com a missão de analisar o sistema infetado, realizar a contenção do incidente e preservando as evidências (tier 2), investigação forense, análise de malware e threat hunting (tier 3).

Este perfil e o seu respetivo conhecimento especializado em segurança de informação reflete-se em uma variável de custos no planeamento e manutenção de um SOC.

	José Dinis, consultor senior em segurança, informação e cibersegurança da Pahldata

Como último eixo é importante definir o modelo de serviço associado ao SOC, este conceito deve ser entendido como a conjugação de atuação entre as capacidades adquiridas e os perfis do SOC. Existe várias entidades que referem a existência de vários modelos de serviços, alguns deles bastante complexos, de possíveis para um SOC, porém a maioria deles estão relacionados com o tamanho da organização e nível de especialidade das capacidades da segurança.

No momento de planearmos o investimento em um SOC, e de uma forma simplista, podemos considerar a existência três grandes modelos de serviço:

• SOC On–Premises – Parte integrante da organização sendo esta totalmente responsável pela instalação, operação, manutenção e formação de todo o ecossistema envolvido. Neste modelo o conhecimento interno da organização e a arquitetura dos sistemas é capitalizado podendo corresponder a um maior detalhe dos casos de uso a monitorizar.
• SOC Híbrido – Neste modelo existe uma distribuição de tarefas e responsabilidades entre a equipa interna da organização e os serviços que devem externalizados com um provedor de serviços de SOC.
• SOC as a Service – O SOC não faz parte da organização, corresponde a uma contratação de serviço externo a um ou vários parceiros que ficam com a responsabilidade total no que se refere à gestão técnica do SOC. Neste modelo o conhecimento técnico e interno da organização é uma lacuna.

Teoricamente, os custos globais, quer seja pelo custo direto e efetivo ou pelo aumento de domínios de capacidades entre os diversos modelos de serviço tendem diminuir com a sua externalização.

Como práticas de sucesso para o desenvolvimento de um Security Operations Center (SOC) é importante que seja definido um programa devidamente estruturado e que seja do conhecimento da gestão de topo da organização, de forma que fique claro as capacidades existentes, em desenvolvimento/instalação e as que se encontram em fase de planeamento futuro. Este denominado programa consiste num conjunto sub-projetos e iniciativas devidamente mapeados com as capacidades técnicas que se pretendem atingir.

No momento de planear a implementação destas capacidades técnicas é importante mencionar que dependendo da organização existe um conjunto de áreas que influenciam e ajudam a priorizar a necessidade de implementação destas capacidades, e que ajudam a clarificar o que se está a proteger e porquê:

• Deve ser claro o contexto da área de negócios da organização que possui um objetivo específico, pois ajudam a clarificar a missão e âmbito de atuação esperado por parte do Security Operations Center (SOC);
• Enquadrado legal e regulatório a que a organização se encontra sujeita. Esta área inclui leis governamentais e/ou regulamentos específicos do sector que são pertinentes às operações, tais como requisitos de relatórios de informação ou regulamentos de privacidade;
• O contexto técnico e de dados que deve fazer parte do âmbito da responsabilidade de monitorização e proteção do Security Operations Center (SOC), ou seja, está área inclui a necessidade de definição dos ativos de tecnologias de informação (TI) e/ou tecnologias operacionais (OT) e estado dos mesmos (por exemplo, nível de aplicação de atualizações de segurança, estado de vulnerabilidade) e ainda o conhecimento dos sistemas e dados críticos;
• Utilizadores e os comportamentos típicos destes nas interações com os sistemas;
• As ameaças - isto inclui a compreensão dos vários tipos de ameaças (exemplo: grupos hacktivistas) a que organização está suscetível;
• O budget previsto e alocado às iniciativas de capacitação técnica de segurança de informação.

Embora os custos explícitos de hardware e software sejam altos, o fator humano e sua interconexão com hardware e software geram custos que, se depreendem ser significativos, no entanto menos calculáveis.

Estes custos, são custos escondidos, complexos e de difícil quantificação, e a solução, recorrentemente, passa por substituir a intervenção humana, através da utilização de ferramentas de automação de segurança que recorrem a algoritmos complexos da inteligência artificial, machine learning, analítica avançada, entre outras formas.

Tendo como referencial a tecnologia, os processos e as pessoas, como elementos integrantes de um Security Operations Center (SOC), a preocupação passa por ter as ferramentas e os processos adequados, evitando que os analistas fiquem sobrecarregados com alertas aos quais não conseguem atribuir prioridade de atuação.

Na realidade, prolifera uma oferta de soluções de ferramentas, com proporções épicas incalculáveis, que se traduzem em implicações sérias para os riscos cibernéticos e para a saúde mental dos analistas e consequentemente custos.

Existe a perceção nas pesquisas efetuadas de um grande consenso entre académicos e profissionais de que os investimentos em cibersegurança devem ser cuidadosamente justificados, medidos e controlados.

Alguns estudos referem que as organizações utilizam dezenas de ferramentas variando entre soluções de fabricante vs, open source, de monitorização de segurança implementadas, aumentando o seu número de acordo com a dimensão das organizações.

A expansão destas ferramentas e os inúmeros alertas que possibilitam cremos, que afeta de forma significativa a eficácia da equipa de um SOC e que podem traduzir custos em:

• em despesas administrativas extras, já que cada ferramenta precisa ser gerida separadamente;
• em lacunas de segurança e deteção;
• no esforço desperdiçado/duplicado onde as ferramentas se sobrepõem;
• em custos extras de licenciamento;
• em custos extras associados à formação, certificação e treino dos analistas em diferentes niveis de atuação;
• na consequente sobrecarga de alertas;
• na consequente fadiga física e emocional dos analistas.

Dos ataques cibernéticos, os custos ocultos, segundo algumas das fontes identificadas são resultantes, entre outras:

• da investigação técnica resultante do ataque;
• da notificação de organizações afetadas;
• da proteção dos dados das organizações afetadas após o ataque;
• das leis e normativos e respetivas coimas;
• dos honorários de sistema de justiça;
• da melhoria dos sistemas de proteção de segurança cibernética.

E também os custos dos impactos que resultantes dos ataques, entre outros:

• do aumento dos preços das coberturas de seguro;
• do impacto causado pela perturbação dos negócios;
• do valor perdido pelo incumprimento de contratos;
• da perda de faturação por denuncia de contratos;
• da desvalorização da marca da empresa e reputação;
• pela perda de propriedade intelectual.

Cremos que uma das formas de se minimizar este efeito de custos, as organizações devem dimensionar e adequar de forma racional (através da adoção de boas práticas e conformidades legais) um conjunto de capacidades e respetivas ferramentas face às necessidades críticas identificadas. Esta abordagem poderá ser uma forma que permitirá maximizar a proficiência e a eficácia de operação das equipas do SOC e equipas de resposta a incidentes.

A adoção de uma framework de Governance, para a segurança da informação e cibersegurança de acordo com a figura abaixo, e segundo principias layers identificados e associados às principais dimensões, (i) organizacional, (ii) física e ambiental, (iii) humana e (iv) tecnológica, serão adotados os controlos necessarios e adequados face aos objetivos definidos, o tipo e o feito desejado, segundo as guidelines orientadoras no âmbito das atividades de execução.

De acordo com uma definição de uma estratégia de segurança, e tendo ainda como referência o SOC e minimizando custos:

• definir as capacidades e requisitos e o modelo de serviço;
• definir as atividades e implementar as ferramentas adequadas e necessárias;
• assegurar formação, certificação e treino;
• garantir a melhoria contínua.

Fontes:

(1) https://digitalguardian.com/blog/cybercrime-cost-us-69-billion-2021; visto em 20NOV2022; https://cybersecurityventures.com/cybercrime-damages-6-trillionby-2021/; visto em 20NOV2022;

(2) https://rr.sapo.pt/noticia/pais/2022/02/18/casos-de-cibercrime-duplicam-a-cadaano/272986/;

(3) Cf. com o Relatório CiberSegurança em Portugal – Economia, Maio 2022; in https:// www.cncs.gov.pt/docs/relatorio-economia2022-obciber-cncs.pdf; visto em 20NOV2022;

Artigo por Rogério Bravo, coordenador de investigação criminal da Polícia Judiciária e membro da CIIWA, Ivo Rosa, responsável do Security Operation Center da EDP, e José Dinis, consultor senior em segurança, informação e cibersegurança da Pahldata.