(48) 99997-9868 carcasa@carcasa.com.br

Existem diversas razões para que esses ataques sejam realizados por vários agentes (organizações criminosas ou hackers individuais, organismos de Estado, terroristas, colaboradores, competidores etc.). Os principais motivos identificados são:

• Obter ganho financeiro.
• Roubar, manipular ou adulterar informações.
• Obter vantagens competitivas e informações confidenciais de empresas concorrentes.
• Fraudar, sabotar ou expor a instituição invadida, podendo ter como motivo acessório a vingança.
• Promover ideias políticas e/ou sociais.
• Praticar o terror e disseminar pânico e caos.
• Enfrentar desafios e/ou ter adoração por hackers famosos.

Os invasores podem utilizar vários métodos para os ataques cibernéticos. Destacam-se os mais comuns:

Malware – softwares desenvolvidos para corromper computadores e redes:
Vírus: software que causa danos a máquina, rede, softwares e banco de dados;
Cavalo de Troia: aparece dentro de outro software e cria uma porta para a invasão do computador;
Spyware: software malicioso para coletar e monitorar o uso de informações; e
Ransomware: software malicioso que bloqueia o acesso a sistemas e bases de dados, solicitando um resgate para que o acesso seja reestabelecido.

• Engenharia social – métodos de manipulação para obter informações confidenciais, como senhas, dados pessoais e número de cartão de crédito:

Pharming
: direciona o usuário para um site fraudulento, sem o seu conhecimento;

Phishing: links transmitidos por e-mails, simulando ser uma pessoa ou empresa confiável que envia comunicação eletrônica oficial para obter informações confidenciais;

Vishing: simula ser uma pessoa ou empresa confiável e, por meio de ligações telefônicas, tenta obter informações confidenciais;

Smishing: simula ser uma pessoa ou empresa confiável e, por meio de mensagens de texto, tenta obter informações confidenciais; e

Acesso pessoal: pessoas localizadas em lugares públicos como bares, cafés e restaurantes que captam qualquer tipo de informação que possa ser utilizada posteriormente para um ataque.

• Ataques de DDoS (distributed denial of services) e botnets – ataques visando negar ou atrasar o acesso aos serviços ou sistemas da instituição; no caso dos botnets, o ataque vem de um grande número de computadores infectados utilizados para criar e mandar spam ou vírus, ou inundar uma rede com mensagens resultando na negação de serviços.

• Invasões (advanced persistent threats) – ataques realizados por invasores sofisticados, utilizando conhecimentos e ferramentas para detectar e explorar fragilidades específicas em um ambiente tecnológico.

As ameaças cibernéticas podem variar de acordo com a natureza, vulnerabilidade e informações/bens de cada organização. As consequências para as instituições podem ser significativas em termos de risco de imagem, danos financeiros ou perda de vantagem concorrencial, além de riscos operacionais. Os possíveis impactos dependem também da rápida detecção e resposta após a identificação do ataque4. Tanto instituições grandes como pequenas podem ser impactadas.

Implementando um programa de segurança cibernética

A ANBIMA recomenda que um programa eficiente contra ameaças cibernéticas deve, no mínimo, conter cinco funções bem definidas:

1. Identificação/avaliação de riscos (risk assessment) – identificar os riscos internos e externos, os ativos de hardware e software e processos que precisam de proteção.

2. Ações de prevenção e proteção – estabelecer um conjunto de medidas cujo objetivo é mitigar e minimizar a concretização dos riscos identificados no item anterior, ou seja, buscar impedir previamente a ocorrência de um ataque cibernético, incluindo a programação e implementação de controles.

3. Monitoramento e testes – detectar as ameaças em tempo hábil, reforçando os controles, caso necessário, e identificar possíveis anomalias no ambiente tecnológico, incluindo a presença de usuários, componentes ou dispositivos não autorizados.

4. Criação do plano de resposta – ter um plano de resposta, tratamento e recuperação de incidentes, incluindo um plano de comunicação interna e externa, caso necessário.

5. Reciclagem e revisão – manter o programa de segurança cibernética continuamente atualizado, identificando novos riscos, ativos e processos e reavaliando os riscos residuais.

Veja o detalhamento das cinco funções, com recomendações consideradas fundamentais para a efetividade dos programas de cada uma das instituições, mas não se limitando a elas.

1 – Identificação/avaliação de riscos (risk assessment)

É recomendado que as instituições implementem um programa de segurança cibernética baseado em suas necessidades, elaborando e mantendo uma avaliação de riscos (ou risk assessment) atualizada. Os esforços devem ser compatíveis com as características e o tamanho da instituição, e os recursos de defesa e as respostas, proporcionais aos riscos identificados. A

avaliação deve levar em conta o ambiente da instituição, seus objetivos, seus stakeholders e suas atividades.



Recomendações:

1. Durante a avaliação de risco inicial, devem-se identificar todos os processos e ativos relevantes da instituição (sejam equipamentos, sejam sistemas ou dados) usados para seu correto funcionamento.

2. Recomenda-se a criação de regras para a classificação das informações geradas pela instituição, permitindo com isso a implementação de processos para o devido manuseio, armazenamento, transporte e descarte dessas informações.

3. As vulnerabilidades dos ativos em questão devem ser avaliadas, identificando-se as possíveis ameaças e o grau de exposição dos ativos a elas. Vários cenários devem ser considerados nessa avaliação.

4. Devem ser considerados os possíveis impactos financeiros, operacionais e reputacionais, em caso de evento de segurança. Assim como a expectativa de tal evento ocorrer.

5. Deve ser criado um comitê, fórum ou grupo específico para tratar segurança cibernética dentro da instituição, com representação e governança apropriados.

6. Uma vez definidos os riscos, ações de prevenção e proteção devem ser tomadas.

7. Existem várias metodologias para avaliação de risco cibernético, adequadas a diferentes instituições. Alguns exemplos estão indicados nas referências.


2 – Ações de prevenção e proteção Recomendações:

1. Controlar o acesso adequado aos ativos das instituições. A implementação desses controles
passa pela identificação, autenticação e autorização dos usuários, ou sistemas, aos ativos das instituições.

2. Estabelecer regras mínimas na definição de senhas de acesso a dispositivos corporativos, sistemas e rede – complexidade, periodicidade e autenticação de múltiplos fatores – em função da relevância do ativo acessado.

3. Segregar senhas entre serviços. É atualmente mais recomendado o uso de um gerenciador de senhas do que o uso da mesma senha para facilitar a memorização em vários serviços.

4. Limitar o acesso, uma vez concedido, a apenas recursos relevantes para o desempenho das atividades. A concessão de acesso deve ser implementada de forma a ser revogada rapidamente quando necessário.

5. Os eventos de login e alteração de senhas devem ser auditáveis e rastreáveis.

6. É importante notar que os ativos das instituições podem estar localizados interna ou externamente ao ambiente da instituição, muitas vezes em nuvem. Um controle adequado deve prever acessos locais ou remotos a ativos também locais ou remotos. E prever a possibilidade de uso de dispositivos pessoais nesses casos. Para mais referências sobre configurações seguras na nuvem consulte as referências.

7. Ao incluir novos equipamentos e sistemas em produção, garantir que sejam feitas configurações seguras de seus recursos. É altamente recomendável o teste em ambientes de homologação e de prova de conceito antes do envio à produção. Apenas como referência, o chamado “hardening” pode ser aplicado a sistemas operacionais, aplicativos, na restrição de serviços disponíveis em rede e na criptografia de dados em trânsito, assim como na configuração das estruturas de nuvem, entre outros.

8. Restringir o acesso físico às áreas com informações críticas/sensíveis.

9. Implementar serviço de backup dos diversos ativos da instituição.

10. Criar logs e trilhas de auditoria sempre que os sistemas permitam.

11. Realizar diligência na contratação de serviços de terceiros, inclusive serviços em nuvem. Adequação a questões jurídicas devem ser avaliadas. Cláusulas de confidencialidade e exigência de controles de segurança na própria estrutura dos terceiros são desejáveis. Para proposição de modelo de diligência com terceiros consulte as referências.

12. Considerar questões de segurança já durante as fases e pré-projeto e desenvolvimento de novos sistemas, softwares ou aplicações.

13. Implementar segurança de borda, nas redes de computadores, por meio de firewalls e outros mecanismos de filtros de pacotes.

14. Implementar recursos anti-malware em estações e servidores de rede, como antivírus e firewalls pessoais.

15. Implementar segregação de serviços sempre que possível, restringindo-se o tráfego de dados apenas entre os equipamentos relevantes.

16. Impedir a instalação e execução de software e aplicações não autorizadas por meio de controles de execução de processos (por exemplo, aplicação de whitelisting).


3 – Monitoramento e testes

Em geral, recomenda-se que a instituição busque estabelecer mecanismos e sistemas de monitoramento para cada um dos controles existentes.
Recomendações:

1. Como regra geral, deve-se criar mecanismos de monitoramento de todas as ações de proteção implementadas para garantir seu bom funcionamento e efetividade.

2. Deve-se manter inventários atualizados de hardware e software, bem como verificá-los com frequência para identificar elementos estranhos à instituição. Por exemplo, computadores não autorizados ou software não licenciado.

3. Deve-se manter os sistemas operacionais e softwares de aplicação sempre atualizados, instalando as atualizações sempre que forem disponibilizadas.

4. Deve-se monitorar diariamente as rotinas de backup, executando testes regulares de restauração dos dados.

5. Deve-se realizar, periodicamente, testes de invasão externa e phishing

6. Deve-se realizar análises de vulnerabilidades na estrutura tecnológica, periodicamente ou sempre que houver mudança significativa em tal estrutura.

7. É sugerido, periodicamente, testar o plano de resposta a incidentes, simulando os cenários especificados durante sua criação.

8. Deve-se analisar regularmente os logs e as trilhas de auditoria criados, de forma a permitir a rápida identificação de ataques, sejam internos5, sejam externos. O uso de ferramentas de centralização e análise de logs é especialmente recomendado.


4 – Criação de plano de resposta Recomendações:

1. Recomenda-se o envolvimento de várias áreas da instituição na elaboração do plano formal, além da área de segurança tecnológica, como departamentos jurídico, de compliance e de comunicação.

2. Deve haver definição de papéis e responsabilidades dentro do plano de ação, prevendo acionamento dos colaboradores-chaves e contatos externos relevantes.

3. O plano deve levar em consideração os cenários de ameaças previstos na avaliação de risco.

4. Deve haver critérios para classificação dos incidentes, por severidade. Eles podem requerer desde uma simples duplicação de equipamentos para a continuidade dos serviços, até o uso de instalações de contingência em casos mais severos. Nesses casos, o plano deve prever também o processo de retorno às instalações originais após o término do incidente.

5. Deve-se atentar para questões de segurança e controles de acesso também nas instalações de contingência.

6. Recomenda-se o devido arquivamento de documentações relacionadas ao gerenciamento dos incidentes e ao plano de continuidade de negócios para servir como evidência em eventuais questionamentos.


5 – Reciclagem e revisão Recomendações:

1. O programa de segurança cibernética deve ser revisado periodicamente, mantendo sempre atualizadas suas avaliações de risco, implementações de proteção, planos de resposta a incidentes e monitoramento dos ambientes.

2. Os grupos envolvidos com o programa devem manter-se atualizados com novas vulnerabilidades e ameaças identificadas que possam alterar a exposição da instituição aos riscos avaliados originalmente. Isso pode ser feito, entre outras formas, por meio de participação em grupos de compartilhamento de informações, ou via fornecedores especializados.

3. As instituições devem promover e disseminar a cultura de segurança com a criação de canais de comunicação internos que sejam eficientes para divulgar o programa de segurança cibernética, assim como conscientizar sobre os riscos e as práticas de segurança, dar treinamentos e repassar novas orientações.

-Para boas práticas na prevenção e no monitoramento dos ataques internos ver, por exemplo: SIFMA, Best Practices for Insider Threats (veja os dados completos na seção de referências).

4. Iniciativas como a definição e manutenção de indicadores de desempenho (key performance indicators) podem corroborar a conscientização e o envolvimento da alta administração e dos demais órgãos da instituição.

5. Como parte dos mecanismos para conscientização sobre o assunto, é importante a criação de uma política de uso adequado da estrutura tecnológica da instituição, de forma independente ou como parte de um documento mais abrangente.
Deve-se orientar usuários a ter atenção especial antes de clicar em links recebidos, mesmo vindos de pessoas conhecidas. Este é um dos principais vetores atuais de invasão.

Loading