em destaque 32 tinha recomendações documentadas sobre medidas, práticas ou procedimentos de segurança das TIC (54%), bastante acima dos 28% registados em 2019, sendo os mais relevantes os relacionados com o trabalho remoto e híbrido. Em termos de medidas efetivas tomadas, a mais comum era a autenticação através de uma palavra -passe segura (84%), backup da informação num segundo local (74%) e controlo de acesso à rede (63%). Assim como ações de sensibilização para colaboradores. Mas isso só não chega. Há muito que melhorar. A CNCS faz várias recomendações, desde as ações de sensibilização, formação e educação, à continuação da promoção e criação de estratégias e políticas de segurança de informação. Ainda refere como importante a adoção das melhores práticas de cibersegurança e acaba de lançar um Roteiro para as Capacidades Mínimas de Cibersegurança, para assegurar que as empresas desenvolvem valências técnicas, humanas e processuais, sobretudo as PME. Apesar dos esforços desenvolvidos nos últimos anos para melhorar, as empresas continuam a apresentar múltiplas vulnerabilidades. Incluindo entre as associadas da APDC. Um estudo realizado pela Ethiack ao universo de empresas da associação – mais de 120 – através de um reconhecimento passivo e não intrusivo da infraestrutura digital exposta sob 852 domínios de topo únicos, confirma-o: foram encontrados mais de 60 mil ativos expostos. Se, pela positiva, as empresas são “cada vez mais tecnológicas e digitais, caso contrário não haveria tantos domínios e ativos”, Jorge Monteiro explica que foram detetadas “fragilidades muito fáceis de corrigir”, citando os quase 20% de certificados SSL desatualizados ou os mais de 25% de informação exposta nos servidores das organizações. Destacando que “a ferramenta utilizada realiza apenas um reconhecimento preliminar da superfície de ataque externo relevante, sem ser capaz de realizar a identificação e análise de vulnerabilidade”, garante que acede apenas a informação disponível em bases de dados públicas e através de acessos legítimos a domínios web. O trabalho alerta para o caso dos certificados SSL desatualizados, por terem protocolos HTTPS inválidos. A Ethiack faz uma análise da exposição digital das associadas da APDC. SSL desatualizados foi uma das fragilidades detetadas São, por isso, “inseguros. Um invasor pode intercetar o tráfego enquanto estiver conectado à mesma rede, permitindo ataques como escutas e man-in-the-middle”. Há ainda 25,22% de arquivos de configuração dos servidores web expostos, o que os torna “mais vulneráveis a explorações”. Relativamente aos ativos utilizados pelas empresas no estudo, a maioria está localizada nos EUA (65%) e pertence à Amazon (62%). As conclusões não são muito diferentes da análise que a startup realizou às 500 maiores empresas nacionais. Dela, conclui-se que existiam 10.880 ativos digitais expostos. Mais de 20% dos servidores web expunham informações sobre a sua versão e software, as organizações desconheciam cerca de um terço dos ativos digitais expostos e mais de 10% dos certificados SSL estavam inválidos. Tendo em conta estas conclusões, a Ethiack recomenda às empresas do universo APDC a adoção de “soluções preventivas e proativas, que permitam uma melhor gestão da superfície de ataque externo”. Com destaque para duas soluções: uma ferramenta de Gestão de Superfície de Ataque Externo (EASM), que permitirá uma visão completa de toda a exposição digital, e um mapeamento de todos os ativos conhecidos e desconhecidos; bem como uma ferramenta Continuous Automated Red Teaming (CART), que combina o conhecimento de testes automatizados e manuais, permitindo uma análise contínua e precisa. “As empresas têm cada vez mais ativos e a infraestrutura digital está sempre a mudar. E são descobertas novas vulnerabilidades todos os dias. Há estudos que revelam que há mais de 80 novas irregularidades grandes e graves diárias e há criminosos que pegam nelas e começam a atacar toda a gente”, explica Jorge Monteiro. E alerta que nenhuma empresa pode estar livre de ser atacada: “Um criminoso não decide à partida qual é a empresa que vai atacar. Ataca um conjunto de IP’s e só depois, dependendo do que encontra, decide”. Por isso, as organizações devem manter-se o mais atualizadas possível em termos de ferramentas para gerir a sua presença online. Percebendo as tecnologias, as eventuais vulnerabilidades e fazendo um inventário dos seus ativos digitais. Depois, “há que testar em permanência”, alerta o gestor, que defende que “não deve-
mos ter medo de vulnerabilidades. O que devemos é aceitar que os nossos serviços e produtos vão tê-las, testar frequentemente e corrigir o mais rapidamente possível”. FECHAR JANELAS E PORTAS Mas a realidade mostra que “o tema da cibersegurança ainda não é uma prioridade ao nível das lideranças. Foi algo que apareceu muito rapidamente e que se tornou muito mais complexo”. A solução? “Pensar no digital e na cibersegurança como uma extensão do físico. Nenhum líder deixaria uma loja ou um armazém com as portas ou as janelas abertas durante a noite. Então porque é que deixa o digital? Temos de as encontrar e fechá-las o mais rapidamente possível”. Certo de que “as lideranças estão a começar a mudar, até por uma questão de gerações”, Jorge Monteiro admite que a prioridade nº1 nas empresas será sempre a de aumentar as receitas. O “desafio é saber como se consegue que a cibesegurança passe a ser uma mais-valia do produto e do serviço e não apenas um custo ou uma obrigação para estar compliance com a legislação”. Até porque “os ataques começam a ser dramáticos e com grande impacto. Só os vejo a aumentar com a IA e a automação. Cada vez mais, pode atacar-se numa escala gigantesca”. E o “atacante tem sempre vantagens em relação ao defensor, porque apenas precisa de encontrar uma janela no edifício todo. Nunca se consegue garantir 100% de segurança. Isso não existe. Mas pode fazer-se muito, com soluções que permitam testar com qualidade e encontrar vulnerabilidades”, diz o CEO da Ethiack. Que não acredita que se trate de um problema de investimento, porque “há dinheiro a ser investido em cibersegurança defensiva, como antivírus, firewalls ou VPN’s, e em cibersegurança reativa, para resolver um ataque. Mas “há muito pouco dinheiro a ser investido na prevenção”. É exatamente isso que defende a Ethiack, uma ‘defesa atacante’. “Temos de fazer uma gestão da superfície de ataque, da infraestrutura digital, para fechar as janelas e as portas. Só depois, se quisermos investir mais em cibersegurança, pomos muralhas à volta das “Não devemos ter medo de vulnerabilidades. O que devemos é aceitar que os nossos serviços e produtos vão tê-las, testar e corrigir o mais rapidamente possível”, aconselha Jorge Monteiro infraestruturas. Os testes de segurança servem para detetar os problemas, que depois terão de ser resolvidos. Muitas empresas fazem exatamente o contrário”, salienta. A missão da startup é identificar problemas de uma forma contínua, para que as organizações saibam os que têm e possam corrigi-los. Depois, fornece relatórios para cada vulnerabilidade, com guias de mitigação, cabendo à empresa corrigir os problemas, quer internamente, com os colaboradores, quer através de um parceiro que já esteja dentro do processo de transformação. Com a certeza de que o mais complexo, mesmo numa PME, é identificar o problema. Resolvê-lo não é assim tão dificil.• 33
Loading...
Loading...