Os ciberataques nem sempre parecem ter uma motivação clara e são cada vez mais aqueles que têm um âmbito geopolítico, provocando danos mais devastadores a um leque mais abrangente de alvos. Neste sentido, ainda que o objetivo seja atingir um país, negócios de todo o tipo e dimensão, públicos ou privados, atuam como peças de um jogo de tabuleiro. Muitas empresas não estão preparadas para se protegerem neste mundo cada vez mais hostil, assimétrico e secreto, e ainda não interiorizaram a necessidade de endurecer as suas defesas à medida que uma nova era de atacantes atua sobre o setor privado. Mas como o fazer?
Os ataques que antes procuravam recolher informações, agora pretendem provocar perturbações de serviços e atividades aparentemente com o objetivo de enfraquecer a sociedade. Recentemente, os sistemas de água, de saúde e outras infraestruturas críticas têm sofrido ataques em vários países, e esses tipos de ataques aceleraram durante a pandemia, uma vez que os hackers tiraram partido das vulnerabilidades do trabalho remoto. Em paralelo, as preocupações com este tipo de guerra aumentaram desde o início da invasão russa da Ucrânia.
Quando os motivos por detrás dos ataques se expandem para o domínio geopolítico, a preparação e a gestão do risco tornam-se mais complexas. As organizações estão agora a combater os ataques desenhados para prejudicar as sociedades ou semear a discórdia, através de ataques a websites, interrupções de serviço e a criação e distribuição de notícias falsas. Além disso, as ferramentas utilizadas estão a tornar-se cada vez mais sofisticadas e estão disponíveis a um grupo mais amplo de hackers, o que exige planos de proteção cada vez mais robustos.
Neste cenário traiçoeiro de evolução constante, a preparação das empresas é essencial e deve começar pelos próprios líderes e executivos das organizações, ao contrário do que tendencialmente se observa. Habitualmente, esta responsabilidade está atribuída exclusivamente ao departamento de TI ou ao chefe de segurança da informação (CISO). Se não for considerada uma prioridade para a liderança, a cibersegurança existirá em paralelo ao negócio e à estratégia, em vez de estar fortemente integrada com estes como indicam as melhores práticas.
Agora que os países são um alvo de ataques com motivação geopolítica, os riscos são maiores para todas as organizações. Nos ataques geopolíticos, os hackers procuram o alvo mais fraco, independentemente da sua dimensão, pelo que as organizações devem estar continuamente a atualizar as suas capacidades de defesa, estabelecendo um padrão para toda a indústria. As cadeias de abastecimento são também um alvo estratégico, porque os ataques bem-sucedidos, que tendem a ser sofisticados e engenhosos, podem impactar quase toda uma indústria ou setor.
Cada vez mais, os atores das ameaças por detrás destes ataques são persistentes e altamente qualificados, contando com o apoio quer de países, quer de grandes grupos bem financiados de cibercrime. Dos 24 maiores ciberataques de elevado impacto nas cadeias de abastecimento globais reportados entre janeiro de 2020 a julho de 2021, mais de metade foram perpetrados por conhecidos grupos “avançados de ameaça persistente”, que se acredita que tenham o apoio de países.
Contudo, a prevenção nem sempre é possível e muitas organizações sofrerão efetivamente um ataque. A eficácia da sua resposta dependerá do seu pragmatismo, preparação e resiliência. As empresas devem ter quatro tipos de planos para combater um ataque. Um primeiro, que tem a ver com os passos para se preparar, detetar e conter o ataque; um segundo relacionado com a continuidade de negócio, para que a organização continue a funcionar enquanto se recupera do ataque; um terceiro que é um guia passo a passo para recuperar do ataque e voltar a um estado anterior ao mesmo; e, por fim, um plano de gestão de crise, que contemple um esboço abrangente das atividades legais, regulamentares, financeiras e de comunicação para gerir as consequências do ataque e quem pode e deve tomar cada uma dessas decisões chave.
Em simultâneo, é importante que estabeleçam uma comunicação e diálogo contínuos com as principais agências e autoridades nacionais, como reguladores e outros organismos públicos, que podem prestar assistência e são indispensáveis. Também a relação com o setor é importante – se uma empresa for pirateada e o ataque se propagar, a que sofreu o ataque pode ajudar os outros a minimizar a sua exposição, partilhando indicadores de comprometimento, como provas forenses de intrusão.
Uma das melhores formas de estar preparado é praticar. Tal como os edifícios realizam regularmente exercícios de incêndio para preparar os residentes em caso de emergência, também as empresas devem realizar exercícios semelhantes para que os conselhos de administração, os executivos e os trabalhadores compreendam o que pode acontecer aquando de um ataque informático e as medidas que devem tomar. Quanto mais abrangente e testado for o plano, melhor será a resposta da organização a um incidente. Estes exercícios pagam dividendos no mundo real. Durante um incêndio real, não queremos estar a tentar encontrar as saídas!
