O resto da história da cibersegurança
As notícias sobre ciberataques – SolarWinds, Colonial Pipeline, Capital One, Equifax e muitos outros – tornaram-se demasiado comuns. As histórias centram-se geralmente no que aconteceu, mas pouco falam do “como” e quase nada do “porquê”. Mas quando o “porquê” não é examinado, as circunstâncias que tornaram possível o ciberataque raramente são abordadas. Onde está o resto da história?
Considere um exemplo simples: um banco é assaltado; isso é o “o quê”. O “como” pode ser que o alarme de arrombamento não disparou. E isso é normalmente o fim da história: houve uma avaria infeliz. Mas, indo mais fundo, podíamos aprender que o sistema de alarme era conhecido por ser velho e pouco fiável. Foram atribuídos fundos para o substituir, mas alguém na gestão decidiu em vez disso utilizá-los numa campanha de marketing para atrair mais clientes.
Chamo a isto decisão semiconsciente, porque alguém tomou uma decisão – de não substituir o alarme anti-roubo – sem considerar as possíveis consequências dessa escolha, nomeadamente, a perda de todo o dinheiro. Na essência, essa decisão criou a circunstância para o roubo.
Este não é apenas um exemplo hipotético interessante; o nosso grupo de investigação Cibersegurança no MIT Sloan (CAMS) estudou muitos ciberataques e descobriu que cada grande ataque foi resultado de uma tomada de decisão semiconsciente, que raramente é estudada e, portanto, raramente é corrigida.
MÚLTIPLOS NÍVEIS DE DEFESA
Há um adágio de que os ladrões têm vantagem porque só têm de encontrar uma entrada, enquanto os defensores devem ter a certeza de que todas as entradas estão bloqueadas. Mas, na verdade, os defensores têm frequentemente vantagem.
No caso de um ataque cibernético, é porque o atacante tem de completar com sucesso várias etapas, cada uma das quais oferece ao defensor uma oportunidade de parar a intrusão ou pelo menos de atenuar o seu impacto. Efectivamente, o atacante tem de encontrar não uma forma única, mas uma sequência precisa de passos que permita que o ciberataque seja bem-sucedido.
Qual é o resto da história por detrás do nosso exemplo de assalto a um banco? Pode não ter sido reportado que o presidente do banco passou o código do cofre a um assistente, escrito num pedaço de papel deixado em cima da secretária do assistente, que os assaltantes conseguiram encontrar. Além disso, as câmaras de segurança, que deveriam gravar o evento (e que provavelmente permitiam a identificação dos assaltantes), ainda estavam programadas com a senha de segurança do fabricante, que os atacantes utilizaram para desactivar as câmaras e apagar qualquer vídeo gravado. Todas estas lacunas devem ter sido ignoradas pelos defensores e encontradas pelos atacantes.
Este assalto ao banco pode parecer um exemplo rebuscado, mas a maioria dos grandes ciberataques exploram de facto múltiplas falhas nas defesas de uma organização, tal como a equipa de investigação do CAMS descobriu. Uma das descrições mais populares dos ciberataques típicos é a estrutura Mitre ATT&CK, que identifica até 14 passos que os atacantes precisam de seguir para roubar informações. A entrada nos sistemas informáticos do alvo é apenas um passo inicial de uma violação de dados bem-sucedida. Muito mais trabalho tem de ser feito para encontrar os dados valiosos e movê-los para o computador do agressor, conhecido como “exfiltração de dados”, e tudo isto deve ser feito sem que a vítima dê por isso.
A equipa do CAMS desenvolveu a metodologia Cybersafety e aplicou-a para analisar múltiplos ciberataques (bem como para os prevenir), incluindo o da Equifax em 2017. A metodologia baseia-se em três conceitos centrais: (1) identificar as jóias da coroa – ou seja, o que é que se está a tentar proteger ou prevenir; (2) identificar os controladores dos processos que se destinam a proteger as jóias da coroa; e (3) identificar os controladores dos controladores, hierarquicamente. Na essência, um ataque só pode ser bem-sucedido se os controlos necessários tiverem falhas ou simplesmente não existirem – e se um controlador de nível superior não tiver tido em conta esta falha de segurança.
TOMADA DE DECISÃO SEMICONSCIENTE, NA PRÁTICA: O RESTO DA HISTÓRIA DA EQUIFAX
Considere-se o caso da Equifax, cujos dados pirateados expuseram informações pessoais – incluindo nomes, números da Segurança Social, datas de nascimento, moradas e, em alguns casos, números de carta de condução – de 148 milhões de pessoas. Como noticiado na imprensa, o ataque soou como um simples e isolado acidente: «Segundo a Equifax, o ataque ocorreu quando “os criminosos exploraram uma aplicação do website dos EUA para obter acesso a certos ficheiros”.» Assumindo que o problema foi rapidamente resolvido, não deveria ter havido mais motivos de preocupação… Certo?
Aplicando a metodologia da Cibersegurança, de modo a revelar o quê, como e porquê do evento cibernético, identificámos muitos casos de decisões semiconscientes que contribuíram para a violação de dados da Equifax. Estas decisões semiconscientes foram tomadas a todos os níveis da organização, desde a gestão intermédia dos grupos técnicos até aos executivos de topo e à direcção. Vamos considerar apenas duas dessas decisões.
DADOS NÃO ENCRIPTADOS
A Equifax não utilizou quase nenhuma das práticas básicas consideradas boas de cibersegurança para proteger os seus sistemas e dados. Uma das defesas mais simples e importantes contra uma violação de dados é encriptar os dados para que, mesmo sejam exfiltrados, permaneçam inúteis para o agressor.
Mas muitos dos dados roubados da Equifax não foram encriptados. A imprensa relatou que o website do Sistema Automático de Entrevista ao Consumidor (ACIS) da empresa era vulnerável e foi o ponto de entrada do ciberataque. Mas o ACIS, categoricamente, deveria estar sujeito à Norma de Segurança de Dados da Indústria de Cartões de Pagamento (PCI DSS) para proteger os dados dos titulares de cartões de crédito, o que exige que todos os dados sejam encriptados. Além disso, esses sistemas são normalmente sujeitos a auditorias anuais para assegurar que todos os requisitos do PCI DSS são cumpridos.
A gestão da Equifax decidiu excluir propositadamente o ACIS da auditoria do PCI DSS. Em retrospectiva, o ACIS teria provavelmente falhado na maioria das 12 categorias de requisitos do PCI DSS – incluindo a necessidade de todos os dados estarem encriptados. Apesar de saberem que o ACIS deveria estar sujeito aos requisitos do PCI DSS, os líderes da Equifax não fizeram da conformidade uma prioridade – o que lhes custou mais de mil milhões de euros.
CERTIFICAÇÕES DESACTUALIZADAS
Em segundo lugar, o processo de detecção e prevenção de intrusão (IDPP) da empresa, que deveria monitorizar o tráfego da internet para quaisquer mensagens suspeitas ou inválidas, não funcionava há pelo menos nove meses. Só quando foi corrigido é que o ciberataque em curso foi descoberto. Porque é que o IDPP não estava a funcionar? Porque exigia certos certificados de segurança que lhes dá permissão de acesso ao tráfego da internet, mas os certificados expiraram – pelo que não conseguiram monitorizar qualquer tráfego ou soar um alarme.
Porque é que os certificados não eram actualizados há muito tempo? Bem, a Equifax tinha centenas, se não milhares, desses certificados, e rastrear a data de validade de cada um e actualizar os certificados era uma tarefa manual e sujeita a erros (não muito diferente do processo de alarme de arrombamento defeituoso no exemplo do assalto ao banco). Este problema fora observado no passado; na realidade, fora feita uma proposta para desenvolver um processo automatizado e centralizado de gestão de certificados. Mas os gestores responsáveis pelas numerosas aplicações que exigiam certificados de segurança, dispersos por toda a organização, não consideravam isto uma prioridade. Além disso, a prestação de apoio centralizado para a gestão dos certificados exigiria algumas mudanças organizacionais às quais aqueles que negligenciaram o perigo criado pelos certificados expirados iriam resistir.
AVALIAÇÃO CONSCIENTE DO RISCO
Aparentemente, ninguém na Equifax considerou a possibilidade de estas duas decisões isoladas, em conjunto com muitas outras decisões de gestão semiconscientes semelhantes, poderem custar muito caro à empresa. A administração da empresa permitiu que a gestão assumisse riscos não medidos, e, portanto, ilimitados, de modo a prosseguir uma estratégia de crescimento agressiva. Embora os membros da administração da Equifax tivessem uma experiência considerável em áreas como liderança executiva e desenvolvimento de estratégias, só dois dos 10 tinham conhecimentos especializados em cibersegurança, de acordo com os relatórios da empresa. (Verificámos que este era um elemento comum no topo da maioria das organizações que estudámos.)
É bom que a direcção tenha um “apetite pelo risco”, mas quando se trata de cibersegurança, o potencial de risco deve ser avaliado de forma consciente e realista. A maioria dos ataques que estudámos decorrem de decisões tomadas sem qualquer consideração explícita do risco. As ligações entre as decisões que podem parecer menores e as consequências significativas que essas decisões podem ter são raramente consideradas.
Embora alguns riscos sejam verdadeiras surpresas com pouca probabilidade de serem reconhecidas antecipadamente, muitos são mais como o alarme de arrombamento que se sabe ser defeituoso. De facto, em quase todos os casos que estudámos houve sinais de aviso – muitas vezes abundantes – que a administração optou por ignorar, com consequências desastrosas.
As organizações estão familiarizadas com as avaliações de riscos tradicionais, tais como quando decidem onde construir uma nova fábrica ou quando lidam com flutuações cambiais. Mas os riscos relacionados com a cibersegurança são novos para a maioria das organizações; as ligações entre o que são decisões aparentemente menores e as consequências dessas decisões raramente fazem parte das suas práticas ou experiências passadas.
Os líderes podem fazer pelo menos duas coisas para melhorar esta situação. Primeiro, a gestão a todos os níveis deve adquirir conhecimentos sobre riscos cibernéticos e aperfeiçoar as competências na avaliação das potenciais consequências das infracções. A leitura de análises pormenorizadas de ciberataques passados, tais como os da Equifax e da Capital One, e a participação em exercícios práticos e simulacros de ciberataques são algumas das formas de o conseguir. Em segundo lugar, quando os gestores a todos os níveis desenvolvem planos para melhorar as receitas ou reduzir os custos, devem avaliar consciente e deliberadamente o potencial risco cibernético das mudanças planeadas – e depois, apenas se o risco for aceitável, proceder. Tomar estas medidas pode reduzir drasticamente o número de ciberataques que a empresa enfrenta, minimizando, em simultâneo, o impacto de quaisquer ataques que violem com sucesso os seus sistemas.
Artigo publicado na Revista Executive Digest n.º 196 de Julho de 2022