Inicio Tags Dayzero

Tag: Dayzero

E se os dados pessoais que a sua organização armazena forem mais valiosos do que o seu core business?

No início do mês de Agosto, os Hospitais CUF sofreram um ataque informático com ransomware. Este tipo de ataques é cada vez mais frequente e os possíveis danos causados são cada vez mais difíceis e custosos de resolver. Um ataque com ransomware significa um ataque em que todos os dados de uma

organização, ou parte deles, ficam encriptados e, só depois de pago um resgate, volta a ter total acesso aos mesmos. Há ainda casos em que, e mesmo depois de pago o resgate, as organizações continuam sem acesso aos dados, aumentado ainda mais as repercussões à organização

Podemos pensar que um ataque destes não tem grande implicação na reputação de uma organização, caso se consiga restaurar o acesso à informação, seja por efetuar o pagamento ou por contramedidas, no entanto não podemos esquecer que no caso de falha na recuperação dos dados, a reputação da organização poderá ser arruinada, e até mesmo sofrer repercussões legais devido ao RGPD, às novas regras e consequências que dele advêm.

De acordo com o regulamento, se e quanto ocorrer um ataque a uma organização, seja ele de que tipo, esta tem prazos e procedimentos que deve cumprir para informar as autoridades e os titulares de dados da ocorrência do ataque: o que está a ser feito para minimizar danos, a integridade dos dados e que dados foram comprometidos. Mesmo antes que ocorram ataques, há procedimentos e ações que devem ser implementadas com o intuito de proteger, ao máximo, os dados pessoais que a organização guarda e processa. As consequências não se ficam pelas coimas, há que ter em conta a reputação e posicionamento no mercado.

O RGPD e a Cibersegurança devem andar de mãos dadas, mas a implementação do Regulamento não se deve cingir ao departamento de |T de uma organização, deve ser abraçado por todos os departamentos e as medidas de proteção devem ser implantadas no dia-a-dia da organização, tal como devem ser as medidas e boas práticas de cibersegurança, porque o melhor ataque é sempre a prevenção e, até porque “estar compliant” com o RGPD não significa que não se poderá sofrer ataques, significa somente que os danos causados por um ataque poderão ser menores e que a organização estará melhor preparada e organizada para uma resposta inicial a qualquer incidente.

As organizações podem e devem fazer tudo ao seu alcance para se proteger.

Há muitas alterações e práticas que, ao serem adotadas no dia a dia operacional, acabam por minimizar as hipóteses que um ataque em grande escala aconteça e, acima de tudo, as organizações devem ter presente que todas estas práticas devem ser adotadas como um todo e não somente por um departamento ou por algumas pessoas de cada departamento.

Algumas soluções como a formação periódica em cibersegurança e RGPD dos colaboradores, a adoção de um manual de normas para a criação e manutenção de passwords, boas práticas na utilização do email, login e logoff de sessões, implementar um sistema de double factor authentication para logins, obter certificações de segurança, efetuar penetration tests periódicos para verificar a integridade do sistema, são algumas das muitas medidas que ajudam na prevenção e segurança da integridade da organização.

Desengane-se quem acha que os ataques ocorrem somente através de websites ou emails. Os pontos de acesso de uma organização não são sempre os mais óbvios ou comuns.

É por tudo isto que a Dayzero aposta em soluções integradas onde junta o know how e a tecnologia, bem como a formação da própria organização, para garantir o máximo de sucesso na segurança e integridade dos sistemas dos seus clientes.

E, neste sentido irá promover um Webinar Gratuito no próximo dia 18 de Setembro onde assuntos como a Cibersegurança, boas práticas e o RGPD serão abordados e onde apresentaremos os nossos mais recentes produtos e soluções.

 

Nuno Godinho, Managing Partner da Dayzero

RGPD: “confusão e desconhecimento mantêm-se”

O RGPD assenta no pressuposto que os dados pessoais devem ser protegidos e que são um direito individual, esta legislação foi criada para garantir que os dados pessoais, para além de protegidos, sejam utilizados apenas em caso de necessidade garantido, desta forma, a integridade dos mesmos.

Nas organizações, o RGPD não deve ser encarado como algo que só diz respeito às Tecnologias da Informação ou aos departamentos legais, mas sim a toda a organização uma vez que esta é afetada num todo – do departamento comercial, ao marketing e à comunicação, dos recursos humanos ao departamento financeiro. As mudanças devem ocorrer nas partes para que se materializem no todo.

Neste sentido, podemos dividir as organizações em dois grandes grupos:

  • As que trabalham no sentido de estar em conformidade com o RGPD para não estarem sujeitas a coimas.
  • As que aproveitam esta alteração na legislação para efectuarem alterações profundas na sua organização.

Não há nada de errado com nenhuma das abordagens anteriores, errada é a premissa de que existe uma solução milagrosa para se estar em conformidade com o RGPD.

Não existe uma fórmula secreta que ao ser cumprida termine num resultado mágico ou num certificado para que a organização esteja em conformidade com a legislação. Quando não se sabe o que uma legislação pretende, também não se conseguirá, certamente, atuar no sentido de se cumprir com ela.

Segundo um estudo lançado no final de Maio passado – no auge do buzz do RGPD – pela IDC e a Symantec, as organizações não podem, de maneira alguma ignorar o RGPD e, pelo contrário, devem inclui-lo nos processos de negócio:

  • Devem avaliar o estado de cumprimento com o RGPD
  • Devem formar parcerias com especialistas em ciber segurança
  • Organizar uma task-force multi-disciplinar para proceder à implementação de todas as alterações necessárias (o RGPD não é somente um problema de IT)

A conformidade com o RGPD é um caminho, é uma adaptação, é ser vigilante e estar ciente de que existe transparência suficiente em todos os processos da organização, os internos e os externos sendo necessário para isso iterar, reavaliar, alterar e aplicar todas as alterações necessárias até porque as organizações não são estanques, evoluem e reinventam-se.

Para acelerar o processo para a conformidade com o RGPD existem várias ferramentas no mercado, existem até alguns “certificados de compliance”, quando não é um certificado que o regulador pretende.

Escolher a melhor ferramenta ou parceiro poderá ser o primeiro grande passo para a conformidade com o RGPD porque, e voltamos a reforçar, ao não se ter conhecimento daquilo que é o resultado pretendido pelo regulador, não se consegue optar pelo caminho mais eficiente para lá chegar.

A dayzero_ apoia-se nos conhecimentos e experiência próprios e dos seus parceiros, para apoiar os clientes nos projectos de implementação do RGPD, com produtos pensados e desenhados para acompanhar e guiar na implementação, seja em consultoria in-house, ou com o Playbook RGPD ou com as soluções de cibersegurança.

Tornar a sua organização compliant com o RGPD pode e deve ser um projecto apoiado em conhecimento, parcerias e produtos que foram desenhados para esse fim.

No passado dia 10 de Julho,  a dayzero_ e a sua parceira Marbral Advisory levaram a cabo um Webinar explicativo do RGPD e daquilo que são as nossas soluções e produtos, em especial o Playbook RGPD.

Nuno Godinho, Managing Partner da dayzero_

“O ciberataque deve-se, na maioria das vezes, A um erro humano”

 

Porquê o nome Dayzero para a empresa? Para quem é entendido nesta matéria, diz-nos Nuno Godinho, faz todo o sentido a escolha deste nome. E começa a explicar-nos porquê.

Na área da cibersegurança quando há uma vulnerabilidade que ainda não foi explorada nem encontrada dá-se o nome de zero-day exploit. Trata-se de uma vulnerabilidade de software de computador que é desconhecida para aqueles que estariam interessados ​​em atenuar a vulnerabilidade. Até que a vulnerabilidade seja mitigada, os hackers podem explorá-la para afetar adversamente o computador.

O nome Dayzero surge invertido exatamente para explanar que a empresa procura antecipar estas vulnerabilidades e porque também acreditam que é a partir do dia zero que se começa a refazer e a recuperar uma empresa que sofreu um ataque.

Os ataques vão sempre acontecer e estamos cá para dar capacidade aos nossos clientes de recuperarem de um ataque, bem como monitorizar e prevenir ataques e exploits já conhecidos.

A Dayzero é, portanto, uma empresa que se mostra motivada em acompanhar as últimas tendências na área da segurança da informação.

Para Nuno Godinho a transformação digital veio trazer tudo o que há de bom, mas também algumas coisas não tão boas. “As empresas começaram a adotar estratégias e a digitalizar os seus processos, e vemos boas tentativas dessas implementações. Aquilo que notamos é que estas transformações são normalmente feitas numa perspetiva pontual e não transversal, o que pode trazer graves problemas no que diz respeito, por exemplo, à segurança da informação”, começa por referir o nosso entrevistado para quem ainda existe muito trabalho pela frente. “Basicamente o que temos visto nas empresas portuguesas (especialmente PME’s) é, a título de exemplo, como se as empresas estivessem a adquirir um serviço de alarmes para o todo escritório e no final o que é realmente feito é a instalação de um detetor de fumo na porta de entrada e que nem sequer está ligado”, acrescenta.

A adoção de tecnologias mais recentes, sem que haja uma direção e uma estratégia, pode fragilizar a empresa. E este é um dos maiores desafios, na ótica de Nuno Godinho, das empresas no que diz respeito à sua proteção. “Portugal não é conhecido por ser pioneiro nem por seguir as tendências neste campo. Normalmente só agimos depois de nos acontecer alguma coisa. Por isso mesmo é que a nossa equipa tem parcerias estratégicas internacionais com várias empresas como, por exemplo, a Marbral Advisory, participamos nos principais eventos mundiais, e estamos a desenvolver tecnologia interna para poder dar aos clientes uma resposta completa e dinâmica”, afirma o nosso interlocutor.

A CIBERSEGURANÇA E OS SEUS DESAFIOS

Na ótica de Nuno Godinho é necessário, em Portugal, começar a ganhar-se consciência no que diz respeito à cibersegurança. “A gestão de topo do nosso mercado empresarial ainda não sabe o que significa cibersegurança”, adianta.

Explica que o know-how desta matéria é complexo e os recursos, a nível mundial, são reduzidos e que as ferramentas e software ainda representam um investimento elevado. Acrescenta ainda que é necessário formar, desde a faculdade, engenheiros especializados nestas áreas e que as empresas devem, igualmente, começar a criar posições específicas para o tipo de tarefas relacionadas com a cibersegurança.

“Há tempos conheci o professor Pedro Adão do IST e percebi que já existe algo a ser feito neste sentido e com sucesso, o que significa que o talento existe, mas tem de ser explorado e cultivado. Apesar de termos bons especialistas em Portugal muitos acabam por ir para fora, para outros mercados, onde são mais valorizados”, explica Nuno Godinho.

Configurar o e-mail ou uma impressora num PC é, portanto, completamente diferente de fazer análise forense sobre um ciberataque e tentar detetar vulnerabilidades num sistema. “Além de tudo isto, um dos maiores desafios que temos detetado é a evolução dos malwares (vírus, ransomware, etc.). Para poder prestar serviços de cibersegurança as equipas dedicadas precisam de ter horas de R&D para investigar e atualizar a sua base de conhecimento, e investir muito em ferramentas inovadoras”, afirma Nuno Godinho.

A formação e as parecerias estratégicas é algo levado muito a sério na Dayzero. “Sabemos também que a troca de conhecimento nesta área é a chave para poder ultrapassar os desafios que nos são colocados diariamente”, refere.

O NOVO REGULAMENTO GERAL DE PROTEÇÃO DE DADOS

“O foco do regulamento são, de facto, os dados pessoais, mas acreditamos que as empresas devem aproveitar este tema para endereçar outros problemas e aplicar uma estratégia de segurança da informação ou mesmo cibersegurança de forma transversal a toda a organização”, responde-nos Nuno Godinho quando questionado sobre o novo Regulamento Geral de Proteção de Dados (RGPD). Para o nosso entrevistado os pontos mais críticos definidos pelo regulamento são, a nível processual, a comunicação em 72h no caso de uma falha de segurança, a implementação de processos de mitigação das mesmas, a sensibilização dos colaboradores e a regularização de todos os contratos com fornecedores e clientes. A nível técnico é referido que as empresas devem ter, internamente ou subcontratado, um serviço de monitorização e resolução de problemas, as chamadas equipas de resposta a incidentes (CSIRT – Computer Security Incident Response Team), bem como a realização de testes de intrusão periódicos.

A Dayzero fez um estudo de mercado através de um questionário (disponível no site) para perceber quais as dificuldades que as empresas estão a ter no âmbito do RGPD e qual o grau de preparação das mesmas. Obtiveram mais de 500 respostas até agora e, embora meramente indicativo, os resultados são claros:

80% das empresas nunca fez testes de intrusão às suas infraestruturas. Isto significa que no caso de ataque não estão preparadas para reagir;

72% das empresas não têm ainda um plano para a implementação do RGPD (e faltam apenas dois meses), no entanto 70% delas sabem, ao mesmo tempo, que têm de ter um.

“Costumamos dizer aos nossos clientes que devem estar mais preocupados com a proteção dos seus sistemas, formar os seus colaboradores e implementar os processos internos, no que diz respeito à segurança da informação no geral, do que apenas com o regulamento em si”, diz-nos Nuno Godinho. Isto porque, no caso de uma falha de segurança, é muito mais provável que a empresa sofra danos reputacionais do que seja alvo de uma multa derivada de um processo relativo ao RGPD.

Nuno Godinho considera, portanto, que as empresas nacionais não estão preparadas para o RGPD, quer a nível técnico quer a nível processual, apesar de já saberem que irão ter de adotar estratégias no sentido de estarem em conformidade.

FORMAR E CONSCIENCIALIZAR

O Centro Nacional de Cibersegurança (CNCS) tem promovido um trabalho de excelência no que diz respeito à melhoria contínua da cibersegurança nacional e da cooperação internacional. No entanto, a nível nacional ainda há um longo caminho a percorrer. “Em termos proativos são a entidade governamental criada e dedicada a estes temas que tem feito o que acredito ser o possível para sensibilizar a sociedade, através de eventos e cursos gerais gratuitos, acessíveis a qualquer pessoa”, elucida-nos o Managing Partner da Dayzero.

Porém, é necessário aumentar e formar mais engenheiros especializados para dar resposta a eventuais ciberataques. O qual é, atualmente, um dos desafios do país: conseguir reter talento.

Nuno Godinho dá-nos um exemplo concreto do que poderia ser feito em Portugal para além da sensibilização e da formação. No Reino Unido o centro nacional de cibersegurança (NCSC) contratou hackers (que estiveram detidos inclusive, responsáveis por ataques a bancos, etc.) para a sua equipa. “Obviamente que isto passa, por vezes, por um processo de integração social e é um tema sensível. No entanto os melhores investigadores, InfoSec e especialistas na área foram ou são hackers. A diferença está entre serem Black-Hat ou White-Hat, ou seja, usar os conhecimentos para o mal, ou para o bem”, explica o nosso entrevistado.

Mas mais do que isso é necessário inovar as formas de comunicação. Aqui, Nuno Godinho deixa-nos uma sugestão: um programa no formato do já existente num canal de televisão, o “Bom Português”. A ideia seria criar um programa, o “Bom Internauta,” que ensine os Do’s e Dont’s da internet. Até porque o ciberataque deve-se, na maioria das vezes, a um erro humano.

Já na Dayzero são realizadas simulações de ataques, usando técnicas de Social Engineering ou outras, nas sessões de Sensibilização (Threat Awareness) com os seus clientes. “Quando vemos algo a acontecer que pensávamos ser impossível ficamos deslumbrados, como se estivéssemos num espetáculo de magia, mas no final explicamos como e o porquê de aquilo acontecer”, elucida-nos Nuno Godinho.

ATAQUES CIBERNÉTICOS, UMA REALIDADE BEM PRESENTE

“É muito difícil saber a quantidade de ataques cibernéticos que acontecem a toda a hora. No caso de Portugal não existem ainda estatísticas credíveis, mas sabemos que somos um alvo fácil. Sofremos também danos colaterais, ou seja, podemos não ser os alvos principais, mas acabamos por sofrer pelas ligações que temos com outros países, pois hoje em dia tudo está conectado”, observa Nuno Godinho.

Existe a noção de que os ataques são constantes, mas a própria tecnologia de deteção de intrusões (IDS) ou de prevenção (IPS) ainda está a evoluir. Existem muitos falsos positivos, o que significa que ainda é muito importante a análise humana para perceber se, de facto, se trata de um ataque cibernético ou não.

O nosso entrevistado dá alguns exemplos de ciberataques a nível mundial: sites governamentais, bancos e multinacionais são alvos diários de ciberataques. Desde ataques de negação de serviço (DoS) até ataques mais complexos para tentativas de ganhar controlo de sistemas internos e “crashar” sistemas. Existem depois ataques muito comuns como a tentativa de roubo de identidade (hackar a conta de uma rede social, ou criar uma falsa para depois tentar obter informações a outra pessoa), roubo de informações bancárias como cartões de crédito ou, ainda, espionagem empresarial.

“É importante salientar que os hackers (neste caso os black-hat) já não têm aquela imagem de “nerd” encapuzado, antissocial e que bebe coca-cola a toda a hora. Há casos de jovens, com apenas dez anos, que conseguiram entrar em sistemas de abastecimento de água, na NASA, etc.”, afirma Nuno Godinho.

A verdade é que as técnicas por detrás de um ataque evoluíram muito nos últimos anos, basta procurar por Social Engineering no YouTube e encontram-se exemplos de alguém a conseguir obter os dados de outra pessoa fazendo-se passar pela vítima, através do telefone. “Há tutoriais e cursos de hacking que ensinam como o fazer. Uns gratuitos outros pagos, está disponível para qualquer um, é legal e se as pessoas soubessem o quão fácil é aceder a um sistema desprotegido acho que a preocupação seria outra. E é legal porque isto também é uma área de estudo, para protegermos temos de saber como é que se ataca”, alerta o nosso entrevistado, deixando-nos duas sugestões de leitura:

O livro Future Crimes de Marc Goodman descreve muito bem esta temática. Especializados em obter grandes fontes de financiamento através de uma grande variedade de ataques e esquemas fraudulentos, executados em grande escala, o número de grupos associados a estas atividades tem vindo a aumentar de forma significativa nos últimos cinco anos, com toda uma mecânica de execução da sua atividade cada vez mais “produtiva e refinada”. Com backgrounds atualmente tão diversificados e o inevitável aumento da dependência/necessidade tecnológica, todo o tecido empresarial a nível mundial tem, diretamente ou indiretamente, sofrido alguma forma de ataque/ação ilícita, resultando em algum tipo de impacto para a entidade em questão ou algum membro da mesma.

E, anda, o livro “Countdown to Zero-Day” de Kim Zetter, sobre o caso de Stuxnet que é referido como o lançamento da primeira “arma digital”.

ESTAR SEGURO OU PRIVADO SÓ DEPENDE DE NÓS

Importa saber que, em Portugal, poucas empresas têm os mínimos necessários para poderem responder adequadamente a um ataque e que ainda não estão realmente preparadas. No entanto, é impossível estar 100% seguro. “Nenhuma empresa no mercado garante isso. Tal como comprar um alarme para casa não significa que não possa ser assaltado na mesma. O alarme vai disparar, o processo vai ser posto em prática mas, no final, o assaltante pode conseguir escapar e nunca ser apanhado”, aponta Nuno Godinho.

Num ciberataque, ou “ciberassalto”, o que importa é que se consiga recuperar tudo o que foi roubado/destruído. Isso consegue-se adotando não só as recomendações do RGPD, mas ir além disso.

Na era em que vivemos a informação é o asset mais importante e o mais valioso, e a Internet e os computadores permitem o acesso rápido e (quase que parece) infinito à informação. “No entanto a rapidez com que as pessoas tiveram acesso a uma máquina que traduz zeros e uns em ícones e imagens fez com que não houvesse tempo para educar as pessoas sobre como funciona um computador”, indica o nosso entrevistado.

Vamos por partes. Como Nuno Godinho explica, para si pode ser óbvio que um site sem encriptação (HTTP) está desprotegido, não introduzindo dados sensíveis aí. No entanto, muitas pessoas, que utilizam computadores diariamente, não entendem o que está por detrás de um site sequer, quanto mais perceber se está encriptado ou não.

Nas escolas, desde o primeiro ano, deviam ser dadas disciplinas de Informática. Toda a gente tem o direito de perceber algo que utilizam todos os dias. Para perceberem como devem estar mais seguras na Internet devem primeiro entender a Internet e os riscos associados. “Acompanhar a evolução é difícil, principalmente quando não se tem o gosto de ler e investigar, mas se os media derem um exemplo e fornecerem mais informação e notícias nesse sentido, poderá ajudar” realça o nosso entrevistado.

E é aqui que a Dayzero entra. “Existem tópicos e tarefas que não fazem sentido serem as empresas a fazer, têm de deixar para os especialistas que no final resolvem o problema. Vemos cada vez mais os clientes a optarem por serviços de monitorização constantes e/ou periódicos às suas infraestruturas. Este é o cenário ideal. Se grandes multinacionais já têm equipas internas que o fazem, está na hora das PME’s também terem acesso a esses serviços, adequados obviamente às suas necessidades e capacidade de investimento, e que garantem mais segurança e o acompanhamento da evolução tecnológica.

Por último, deixa uma nota importante no que diz respeito à privacidade:

É cada vez mais comum vermos pessoas escandalizadas e assustadas com o facto do facebook, do instagram ou das pesquisas da Google parecerem saber aquilo que queremos, o que falámos no outro dia ou o email que enviámos para o colega. As pessoas devem perceber o que estão a subscrever antes de aceitarem os termos e condições de serviços como o Gmail, o WhatsApp, o Facebook, Linkedin, Spotify, etc. Nesses termos e condições, poderá esta escrito (uns mais explicitamente, outros menos) que irão utilizar os dados para direcionar anúncios ou para tratamento de informação.

Numa outra nota, Nuno Godinho realça que a implementação do RGPD engloba todos as vertentes da empresa, ou seja, é transversal. O papel dos advogados é importante para blindar a documentação da empresa, numa perspectiva mais teórica. No entanto uma implementação do RGPD tem de ser acompanhada por uma equipa multidisciplinar, especializada na implementação do regulamento, porque envolve metodologias de negócio de gestão do risco e da mudança, análise de ameaças e obviamente a transformação digital.

 

 

EMPRESAS