Cibersegurança, qual o perfil de vulnerabilidade da sua empresa?

Não faz muito tempo, ciberataques de larga escala afetaram cerca de 74 empresas no mundo inteiro, incluindo o Brasil. Os ataques usam vírus de resgate (“ransomware”), que “sequestra” os dados até que uma quantia em dinheiro seja paga. O episódio evidenciou que, no atual cenário, a cibersegurança é tão importante quanto a segurança física. Mais do que isso, elas são interdependentes.

Durante meses, criminosos virtuais também infectaram milhões de dispositivos – incluindo câmeras IP e DVRs. Depois, instauraram um ataque massivo ao DDoS no site de um jornalista, o KrebsOnSecurity.com. Um mês depois, aconteceu o maior ataque DDoS da história, ao Dyn.com, onde serviços como Netflix, Spotfy e Amazon estão hospedados.

A maioria dos equipamentos infectados possui uma senha fácil de adivinhar, que nunca foi alterada ou que sequer podem ser modificadas. Ou possuem dispositivos com “backdoors” incorporados para tornar mais fácil para o fabricante depurá-los durante o desenvolvimento e que nunca mais foram fechados antes da produção. No final do ano passado, mais de 80 câmeras de outra grande fabricante mostraram ter “backdoor”. Um mês depois, o jornal Washington Post publicou que a polícia da cidade de Washington ficou incapaz de gravar com câmeras de videomonitoramento, pois 70% do armazenamento foi hackeado.

A preocupação é relativamente nova. Por muitos anos, a segurança física era analógica e não estava conectada diretamente à internet. Os profissionais de segurança patrimonial não precisavam se preocupar com a rede, e as equipes de TI pouco se preocupavam com as câmeras. No entanto, com a popularização do videomonitoramento digital, a situação mudou.

O desafio está na falta de diálogo entre as duas equipes. É preciso que os profissionais de segurança se atentem à cibersegurança e as equipes de TI estejam atualizadas sobre as potenciais vulnerabilidades dos equipamentos conectados à rede. Em algumas empresas e órgãos públicos, já existe comunicação entre os dois departamentos para combater ameaças em comum.

Nesse sentido, existem três categorias de empresas: no topo, empresas cuja imagem está atrelada a confiança e segurança, como bancos e instituições financeiras. Em geral, elas colocam a segurança em primeiro lugar, seja material ou de dados. O departamento de TI dessas empresas dificilmente permite a instalação de qualquer equipamento baseado em IP sem antes assegurar a procedência e testes.

Em outro grupo, estão as companhias que podem estar vulneráveis a ciberataques, mas ainda não contam com a expertise necessária para analisar os riscos ou, ao menos, mitigá-los. Mesmo que não seja uma prioridade, elas são as que mais correm riscos, e buscam proteção. Com um sistema já bastante complexo, deveriam encarar o gerenciamento de rede um trabalho de tempo integral, mas dificilmente contam com recursos suficientes para policiar adequadamente todos os dispositivos conectados.

Por último, pequenas empresas sem conhecimento sobre cibersegurança e a importância de proteger dispositivos IP antes de conectá-los à rede. Esse terceiro grupo dificilmente conta com um gerente de TI disponível 24 horas por dia. Para essas empresas, uma simples configuração automatizada é ideal, com toda segurança incluída num pacote – por exemplo, câmeras, gravadores, cartões de memória e um sistema de gerenciamento de vídeo em um único pacote.

No final das contas, tanto o Departamento de TI quanto o de Segurança Patrimonial precisam se engajar para resolver o problema, e não apenas varrer para debaixo do tapete até que um ataque real aconteça. E como fazer isso? Infelizmente, existem diversos casos que demonstram o quão vulnerável os dispositivos IoT podem ser, o quão onipresente está o risco e o quão estes dois fatos tornam as empresas e governos um alvo atraente aos hackers.

Mesmo que o roubo de 10 episódios da última temporada de Orange Is The New Black por um hacker não seja uma grave ameaça à civilização, isso mostra o potencial do que pode acontecer com dispositivos que falhem em se proteger contra ataques cibernéticos.

Por Érico Moreira, engenheiro de vendas da Axis Communications.