Pegada pelo ataque repentino do COVID-19, a maioria das empresas não possui ou possui sistemas de segurança inadequados para suportar o trabalho remoto e agora tem que lidar com uma nova realidade que inclui uma superfície de ataque muito mais ampla e dispositivos de usuário menos protegidos.

Muitos também tiveram que se adaptar e adotar ferramentas digitais rapidamente, assumindo novas tecnologias que podem não estar adequadamente protegidas.

Já, 21% das organizações em Cingapura revelaram que viram um aumento nos ataques a seus sistemas de TI devido à pandemia, de acordo com um relatório do HackerOne divulgado esta semana. Cerca de 58% dessas empresas acreditam que têm maior probabilidade de encontrar uma violação de dados como resultado da pandemia global, descobriu a pesquisa, que entrevistou 200 entrevistados na cidade-estado. Conduzido pela Opinion Matters em julho de 2020, o estudo HackerOne entrevistou 1.400 profissionais de segurança em Cingapura, Austrália, França, Alemanha, Canadá, Reino Unido e EUA.

Em geral, 64% achavam que era provável que sua organização sofresse uma violação de dados como resultado da pandemia. O CEO da HackerOne, Marten Mickos, disse: "A crise do COVID-19 mudou a vida online. À medida que as empresas correm para atender aos requisitos de trabalho remoto e às demandas dos clientes por serviços digitais, as superfícies de ataque se expandiram dramaticamente, deixando as equipes de segurança escassas e sem pessoal para lidar com isso."

Com mais funcionários trabalhando em casa, ficou mais fácil lançar ataques contra empresas, alertou Eugene Kaspersky, CEO da Kaspersky, que falava no Fórum de Política Online da Kaspersky para a Ásia-Pacífico na semana passada.

O fornecedor de segurança viu um aumento de 25% no número de novos aplicativos maliciosos para mais de 400.000 por dia, de 300.000 antes do surto do vírus. Kaspersky disse que essa é a realidade hoje e por que ter a estratégia certa de segurança cibernética era ainda mais importante agora em meio à pandemia.

O membro do painel David Koh, comissário de segurança cibernética e executivo-chefe da Agência de Segurança Cibernética de Cingapura (CSA), concordou, observando que governos, indústrias e indivíduos tiveram que mudar a maneira como vivem, trabalham e se divertem, e tudo em um curto espaço de tempo período de tempo.

As empresas tiveram que se adaptar para trabalhar em casa e envolver parceiros e clientes online, disse Koh. "Coisas que alguns achavam muito difíceis de fazer nove meses atrás tiveram que mudar da noite para o dia", disse ele. "Tivemos que fundamentalmente adaptar e empregar nova tecnologia literalmente da noite para o dia [e] muito dessa nova tecnologia é muito menos segura."

Os bancos de dados, por exemplo, tiveram que ser estendidos para que os funcionários pudessem acessá-los de seu ambiente doméstico e os controles que existiam anteriormente nos locais de trabalho físicos não eram mais relevantes.

Em vez disso, os sistemas Wi-Fi domésticos dos funcionários agora eram os principais centros de conectividade e não eram tão seguros quanto o ambiente do escritório, disse Koh. O perfil de risco de uma organização mudou e ela teve que lidar com uma superfície de ataque maior, acrescentou.

Os funcionários foram retirados dos escritórios e colocados em suas casas, mas as organizações não tinham sistemas de segurança configurados fora das paredes da empresa, disse Mark Johnston, chefe de segurança do Google Cloud na Ásia-Pacífico para especialistas em rede e colaboração.

Falando para ZDNet em uma chamada de vídeo, ele observou que as empresas agora têm que lidar com dispositivos fora de sua rede que nunca tiveram de gerenciar antes. As ferramentas tradicionais de rede privada virtual (VPN) podem não funcionar necessariamente bem, já que não podem ser escaladas bem, disse Johnston, acrescentando que sua equipe percebeu um fluxo repentino de consultas de clientes sobre como lidar com o acesso seguro de dispositivos fora de sua infraestrutura.

Os cibercriminosos também se adaptaram, ampliando seu foco para atingir o interesse público no COVID-19 como iscas para golpes, phishing e ataques de ransomware.

Novas vulnerabilidades também foram expostas porque os usuários saíram de seu ambiente corporativo e não estavam mais protegidos por um firewall, disse Johnston, observando que a plataforma de aprendizado de máquina do Google se ajustou dinamicamente ao pico de ataques com o tema COVID-19.

A plataforma de nuvem varreu mais de 300 bilhões de anexos de e-mail por semana, dos quais 240 milhões eram spam e 18 milhões eram ataques de malware com o tema COVID. Cerca de 99,9% foram bloqueados antes de chegar às caixas de entrada.

Rajesh Pant, Coordenador Nacional de Segurança Cibernética da Índia, também observou um aumento no uso online em seu país devido à pandemia. O Centro Nacional de Informática, que gerencia os serviços de governo eletrônico da Índia e dá suporte às necessidades de TIC do setor público, lidava com 20 milhões de consultas por e-mail por dia. Isso agora subiu para 70 milhões por dia, de acordo com Pant, que falava no fórum da Kaspersky. Da mesma forma, houve um aumento de 600% no crime cibernético.

Para ajudar a população a proteger seu espaço cibernético, ele disse que o governo indiano emitiu conselhos, por exemplo, para orientar os funcionários sobre como trabalhar em casa e realizar videoconferências com segurança, como a criação de salas de espera para o Zoom.

Também houve um foco maior em credenciais e identidade, uma vez que mais acessavam a rede corporativa de diferentes ambientes domésticos e online, observou ele. “Todo o sistema foi distribuído”, disse ele, enfatizando a necessidade de uma nova arquitetura de segurança cibernética.

Observando que as áreas críticas freqüentemente citadas de "pessoas", "processos" e "tecnologia" ainda são válidas na segurança cibernética, Pant ressaltou a importância de educar os usuários sobre como proteger sua própria higiene cibernética.

Mihoko Matsubara, estrategista-chefe de cibersegurança da NTT, disse: "Estamos agora mais vulneráveis ​​porque muitas empresas mudaram abruptamente para trabalhar em casa e trabalhar remotamente". Ela observou que 45% das organizações na Ásia-Pacífico ainda não forneceram treinamento para orientar os funcionários sobre como trabalhar com segurança ao fazê-lo remotamente.

Os orçamentos provavelmente também foram cortados devido ao clima econômico incerto, que agravou ainda mais o problema, disse Matsubara.

De acordo com um estudo da Barracuda Networks , 40% das empresas em todo o mundo tiveram seu orçamento de segurança cibernética cortado como uma medida de economia de custos devido ao COVID-19. Cerca de 51% disseram que sua força de trabalho não tinha treinamento adequado sobre os riscos cibernéticos associados ao trabalho remoto e 51% viram um aumento nos ataques de phishing de e-mail desde a mudança para um modelo de trabalho remoto.

"Tivemos que nos adaptar à situação do COVID-19 abruptamente ... [e] de uma perspectiva tecnológica, muitos de nós não estávamos prontos", disse Koh. Ele observou que a cibersegurança requer um equilíbrio do triângulo de ferro que compreende usabilidade, segurança e custo.

Mickos, da HackerOne, observou que a epidemia também obrigou as organizações a perceber que eram lentas com sua transformação digital e migração para a nuvem. Cerca de 37% em Cingapura disseram que a pandemia os levou a acelerar seus esforços de transformação digital, com os primeiros 40% admitindo que foram forçados a fazê-lo sem estar totalmente preparados.

"A pressão que isso causa nas equipes de segurança é imensa", disse ele. "Medidas de corte de custos combinadas com um aumento nos ataques significam que as violações de dados representam uma ameaça significativa à reputação da marca que pode já ter sofrido."

NECESSIDADE DE REGRA COMUM DE LEIS CIBERNÉTICAS

Koh apontou para "uma forte necessidade" de desenvolver uma ordem internacional baseada em regras para o ciberespaço, semelhante ao que o mundo já tinha para os domínios físicos de terra, mar, ar e comércio global.

Nesse aspecto, ele disse que Cingapura acredita que as Nações Unidas desempenham um papel importante na facilitação dos diálogos e da cooperação internacional. Ele observou que já havia esforços contínuos para estabelecer uma estrutura de segurança cibernética da Asean .

Kaspersky observou que embora apoiasse a necessidade de uma federação global, as tentativas anteriores de fazê-lo - incluindo a Conferência do Ciberespaço de Londres de 2011 - não resultaram em nada substancial.

Ele expressou esperança de que a pandemia COVID-19 encoraje mais nações a reconhecer a importância de tais esforços e, finalmente, estabelecer um sistema de trabalho para um ciberespaço mais seguro. Isso seria fundamental para ajudar a identificar e impedir os cibercriminosos em todas as jurisdições, disse ele.

Matsubara recebeu com satisfação os regulamentos de cada região, mas observou que a diversidade entre os países e mesmo dentro de regiões menores como a Asean, onde havia idiomas e culturas diferentes, dificultaria a imposição de regulamentos em todos os níveis. E levaria anos para estabelecer tais regulamentos.

Portanto, embora fosse importante ter regulamentação para incentivar as empresas a implementar boas práticas de segurança cibernética, ela enfatizou a necessidade de também educar governos, empresas e indivíduos para garantir que a segurança cibernética robusta fosse incorporada a todas as organizações.

“Usamos mais a TI durante esta pandemia, então a segurança cibernética precisa estar em todos os lugares e para todos”, disse ela, insistindo na necessidade de uma mudança de mentalidade.

Johnston também pediu mais padronização nas regulamentações que regem o uso de dados. Ele observou que atualmente existem diferentes níveis de maturidade nas leis regulatórias e de privacidade e até mesmo entre as indústrias no que diz respeito ao uso de TIC e como a segurança é aplicada.

E, embora a União Europeia tivesse uma estrutura comum de segurança de dados no Regulamento Geral de Privacidade de Dados (GDPR), a Ásia-Pacífico ainda carecia de uma diretiva legal semelhante. Isso criou desafios para as corporações multinacionais que buscam expandir-se para esta região, obrigando-as a garantir que cumprem as diferentes barreiras de privacidade e segurança das legislações em diferentes mercados, como a Lei de Proteção de Dados Pessoais (PDPA) de Cingapura e as leis do Reserve Bank of India em dados de pagamento, disse ele.

A SEGURANÇA DEVE SER "POR PADRÃO", MAIS SIMPLES

Koh também defendeu a necessidade de simplificar a tecnologia, que atualmente era muito complexa e difícil de gerenciar. “Estamos pedindo a todos, incluindo as pequenas e médias empresas, que sejam responsáveis ​​por sua própria segurança cibernética. Isso é impossível”, disse ele. "Precisa ser simplificado para que todos na rua possam cuidar de sua própria higiene cibernética. Precisa ser segurança por padrão, não apenas segurança por design ."

Os regulamentos, por exemplo, ajudariam a garantir que as empresas de telecomunicações estivessem fazendo as coisas certas no upstream, de modo que os consumidores recebessem "um tubo de internet mais limpo", observou ele. Apontando como os sistemas de água eram comumente operados hoje, ele disse: "Agora, [na cibersegurança] todo mundo precisa purificar sua própria água ... não é mais fácil ter uma organização central purificando-a primeiro [antes de ser distribuída por meio de canos de água ]? Deve ser o mesmo com a segurança cibernética. "

Para facilitar esses esforços, Koh disse que Cingapura no início deste ano introduziu um esquema de rotulagem para ajudar a aumentar a consciência do consumidor sobre a segurança ao usar dispositivos de Internet das Coisas (IoT) , especificamente, roteadores domésticos e hubs domésticos inteligentes. A iniciativa também teve como objetivo incentivar os fabricantes a implantar medidas aprimoradas de segurança cibernética e criar um mandato para um conjunto de requisitos mínimos de segurança para roteadores domésticos.

Observando que preço, funcionalidade ou cor são fatores decisivos quando os consumidores compram um produto de tecnologia, ele disse que poucos considerariam o nível de segurança do dispositivo. O esquema de rotulagem ajudaria a resolver isso com seu sistema simples de três marcações, ele acrescentou, onde dispositivos com três marcações foram avaliados para ter boas características de segurança.

Fornecedores de tecnologia como Google e Kaspersky esperam eliminar a complexidade da segurança, aproveitando a automação e a inteligência artificial (IA).

Semelhante ao seu objetivo de democratizar a IA, o Google esperava fazer o mesmo com a segurança, disse Johnston. O objetivo aqui era concentrar os esforços de design na facilidade de uso, como fazia com seus produtos de consumo, para ferramentas de segurança de negócios mais avançadas, disse ele.

A Kaspersky também observou que a IA e o aprendizado de máquina eram essenciais na segurança para ajudar aqueles que não conseguiam se ajudar.

Essas ferramentas monitorariam os ambientes corporativos para garantir que os usuários, assim como os aplicativos, estivessem fazendo o que se esperava que fizessem e identificassem quaisquer anormalidades nos sistemas, disse ele.

Fonte: ZDNet