O problema da ciber(in)segurança


Tal como noutros combates da nossa sociedade, se não colaborarmos todos e não agirmos em conjunto, os esforços individuais serão inúteis.


Os últimos anos têm sido férteis em notícias de falhas de segurança e roubos de informação, tanto ao nível pessoal como ao nível empresarial e governamental. Com a crescente utilização da internet para a realização de actividades críticas da nossa vida, por exemplo, a realização de transacções bancárias ou o acesso online aos nossos registos médicos, e com a onda da transformação digital a levar as organizações a digitalizar cada vez mais os seus processos e a colocar cada vez mais informação online, o controlo do acesso a esta informação e a sua segurança têm de ser uma preocupação fundamental na nossa sociedade. A falha neste controlo poderá ter profundas influências políticas e na segurança dos Estados, resultar na violação da garantia da privacidade e das liberdades de cada indivíduo e ter um impacto económico nas pessoas e nas organizações. Veja-se o caso do ransomware Wannacry1, que em 2017 cifrou o disco de cerca de 300 mil computadores em todo o mundo e paralisou diversas organizações.

A segurança da informação, como diversas outras coisas, é olhada muito atentamente por uns e com menos atenção ou não olhada de todo por outros. O problema, neste caso particular, é que a segurança e a “saúde” das nossas redes e da nossa informação são da responsabilidade de todos. Tal como noutros combates da nossa sociedade, se não colaborarmos todos e não agirmos em conjunto, os esforços individuais serão inúteis, pois a segurança de um Estado, de uma organização, cairá sempre pelo seu elo mais fraco. É por isso necessário adoptar medidas sérias e abrangentes por forma que todos tenhamos um comportamento seguro, sendo a formação de recursos e a implementação de políticas de gestão uma das maneiras de atingir essse objectivo.

Mas a formação não se resume à formação técnica específica. É mais abrangente e tem de incluir os utilizadores, fomentando a utilização de comportamentos seguros, bem como os dirigentes e decisores, por forma a consciencializá-los para os  perigos da (in)segurança digital e de como um ataque a uma organização pode destruir um negócio, seja ele por perda de valor ou por perda de reputação.

Por exemplo, de nada vale termos processos seguros e acessos controlados se os colaboradores de uma organização clicarem em todos os emails de phishing que recebem (email fraudulento que normalmente solicita ao utilizador as credenciais de acesso à sua organização) ou fornecerem a qualquer pessoa a sua password de acesso à rede da organização. Os atacantes poderão, neste caso, aceder à organização, por melhor que seja a política de passwords. Não interessa se é uma password forte que não seja uma palavra do dicionário, que tenha números, maiúsculas, caracteres especiais, etc.

E também de nada vale ter uma formação e mentalidade de segurança entre os colaboradores se os factores de segurança não forem levados em conta pelos gestores do negócio. Os gestores têm de olhar para a sua organização e definir os processos necessários para ter uma organização segura. É necessário que todas as decisões por eles tomadas, sejam elas de investimento em recursos humanos e materiais, sejam em definição das políticas de expansão, marketing, vendas ou criação de novos produtos, tenham em conta as suas implicações ao nível da segurança da organização. E, neste campo, a entrada em vigor do RGPD veio de alguma forma obrigar os gestores a pensarem a segurança das suas organizações e como proteger os dados de outros que têm à sua guarda, mas o exercício não pode ficar por aqui.

E, por fim, a formação técnica específica, a segurança do ponto de vista tecnológico. Esta é a parte mais difícil, pois a falta de recursos é abismal e a formação destes recursos é muito lenta. Só nos Estados Unidos prevê-se que em 2021 haja uma falta de 3,5 milhões de profissionais na área de cibersegurança. A própria agência europeia para a cibersegurança (ENISA) criou o European Cyber Security Challenge2 como forma de atrair os jovens talentos europeus da área da cibersegurança, tendo Portugal3 participado pela primeira vez em 2019, obtendo o décimo lugar num total de 20 países participantes. 

Em Portugal, algumas universidades e empresas têm dado alguns passos nesta área nos últimos anos e, em particular, o Instituto Superior Técnico tem apostado bastante na área de cibersegurança onde, para além das iniciativas de formação académica e pós-graduação profissional, tem desde 2014 promovido a iniciativa STT4, o clube de segurança do Técnico, um grupo de alunos que compete em várias competições internacionais (CTF) tentando identificar vulnerabilidades de segurança em cenários concebidos para o efeito de uma forma muito semelhante aos cenários de treino concebidos por organizações nos chamados Cyber Ranges. Este projecto tem tido reconhecimento nacional5, bem como internacional, estando neste momento entre as 25 melhores equipas académicas mundiais. 

Por isso, em Portugal temos alguns recursos bastante bons, académicos e profissionais, ao nível dos melhores do mundo. Mas temos poucos. E o mesmo se passa, infelizmente, no resto da Europa e do mundo. Temos, por isso, de desafiar em conjunto, como sociedade, os melhores, desafiar as suas capacidades, e continuar este longo caminho da formação de recursos e educação em cibersegurança de utilizadores, gestores e técnicos, pois o problema da ciber(in)segurança não é meu nem é seu. É nosso!

1 | https://en.wikipedia.org/wiki/WannaCry_ransomware_attack

2 | https://europeancybersecuritychallenge.eu/ 

3 | https://cybersecuritychallenge.pt/

4 | https://sectt.github.io/

5 | https://sectt.github.io/posts/2018/03/iCTF18

Professor do Departamento de Engenharia Informática do Instituto Superior Técnico


O problema da ciber(in)segurança


Tal como noutros combates da nossa sociedade, se não colaborarmos todos e não agirmos em conjunto, os esforços individuais serão inúteis.


Os últimos anos têm sido férteis em notícias de falhas de segurança e roubos de informação, tanto ao nível pessoal como ao nível empresarial e governamental. Com a crescente utilização da internet para a realização de actividades críticas da nossa vida, por exemplo, a realização de transacções bancárias ou o acesso online aos nossos registos médicos, e com a onda da transformação digital a levar as organizações a digitalizar cada vez mais os seus processos e a colocar cada vez mais informação online, o controlo do acesso a esta informação e a sua segurança têm de ser uma preocupação fundamental na nossa sociedade. A falha neste controlo poderá ter profundas influências políticas e na segurança dos Estados, resultar na violação da garantia da privacidade e das liberdades de cada indivíduo e ter um impacto económico nas pessoas e nas organizações. Veja-se o caso do ransomware Wannacry1, que em 2017 cifrou o disco de cerca de 300 mil computadores em todo o mundo e paralisou diversas organizações.

A segurança da informação, como diversas outras coisas, é olhada muito atentamente por uns e com menos atenção ou não olhada de todo por outros. O problema, neste caso particular, é que a segurança e a “saúde” das nossas redes e da nossa informação são da responsabilidade de todos. Tal como noutros combates da nossa sociedade, se não colaborarmos todos e não agirmos em conjunto, os esforços individuais serão inúteis, pois a segurança de um Estado, de uma organização, cairá sempre pelo seu elo mais fraco. É por isso necessário adoptar medidas sérias e abrangentes por forma que todos tenhamos um comportamento seguro, sendo a formação de recursos e a implementação de políticas de gestão uma das maneiras de atingir essse objectivo.

Mas a formação não se resume à formação técnica específica. É mais abrangente e tem de incluir os utilizadores, fomentando a utilização de comportamentos seguros, bem como os dirigentes e decisores, por forma a consciencializá-los para os  perigos da (in)segurança digital e de como um ataque a uma organização pode destruir um negócio, seja ele por perda de valor ou por perda de reputação.

Por exemplo, de nada vale termos processos seguros e acessos controlados se os colaboradores de uma organização clicarem em todos os emails de phishing que recebem (email fraudulento que normalmente solicita ao utilizador as credenciais de acesso à sua organização) ou fornecerem a qualquer pessoa a sua password de acesso à rede da organização. Os atacantes poderão, neste caso, aceder à organização, por melhor que seja a política de passwords. Não interessa se é uma password forte que não seja uma palavra do dicionário, que tenha números, maiúsculas, caracteres especiais, etc.

E também de nada vale ter uma formação e mentalidade de segurança entre os colaboradores se os factores de segurança não forem levados em conta pelos gestores do negócio. Os gestores têm de olhar para a sua organização e definir os processos necessários para ter uma organização segura. É necessário que todas as decisões por eles tomadas, sejam elas de investimento em recursos humanos e materiais, sejam em definição das políticas de expansão, marketing, vendas ou criação de novos produtos, tenham em conta as suas implicações ao nível da segurança da organização. E, neste campo, a entrada em vigor do RGPD veio de alguma forma obrigar os gestores a pensarem a segurança das suas organizações e como proteger os dados de outros que têm à sua guarda, mas o exercício não pode ficar por aqui.

E, por fim, a formação técnica específica, a segurança do ponto de vista tecnológico. Esta é a parte mais difícil, pois a falta de recursos é abismal e a formação destes recursos é muito lenta. Só nos Estados Unidos prevê-se que em 2021 haja uma falta de 3,5 milhões de profissionais na área de cibersegurança. A própria agência europeia para a cibersegurança (ENISA) criou o European Cyber Security Challenge2 como forma de atrair os jovens talentos europeus da área da cibersegurança, tendo Portugal3 participado pela primeira vez em 2019, obtendo o décimo lugar num total de 20 países participantes. 

Em Portugal, algumas universidades e empresas têm dado alguns passos nesta área nos últimos anos e, em particular, o Instituto Superior Técnico tem apostado bastante na área de cibersegurança onde, para além das iniciativas de formação académica e pós-graduação profissional, tem desde 2014 promovido a iniciativa STT4, o clube de segurança do Técnico, um grupo de alunos que compete em várias competições internacionais (CTF) tentando identificar vulnerabilidades de segurança em cenários concebidos para o efeito de uma forma muito semelhante aos cenários de treino concebidos por organizações nos chamados Cyber Ranges. Este projecto tem tido reconhecimento nacional5, bem como internacional, estando neste momento entre as 25 melhores equipas académicas mundiais. 

Por isso, em Portugal temos alguns recursos bastante bons, académicos e profissionais, ao nível dos melhores do mundo. Mas temos poucos. E o mesmo se passa, infelizmente, no resto da Europa e do mundo. Temos, por isso, de desafiar em conjunto, como sociedade, os melhores, desafiar as suas capacidades, e continuar este longo caminho da formação de recursos e educação em cibersegurança de utilizadores, gestores e técnicos, pois o problema da ciber(in)segurança não é meu nem é seu. É nosso!

1 | https://en.wikipedia.org/wiki/WannaCry_ransomware_attack

2 | https://europeancybersecuritychallenge.eu/ 

3 | https://cybersecuritychallenge.pt/

4 | https://sectt.github.io/

5 | https://sectt.github.io/posts/2018/03/iCTF18

Professor do Departamento de Engenharia Informática do Instituto Superior Técnico