- Partilhar artigo
- ...
A cibersegurança não é uma questão tecnológica mas de negócio da governação da empresa, porque se trata de riscos para o negócio e a sobrevivência da empresa" referiu Menny Barzilay, especialista em cibersegurança, participando num evento sobre o tema organizado pela Accenture e pelo Negócios.
O Ashley-Maddison, um site de relacionamentos, foi atacado durante seis meses por hackers, que acederam a dados pessoais de 30 milhões de clientes. Os dados foram usados para chantagear e depois tornados públicos. "Na Arábia Saudita serviu de motivo para a detenção de pessoas pois o adultério é punido e, além de divórcios, houve pessoas que se suicidaram por causa da exposição pública dos seus dados. Ataques cibernéticos matam indirectamente pessoas, causam vítimas" assinalou Menny Barzilay.
Este caso, como o da Target, empresa de distribuição em que também foram furtados dados dos clientes, foi um marco, pois os CEO, tanto da Ashley-Maddison, Noel Biderman, como da Target nos EUA, Gregg Steinhafel, resignaram. "Não foram os responsáveis pela cibersegurança, foram os CEO e foi uma grande mudança na cadeia de responsabilidades, que passou da tecnologia para os responsáveis pelo negócio".
Para os reguladores em todo o mundo, a administração e o principal executivo são os responsáveis pelos procedimentos e pelo tema da cibersegurança. "Os membros de um conselho de administração têm de debater e decidir em relação às questões de cibersegurança". Têm de envolver toda a organização porque na maior parte dos principais ataques dos últimos foi um colaborador, muitos vezes, senior, "que abriu a porta para os hackers", o que torna muito importante a 'awareness' da organização para segurança.
Tudo pode ser atacado
"Tudo pode ser atacado por hackers: "the reality is everything is hackable" repetiu Menny Barzilay. Para este consultor em cibersegurança a questão que hoje se coloca aos decisores das empresas e das organizações é: o que fazer quando se sofre um ciber-ataque? Estão prontas para reagir? "Não se consegue parar os hackers", o que significa que a prevenção não é suficiente.
Tem-se balanceado entre a protecção e a detecção, mas tem de se ter uma estratégia de resposta e de recuperação. Menny Barzilay sublinha que se tem de se investir na prevenção, na detecção, mas também "na ciber intelligence, recolhendo informação, por exemplo, na darknet, pois muitas empresas descobrem que foram hackeadas quando a informação está a ser vendida. Muitas vezes as empresas tornam-se mais fortes depois de reagirem e recuperarem de ciberataques".
Mas para ser efectiva, esta estratégia de cibersegurança "é muito pesada para uma organização ao defender-se das ameaças, mas para quem tem muitas bases de dados tem de ser feito". A segurança automatizada é importante hoje e já há sistemas muito bons. Devem adoptar os princípios da segurança desde a fase de concepção (security by design) caso contrário os investimentos são mais avultados para os mesmos níveis de segurança.
Barzilay referiu ainda o perigo acrescido com a tendência da tecnologia para a Internet das Coisas, e nesta compreende-se um universo de biliões de conexões como as smart houses, as smart cities, veículos autónomos, automatização industrial, digitalização, robotização entre tantas outras ligações. Esta malha entrelaça o mundo digital e o real e "cada vez mais a segurança digital e a física se interligam, o que faz da gestão das redes, firewall, permissões, coisas muito importantes".
"A confiança é fundamental e para fazer frente aos hackers tem de se trabalhar em equipa para que no futuro seja um mundo mais seguro" disse Menny Barzilay. É importante criar mecanismos de cooperação e de troca de informação, nomeadamente com as autoridades policiais, porque quando uma empresa é atacada há outras que também o são. Os hackers são muito bons no trabalho de equipa e de cooperação. As organizações têm de fazer o mesmo.
O cibercrime é muito qualificado
Com o cibercrime "é a primeira vez na história que uma indústria do crime é liderada por algumas das pessoas mais inteligentes do mundo" referiu Menny Barzilay.
Com o cibercrime "é a primeira vez na história que uma indústria do crime é liderada por algumas das pessoas mais inteligentes do mundo" referiu Menny Barzilay. "Poderiam estar numa empresa de tecnologia a ganhar muito dinheiro mas estão no crime por razões diversas porque vivem, por exemplo, em locais onde não têm grandes oportunidades de emprego. Por isso o crime cibernético é tão criativo e é interessante atacar empresas" explicou.
Comportam-se como pescadores, lançam e-mails, mensagens, para ver quem são os peixes que picam. Mas o mais perigoso dá-se quando grupos de hackers se reúnem para atacar uma organização. Recolhem o máximo de informação sobre o alvo, os seus funcionários, as suas actividades, as suas relações, os seus processos, a sua estrutura e base tecnológica. Investem meses na recolha de informação e milhões de dólares de investimentos até encontrar a porta de entrada e atacam com a expectativa de recuperar o investimento e ganhar dinheiro.
"Estas unidades de cibercrime têm uma organização militar, pessoas com várias especialidades e valências e estão estruturados como uma empresa com o objectivo de fazer cada vez mais dinheiro" referiu Menny Barzilay. Nos Estados Unidos já houve polícias a pagarem a criminosos para libertarem os computadores.
As fronteiras do cibercrime alargaram-se. A barreira entre o mundo físico e o digital foi derrubado com a internet das coisas e os veículos autónomos e portanto os hackers podem causar danos na vida real e quotidiana, atingir unidades de produção e fábricas.
O universo negro da net
A darknet é o universo do anonimato e funciona como uma espécie de e-bay anónima onde se pode comprar desde dados pessoais a cartões de crédito, armas e fazer encomendas de ataques de ramsonware. "É onde estão as piores coisas que um humano é capaz de se lembrar" e é um autêntico serviço do crime.
Há cada vez mais e diversificadas motivações desde o dinheiro ao activismo, passando pelo divertimento para o crime cibernético que se tem tornado mais sofisticado e destruidor. Para além que "ser hacker é cada vez mais fácil". Há toda uma panóplia de programas e de tutorials que explicam como fazer ataques cibernéticos e quem tem capacidades técnicas facilmente desenvolve técnicas de ataque.
Este sucesso do lado negro da internet tem a ver com a sua história. "Ninguém esperava que a internet fosse tão bem sucedida e foi desenvolvida sem que a segurança estivesse na agenda e o único objectivo no seu desenvolvimento era a conectividade. E muitos dos problemas actuais de cibersegurança têm a ver com o facto de a internet nas suas origens se ter desenvolvido sem preocupação de segurança" salientou Barzilay.
O stock de bases de dados é o principal problema, apesar do desenvolvimento inovador, inteligente e flexível em termos de cibersegurança para corrigir estes problemas estruturais da internet, com base em grandes doses de investimento das principais empresas.
O Ashley-Maddison, um site de relacionamentos, foi atacado durante seis meses por hackers, que acederam a dados pessoais de 30 milhões de clientes. Os dados foram usados para chantagear e depois tornados públicos. "Na Arábia Saudita serviu de motivo para a detenção de pessoas pois o adultério é punido e, além de divórcios, houve pessoas que se suicidaram por causa da exposição pública dos seus dados. Ataques cibernéticos matam indirectamente pessoas, causam vítimas" assinalou Menny Barzilay.
Este caso, como o da Target, empresa de distribuição em que também foram furtados dados dos clientes, foi um marco, pois os CEO, tanto da Ashley-Maddison, Noel Biderman, como da Target nos EUA, Gregg Steinhafel, resignaram. "Não foram os responsáveis pela cibersegurança, foram os CEO e foi uma grande mudança na cadeia de responsabilidades, que passou da tecnologia para os responsáveis pelo negócio".
Para os reguladores em todo o mundo, a administração e o principal executivo são os responsáveis pelos procedimentos e pelo tema da cibersegurança. "Os membros de um conselho de administração têm de debater e decidir em relação às questões de cibersegurança". Têm de envolver toda a organização porque na maior parte dos principais ataques dos últimos foi um colaborador, muitos vezes, senior, "que abriu a porta para os hackers", o que torna muito importante a 'awareness' da organização para segurança.
Tudo pode ser atacado
"Tudo pode ser atacado por hackers: "the reality is everything is hackable" repetiu Menny Barzilay. Para este consultor em cibersegurança a questão que hoje se coloca aos decisores das empresas e das organizações é: o que fazer quando se sofre um ciber-ataque? Estão prontas para reagir? "Não se consegue parar os hackers", o que significa que a prevenção não é suficiente.
Perfil
O especialista israelita
Menny Barzilay é um especialista israelita nos temas de segurança digital das organizações, tendo anteriormente sido Chief Information Security Officer dos serviços de inteligência das Forças de Defesa Israelitas, e responsável do IT Audit Department do Bank Hapoalim Group. Foi co-fundador da FortyTwo-Cyber Security Professional Services (Israel) e dos FortyTwo R & D Labs (Índia). É também o CTO Interdisciplinary Cyber Research Center na Universidade Tel-Aviv. É consultor nas áreas de segurança cibernética e inovação para empresas internacionais.
Tem-se balanceado entre a protecção e a detecção, mas tem de se ter uma estratégia de resposta e de recuperação. Menny Barzilay sublinha que se tem de se investir na prevenção, na detecção, mas também "na ciber intelligence, recolhendo informação, por exemplo, na darknet, pois muitas empresas descobrem que foram hackeadas quando a informação está a ser vendida. Muitas vezes as empresas tornam-se mais fortes depois de reagirem e recuperarem de ciberataques".
Muitas empresas descobrem que foram 'hackeadas' quando a sua informação está a ser vendida na darknet.
Para fazer frente aos hackers tem de se trabalhar em equipa para que no futuro haja um mundo mais seguro. Menny Barzilay
Especialista em cibersegurança
Para fazer frente aos hackers tem de se trabalhar em equipa para que no futuro haja um mundo mais seguro. Menny Barzilay
Especialista em cibersegurança
Mas para ser efectiva, esta estratégia de cibersegurança "é muito pesada para uma organização ao defender-se das ameaças, mas para quem tem muitas bases de dados tem de ser feito". A segurança automatizada é importante hoje e já há sistemas muito bons. Devem adoptar os princípios da segurança desde a fase de concepção (security by design) caso contrário os investimentos são mais avultados para os mesmos níveis de segurança.
Barzilay referiu ainda o perigo acrescido com a tendência da tecnologia para a Internet das Coisas, e nesta compreende-se um universo de biliões de conexões como as smart houses, as smart cities, veículos autónomos, automatização industrial, digitalização, robotização entre tantas outras ligações. Esta malha entrelaça o mundo digital e o real e "cada vez mais a segurança digital e a física se interligam, o que faz da gestão das redes, firewall, permissões, coisas muito importantes".
"A confiança é fundamental e para fazer frente aos hackers tem de se trabalhar em equipa para que no futuro seja um mundo mais seguro" disse Menny Barzilay. É importante criar mecanismos de cooperação e de troca de informação, nomeadamente com as autoridades policiais, porque quando uma empresa é atacada há outras que também o são. Os hackers são muito bons no trabalho de equipa e de cooperação. As organizações têm de fazer o mesmo.
Cibersegurança é um tema estratégico
Luís Pedro Duarte, managing-director da Accenture Strategy, abriu o evento.
Para Luís Pedro Duarte, managing-director da Accenture Strategy, o tema da cibersegurança é hoje fundamental para as organizações.
Este é um tema que está na agenda das organizações, como ilustram os recentes ataques sistemáticos e as notícias mais recentes. Para a Accenture Strategy, este tema é amplo. "Não é um tema de segurança no sentido estrito do termo, não é um tema do departamento de tecnologias de informação, mas é estratégico porque, por exemplo, lida com o comportamento dos empregados" afiançou Luís Pedro Duarte, managing-director da Accenture Strategy lead at Portugal Accenture.
Referiu que há vários estudos que mostram que o problema também "tem a ver com práticas quotidianas das empresas que não são consentâneas com os níveis de risco que, ao mesmo tempo, a digitalização e da transformação digital está a originar". É um tema com mais dimensões dos que as se podem pensar num primeiro olhar.
O cibercrime é muito qualificado
Com o cibercrime "é a primeira vez na história que uma indústria do crime é liderada por algumas das pessoas mais inteligentes do mundo" referiu Menny Barzilay.
Com o cibercrime "é a primeira vez na história que uma indústria do crime é liderada por algumas das pessoas mais inteligentes do mundo" referiu Menny Barzilay. "Poderiam estar numa empresa de tecnologia a ganhar muito dinheiro mas estão no crime por razões diversas porque vivem, por exemplo, em locais onde não têm grandes oportunidades de emprego. Por isso o crime cibernético é tão criativo e é interessante atacar empresas" explicou.
Comportam-se como pescadores, lançam e-mails, mensagens, para ver quem são os peixes que picam. Mas o mais perigoso dá-se quando grupos de hackers se reúnem para atacar uma organização. Recolhem o máximo de informação sobre o alvo, os seus funcionários, as suas actividades, as suas relações, os seus processos, a sua estrutura e base tecnológica. Investem meses na recolha de informação e milhões de dólares de investimentos até encontrar a porta de entrada e atacam com a expectativa de recuperar o investimento e ganhar dinheiro.
"Estas unidades de cibercrime têm uma organização militar, pessoas com várias especialidades e valências e estão estruturados como uma empresa com o objectivo de fazer cada vez mais dinheiro" referiu Menny Barzilay. Nos Estados Unidos já houve polícias a pagarem a criminosos para libertarem os computadores.
As fronteiras do cibercrime alargaram-se. A barreira entre o mundo físico e o digital foi derrubado com a internet das coisas e os veículos autónomos e portanto os hackers podem causar danos na vida real e quotidiana, atingir unidades de produção e fábricas.
O universo negro da net
A darknet é o universo do anonimato e funciona como uma espécie de e-bay anónima onde se pode comprar desde dados pessoais a cartões de crédito, armas e fazer encomendas de ataques de ramsonware. "É onde estão as piores coisas que um humano é capaz de se lembrar" e é um autêntico serviço do crime.
Há cada vez mais e diversificadas motivações desde o dinheiro ao activismo, passando pelo divertimento para o crime cibernético que se tem tornado mais sofisticado e destruidor. Para além que "ser hacker é cada vez mais fácil". Há toda uma panóplia de programas e de tutorials que explicam como fazer ataques cibernéticos e quem tem capacidades técnicas facilmente desenvolve técnicas de ataque.
Este sucesso do lado negro da internet tem a ver com a sua história. "Ninguém esperava que a internet fosse tão bem sucedida e foi desenvolvida sem que a segurança estivesse na agenda e o único objectivo no seu desenvolvimento era a conectividade. E muitos dos problemas actuais de cibersegurança têm a ver com o facto de a internet nas suas origens se ter desenvolvido sem preocupação de segurança" salientou Barzilay.
O stock de bases de dados é o principal problema, apesar do desenvolvimento inovador, inteligente e flexível em termos de cibersegurança para corrigir estes problemas estruturais da internet, com base em grandes doses de investimento das principais empresas.
