Cibersegurança e Resiliência Empresarial

À medida que o mundo se torna mais digital e interligado, os desafios e oportunidades para os diretores executivos também aumentam. As tendências cibernéticas deste ano exigirão que os líderes adotem uma abordagem proativa e estratégica na gestão dos riscos e benefícios associados à IA (inteligência artificial) e outras tecnologias emergentes. Ao mesmo tempo os diretores executivos podem tirar partido dessas tendências para criar valor e ganhar vantagem competitiva para as suas organizações, mediante uma avaliação de riscos adequada, fomentando, ao mesmo tempo, a confiança digital que é cada vez mais imperativo para assegurar uma relação sólida com todos os stakeholders no mundo digital dos negócios.

No entanto, a crescente inovação impulsionada pela transformação digital traz consigo um dilema intrínseco, conhecido como o compromisso entre inovação e os riscos cibernéticos associados.  À medida que as organizações adotam e integram tecnologias como IA, ML (Machine Learning), IoT (Internet of Things), automatização e conectividade para impulsionar eficiência e competitividade, esse percurso em direção à inovação não está isento de desafios, destacando-se a necessidade de proteção dos seus ativos digitais perante ameaças e riscos globais incluindo riscos cibernéticos.

Temos este ano, a informação falsa, imprecisa/enganosa (desinformação) impulsionada pela IA generativa, como sendo um dos principais riscos imediatos que o mundo enfrenta, conforme indicado no relatório anual de risco do Fórum Económico Mundial (WEF) para 2024[1]. Este relatório lista os cinco principais riscos globais, priorizados pela seguinte ordem: Condições climáticas extremas, desinformação e informação enganosa gerada por IA, polarização social e/ou política, crise do custo de vida e ciberataques.

cuurent risk landscape

Fonte: https://www.weforum.org/agenda/2024/01/global-risk-report-2024-risks-are-growing-but-theres-hope/

É crucial percecionar estes riscos, sendo que me focarei neste artigo no 2º e 5º (dado que são os riscos tecnológicos) e compreender as implicações a curto, médio e longo prazo destas ameaças para garantir uma postura correta e atempada em ciber resiliência de cada organização, até porque os ciberataques estão (também) a adotar novas tecnologias ampliando o número de mercados-alvo que podem atingir. 

Para lidar com este fenómeno, torna-se imperativo apostar, seja interna ou externamente, em talentos especializados em cibersegurança, com o objetivo de reforçar a resiliência em muitas organizações que, até ao momento, não se veem dotadas de tais especialistas. Não sendo, muitas vezes, uma prioridade tratada com a devida seriedade pelos líderes empresariais, a falta de aquisição ou a dificuldade na retenção de especialistas nessa área compromete a capacidade das organizações em proteger-se contra ciberataques ou recuperar de incidentes.

Não se deseja alarmar as organizações, sugerindo a necessidade em ter profissionais internos para abranger todas as necessidades de resposta a todos os riscos, mas sim que entendam que devem estar preparadas para lidar com eventos adversos, dado que em cibersegurança, a questão não será “se”, mas sim, “quando” ocorrerá um incidente.

Quando nos deparamos, por exemplo, com o tema do ransomware, compreendemos que os backups representam um dos elementos cruciais para a recuperação de dados e a continuidade das operações (se os dados estiverem íntegros e atualizados dentro de um período aceitável). De forma preocupante, constata-se que 72% das organizações em todo o mundo foram impactadas por ataques de ransomware no ano passado (valor este que tem aumentado desde 2018).[2] Trata-se de um impacto impressionante sobre 72% das organizações em todo o mundo!

De forma séria e tendo em conta estes dados, as organizações devem avaliar constantemente os seus riscos, desejando que elevem o nível de maturidade tanto na perceção como na inclusão de riscos significativos. Muitas organizações possuem, ainda, avaliações de risco “paradas no tempo”, com uma lista esverdeada de riscos mitigados (principalmente aqueles de impacto reduzido). Algumas delas nem percebem a utilidade de uma matriz de riscos e oportunidades.

Por outro lado, organizações mais conscientes, mantém uma matriz de risco dinâmica e constantemente atualizada. Essa matriz é discutida em reuniões de comité, incorporando de forma eficaz os riscos que se ajustam ao contexto específico da organização. Essas informações são apresentadas em reuniões com os diretores executivos para a tomada de decisões sobre os riscos sérios identificados.

Para que esta boa prática se mantenha com a dinâmica adequada, é crucial que as organizações estejam a par das novas tecnologias e que conheçam as suas potencialidades e limitações, considerando tanto os benefícios como os prejuízos associados. Deixo-vos um exemplo real e de fácil entendimento:

Numa empresa nacional foi levado a cabo um ataque de phishing. O incidente só não foi efetivado porque ainda foram a tempo de ligar para o banco e cancelar uma transferência que tinha sido autorizada por todos, e que (por sorte), não tinha sido definida para processamento imediato. Este espaço de tempo foi o suficiente para confirmar se o remetente dizia ser, quem era. Então, como lição aprendida desta ocorrência, partilharam o incidente numa reunião onde o CFO (Diretor Financeiro) determinou: “Transferências superiores a X têm de ser aprovadas por mim”. Aparentou ficar resolvido e que não voltará a acontecer. Contudo, se considerarmos as capacidades de IA generativa que podem ser usadas, facilmente se percebe que esta medida, já não é suficientemente segura! Partilho este exemplo:

Durante o mês de fevereiro de 2024 (sim, este mês), o diretor de uma empresa de Hong Kong transferiu 25 milhões de dólares indevidamente, após ter tido uma videochamada com o “falso” (mas super bem “clonado”) diretor financeiro. Inicialmente, o trabalhador suspeitou que se tratasse de um e-mail de phishing, pois falava da necessidade da realização de uma transação secreta. No entanto, ficou com dúvidas e exigiu uma videochamada. Acreditando que todos os participantes na chamada eram verdadeiramente reais (todas as pessoas presentes online pareciam-se mesmo com os colegas que ele reconhecia), autorizou a transferência de um total de 200 milhões de HKD (dólares de Hong Kong – cerca de 25,6 milhões de dólares). [3]

Neste caso, temos um dos vários exemplos recentes em que se suspeita que cibercriminosos estejam a utilizar tecnologia baseada em IA generativa para alterar vídeos, voz correspondente e outras imagens dos responsáveis da empresa, com o objetivo de ludibriar diretores com poder de decisão, e conseguiram-no.

Assim, a nossa postura deve reduzir riscos ao mínimo, privilegiando o princípio de “zero trust” (confiança zero) que se baseia num bom princípio: “Nunca confie. Verifique sempre.”

Concluindo, é imperativo apoiar as organizações não apenas na superação dos desafios presentes, mas também na preparação para os futuros desenvolvimentos no panorama cibernético. Afinal, a cibersegurança transcende a mera questão técnica, sendo uma prioridade estratégica que abrange todas as camadas das organizações. Adotar uma mentalidade proativa, investir em recursos especializados e fomentar uma cultura de resiliência são medidas essenciais. Dessa forma, as organizações estarão melhor preparadas para prosperar num ambiente empresarial digital em constante evolução.

[1] https://www.weforum.org/publications/global-risks-report-2024/in-full/global-risks-2024-at-a-turning-point/

[2] https://www.statista.com/statistics/204457/businesses-ransomware-attack-rate/

[3] https://edition.cnn.com/2024/02/04/asia/deepfake-cfo-scam-hong-kong-intl-hnk/index.html

Texto escrito por Pedro Carneiro - Global Lead of Cybersecurity, Director & Forensics Expert at Roboyo Portugal
Artigo igualmente cedido e publicado no jornal Vida Económica

Para mais informações contacte-nos.

MORADA

Rua Soares dos Reis, nº765 – 3
4400 – 317 Vila Nova de Gaia
Portugal

 

TELEFONE

+351 932 942 000 (custo de chamada para rede móvel nacional)

+351 223 744 827(custo de chamada para rede fixa nacional)

 

EMAIL

info@wesecure.pt