Qual é o nível de segurança Informática na sua empresa?
“Fomos alvos de um ciberataque“, é uma das frases que certamente nenhuma empresa gostará de dizer ou que um Técnico Informático gostará de ouvir! Mas a verdade, é que no mundo empresarial cada vez mais digital, já todos ouvimos ou vivemos situações em que empresas têm de pagar aos cibercriminosos para reaver os dados ou até, no caso de não haver solução, estar em risco a continuidade do negócio.
1- Sistemas operativos ou software desatualizados, uma porta de entrada favorita
A indústria do cibercrime atingiu níveis de performance extremamente altos, possibilitando mesmo aos cibercriminosos com pouco conhecimento efetuarem ataques extremamente sofisticados, simplesmente porque compraram um software à venda na ‘dark web’, que oferece inclusivamente suporte técnico ao criminoso, bem como às suas vítimas.
E a porta de entrada favorita, qual é? Software desatualizado! Nestas situações para prevenir o ataque, nada mais simples que manter os sistemas operativos atualizados, que para a maioria dos utilizadores já pode ser feito de forma automática. Já para a atualização de servidores, poderá ser necessária a ajuda de técnicos especializados.
Mais ainda: quando um determinado software deixa de ter manutenção é porque o número de utilizadores desse software baixou significativamente, não sendo viável para o produtor a sua manutenção. A partir daí, qualquer vulnerabilidade exposta desse software passa a ser uma porta de entrada para o software dos criminosos. Nessa altura, é necessário atualizar o sistema, mesmo que tudo pareça ‘novinho em folha’, ‘ainda não amortizado’, e … etc, etc, etc.
2- Utilizadores de sistemas ‘iludidos’ com a Engenharia Social, atenção onde clica!
Os cibercriminosos sabem como as pessoas reagem a algo que provoque emoções muito positivas ou negativas. Por isso, é comum enviarem emails com acesso a páginas web que contenham hiperligações (links) falsas para páginas muito semelhantes ou mesmo iguais às legítimas, sendo muito difícil de distinguir mesmo para o utilizador mais experiente (foi conhecido um ataque a clientes de um banco cujo endereço da página parecia igual ao original, mas estava escrito com carateres do alfabeto cirílico).
Para minimizar estes ataques é necessário muito mais atenção de TODOS os utilizadores de um sistema, adotar um conjunto de regras internas, dar formação aos utilizadores sobre as mesmas e a importância das mesmas, e verificar / auditar sempre que possível se as mesmas estão a ser cumpridas.
3- Passwords fortes é obrigação e não opção!
Todos os utilizadores deverão ter uma chave de acesso (password) forte. Uma chave fraca (123456, data de nascimento de um familiar, nomes de clubes de futebol, de jogadores, de palavras simples dos dicionários de português, inglês etc.) é para esquecer. Pode ser desagradável, mas muitas empresas optam por fornecer passwords fortes e não permitem que os utilizadores as troquem, para evitar esta vulnerabilidade.
4- Limitar acessos, sempre!
Qualquer utilizador só deve ter acesso a recursos e ficheiros do sistema que necessite para trabalhar. Nem a mais (vulnerabilidade) nem a menos (não pode trabalhar). Objeção: então agora já não confiam em mim? Resposta: Em si confiamos, mas não nos criminosos que podem atacar o seu computador!
5- Utilização ‘q.b’ da conta de administrador do sistema
Pelo facto de um chefe ou administrador ter um cargo mais elevado, não significa que tenha de usar a ‘conta de administrador do sistema’. Até poderá ter acesso a essa conta, mas não a deve usar no dia-a-dia, e sim a sua conta, como utilizador comum. Se este sofrer um ataque, só os ficheiros e recursos a que tenha acesso poderão ser afetados; se estiver com a conta de ‘administrador’, tem acesso a TUDO o que exista no sistema. NOTA: O último teimoso de meu conhecimento que insistiu nessa teimosia foi atacado e ‘contemplado’ com um resgate de cerca de 10.000€ ! (como podem observar, as coimas do R.G.P.D. que assustaram muita gente, em comparação com isto até parecem ‘levezinhas’).
6- Internet Explorer não é a melhor opção de browser
A Microsoft já disponibilizou o ‘Edge‘ que já não tem as vulnerabilidades do antecessor. A utilização do Internet Explorer numa máquina onde tenha dados cruciais pode ser um grande passo em falso!
7- Emails supostamente enviados por empresas portuguesas de serviços com expressões brasileiras
Não abrir emails em português-brasileiro supostamente enviados por empresas portuguesas (CTT, Autoridade tributária, transportadores, fornecedores nacionais, etc.) e nunca abrir documentos anexos se não se conhecer o remetente.
8- “Você é o visitante n.º 999 e ganhou um (…)”
Nenhum utilizador nunca ganhou um prémio por ser o ‘n’ézimo visitante de uma página qualquer. Dado tratar-se de um negócio, as marcas/empresas não oferecem os produtos que têm para vender, então porque os dariam na internet?
9- A verdade não está a um clique de distância da mentira!
A Autoridade Tributária, os tribunais ou qualquer outra entidade séria não envia emails indiscriminadamente com ameaças, e mesmo que o conteúdo pareça verosímil, não clique no primeiro link que meta medo. Poderá ser uma cilada.
10- Vírus para cá, vírus para lá!
Se os colaboradores utilizarem equipamento pessoal na empresa ou vice-versa, é muito importante saberem que podem ser contaminados em casa e transportarem o ‘bicho’ para a empresa!
Se os seus colaboradores usam Remote Desktop, prefira o seu uso sob VPN, ou se tal não for possível, que usem passwords extremamente complexas, mesmo que o utilizador tenha que fazer ‘copy’ desta num ficheiro de texto e ‘paste’ no remote desktop, e não deixem sessões abertas no sistema (fazendo ‘disconnect’ ao invés de ‘logoff)!
11- Serviço de correio eletrónico com suporte de gestão incluída!
Pondere contratar um serviço de correio eletrónico com gestão incluída, vai deixar de receber a maior parte senão a totalidade de ‘spam’ e ‘phishing’. Pode ser um serviço mais caro, mas, se evitar um ataque, o preço do resgate e o tempo de paragem do sistema, porventura compensarão.
12- Não deixe portas esquecidas!
Remover de imediato do sistema e das contas de email todos os utilizadores que já deixaram a empresa (esta parece básica, mas não é bem assim!). Por mais profissional ou simpático que tivesse sido, passou a ser mais uma vulnerabilidade.
13- Prevenir é o melhor remédio, seja a que horas for!
Todos os utilizadores necessitam de ter acesso à internet? Se não, para quê deixar que possam ser mais uma vulnerabilidade? NOTA: mesmo que seja só fora-de-horas, há que relembrar que os hackers não atacam só entre as 9 e as 13 e das 14 às 18 horas!
14- E se o sistema for alvo de ataque, o que fazer?
- Contacte um especialista. Qualquer entrada no sistema com o equipamento atacado e com outras credenciais poderá fazer com que mais ficheiros sejam encriptados ou destruídos.
- Comunique o ataque às autoridades (polícia judiciária). Isso constituirá prova perante a autoridade tributária do eventual desaparecimento de dados fiscais, contribuirá para a estatística de crime (se ninguém comunicar nada, então nada se passa e nada é necessário prevenir!), e também poderá acontecer que já conheçam o tipo de ataque e a sua resolução.
- Se tiver cópias de segurança, estas, se estiverem ao alcance do sistema, decerto também foram atacadas. Mude para um sistema de cópias de segurança que puxe os ficheiros e nunca um que seja o sistema a ‘empurrar’ os ficheiros para o dispositivo de salvaguarda. Ou melhor ainda: pense num sistema de cópias remoto (num servidor distante, como na nuvem, por exemplo). Este sistema protege os dados da empresa mesmo em caso de fogo, inundação, terramoto, etc. e se for suficientemente seguro, não é afetado pelos ciber.