Seu CEO deveria ler isto

Um ataque de grande repercução na mídia (Sony) e outro que não teve tanta publicidade (siderúrgica alemã) mostram como a falta de segurança impacta a organização, até mesmo com danos à equipamentos industriais.

Alto forno

Tudo indica que 2015 será um ano difícil. E em períodos de turbulência econômica, o orçamento da TI costuma sentir o impacto. Mas cuidado: relaxar na segurança da informação pode trazer impactos enormes para a organização. Nem sempre estes impactos são bem compreendidos, já que existe uma tendência de minimizar o tamanho do estrago que um atacante pode fazer, especialmente se estiver de posse de credenciais privilegiadas. Casos em questão: Sony e uma siderúrgica na Alemanha cujo nome não está sendo divulgado.

No caso da siderúrgica, o atacante usou técnicas de spear phishing e engenharia social para roubar credenciais e obter acesso à rede administrativa da empresa. Uma vez dentro da empresa, ele conseguiu extender seu acesso à rede que controla os equipamentos industriais, o que afetou o funcionamento de diversos componentes, forçando a organização a interromper a produção. Mas devido aos problemas com a rede, um dos alto fornos não pode ser desligado de maneira controlada, gerando enormes danos à planta. Estas informações constam de um relatório divulgado pelo Escritório Federal de Segurança da Informação (BSI) do governo alemão. Dado a seriedade do evento, ele merece maior divulgação a fim de servir como alerta. Com sistemas industriais todos em rede, violações de segurança saem do plano do software para colocar em risco também o “hardware”.

A invasão da Sony, amplamente divulgada na imprensa e também comentada aqui, paralisou as atividades da empresa por vários dias, gerou constrangimentos com a divulgação de emails internos da alta administração, vazamento de informações pessoais de empregados bem como toda a folha de pagamento da empresa, vazamento de filmes inéditos e roteiros, e postergou o lançamento do filme A Entrevista. O governo americano acusou formalmente a Coréia do Norte de ser a responsável pelos ataques, mas sem apresentar evidências. De acordo com informações obtidas pela CNN, o ataque na Sony também envolveu o roubo de credenciais, o que levou o FBI até a considerar que houvesse a colaboração de algum funcionário da própria Sony. Acredita-se que a empresa tenha seguro na faixa dos US$60 milhões contra ciberataques, mas é possível que o prejuízo total venha a superar este valor.

Mesmo que você não produza comédias satirizando ditadores asiáticos, não quer dizer que não existam partes interessadas em prejudicar sua organização. Em um caso que relatamos aqui, às vezes basta um funcionário insatisfeito com processo de demissão feito pela empresa para gerar um prejuízo milionário.

O ponto em comum entre todos estes casos é o uso de contas de usuário para invadir e expandir o ataque. E é por isto que a Leverage sempre alerta para a necessidade de implementar um controle adequado sobre o uso de credenciais privilegiadas, o que pode ser feito via o Secret Server.

Histórias como estas acima não tem como objetivo assustar, e sim ajudar a organização a promover a discussão interna sobre gerenciamento de riscos e tomar uma decisão consciente sobre qual a postura de segurança deve adotar para adequar-se à sua tolerância ao risco.