A onda de ataques informáticos que se tem registado em Portugal e que afetou a Impresa, a Vodafone e o Continente, não passou ao lado da análise do Centro Nacional de Cibersegurança (CNCS). O centro, que tem por missão a promoção da segurança no ciberespaço em Portugal, indica que "o início do ano ficou marcado pela ocorrência de um conjunto de ciberataques com impacto relevante e projeção mediática no nosso país".

A informação faz parte do relatório de contexto,  publicado pelo CNCS. "Alguns destes ataques foram reivindicados pelo coletivo Lapsus$ que se caracteriza pela ausência de ideologia política e motivação financeira, focando-se em ações de vandalismo gratuito", adianta ainda o mesmo documento.

A recente invasão da Ucrânia por parte da Federação Russa é apontada como um acontecimento com elevado impacto no contexto internacional. A União Europeia e os Estados membros elevaram o seu estado de alerta e prontidão, também no ciberespaço, e a Rede Europeia de CSIRTs (rede europeia de equipas de resposta a incidentes de cibersegurança) e a ENISA (Agência da União Europeia para a Cibersegurança) reforçaram a partilha de informação sobre atividades maliciosas e indicadores de comprometimento (IoC) relacionados com este conflito.

Segundo o organismo, esta partilha de informação permite definir um quadro de novas ameaças a cidadãos, como o recrutamento de “guerreiros” digitais para ações ofensivas no quadro deste conflito, e a empresas e Administração Pública, entre as quais a realização de ações de retaliação aos países que aplicaram sanções económicas.

Denúncias de hacker russo levaram à detenção dos jovens acusados de envolvimento com o Lapsus$ Group
Denúncias de hacker russo levaram à detenção dos jovens acusados de envolvimento com o Lapsus$ Group
Ver artigo

Ainda assim, "em Portugal, até à data, não foi identificado qualquer incidente diretamente relacionado com a guerra na Ucrânia", esclarece o CNCS, indicando porém que "é importante considerar as ameaças colocadas ao ciberespaço de interesse nacional decorrentes da pertença de Portugal à NATO e à União Europeia, bem como da não neutralidade do país".

Menos Hacktivistas e mais Cibercriminosos

A atuação dos Hacktivistas tem perdido força perante o crescimento de outros agentes de ataques, e em 2019 e 2020 o destaque vai para os cibercriminosos e os agentes estatais, como o Centro Nacional de Cibersegurança (CNCS) destaca no observatório de abril.

"Os Cibercriminosos são indivíduos ou grupos que procuram ganhos económicos, ainda que possam ser financiados por Estados", indica o organismo responsável pela promoção da segurança no ciberespaço em Portugal, indicando ainda que "os Agentes Estatais são aqueles que mais se regem por motivos geopolíticos, ainda que por vezes também económicos".

Na lista dos agentes de ameaça o CNCS adiciona os Hacktivistas, que tendem a ser motivados pela afirmação de uma mensagem ideológica, os Cyber-offenders, que atuam para agredir uma vítima ou criar disrupção nos sistemas por motivos pessoais e os Insiders negligentes, utilizadores que, involuntariamente, comprometem a sua organização mediante uma ação descuidada,  sem um motivo consciente.

Ciberameaças - agentes
créditos: CNCS

Recomendações a implementar por empresas e organismos da Administração Pública

O CNCS aponta algumas das ameaças às quais os cidadãos e as organizações devem estar atentos, entre as quais os ataques de DDoS (Negação de Serviço Distribuída), comprometimento de contas e da cadeia de serviço (através de um fornecedor ou serviço que foi comprometido), ransomware, vulnerabilidades, ciberespionagem e phishing.

Para que possam prevenir ou reduzir o impacto destas ameaças o Centro partilha algumas medidas a tomar, que reproduzimos aqui na íntegra.

a)    Avaliação de Risco: cada organização tem diferentes prioridades e fragilidades, por isso deverá efetuar uma avaliação de risco que permita aferir os possíveis problemas que a poderão afetar.

b)    Ativação da Autenticação Multifator (MFA): proteja a sua organização utilizando mais do que um fator de autenticação quando acede às suas contas online e trabalha remotamente. Considere, por exemplo, a implementação de tokens, tais como smart cards e chaves de segurança FIDO2 (Fast IDentity Online).

c)    Gestão de palavras-passe: mantenha as suas palavras-passe secretas e seguras (use uma frase com 12 caracteres ou mais, sem termos óbvios), evitando que alguém, com intenções maliciosas, aceda às suas plataformas protegidas com palavras-passe. O CNCS incentiva ainda que todas as organizações a utilizarem um software de gestão de palavras-passe offline sempre que possível.

d)    Atualização de software: garanta que todos os softwares da organização se encontram devidamente atualizados. Certifique-se, ainda, de que todas as ações relacionadas com a correção de segurança de endpoints e servidores são realizadas com regularidade. É também importante incentivar os colaboradores que utilizam os seus dispositivos pessoais para propósitos profissionais a atualizarem os mesmos e a terem cuidado com o que instalam nesses equipamentos.

e)    Incorporar a cibersegurança na cadeia de fornecimento: implemente medidas de segurança no que respeita ao acesso de terceiros às suas redes e sistemas internos. Se aplicar estas medidas, caso um terceiro seja comprometido e usado como intermediário para comprometer a sua organização, melhorará a capacidade de resposta da sua organização a possíveis ataques.

f)    Proteção de serviços cloud: implemente medidas apropriadas de segurança nas plataformas cloud utilizadas na organização (e.g. aplique os melhores cuidados com as palavras-passe e cifre a informação sensível).

g)    Backup de dados (cópias de segurança): dada a elevada proliferação de ataques de ransomware, é altamente recomendável aumentar a frequência de backups de dados críticos. É importante garantir que o acesso aos backups é controlado, limitado e registado, e que é cumprida a regra 3-2-1, isto é, a realização de três cópias: duas são feitas em suportes diferentes e a terceira é guardada offline.

h)    Segmentação de rede: aplique a segmentação da rede, a qual vai permitir à organização ter visibilidade e controlo sobre o tráfego de rede e evitar que o comprometimento de um segmento afete outros.

i)    Centralização de logs: para que seja possível a deteção e reação rápida a um incidente, é desejável que os logs de todos os sistemas sejam canalizados para um sistema central que os correlacione.

j)    Combate ao phishing: consciencialize todos os colaboradores a não clicarem em links ou anexos de emails e SMS suspeitos, nem a partilharem os seus dados em resposta a essas mensagens.

k)    Segurança do email: impeça a entrada de emails maliciosos através da ativação da filtragem anti-SPAM. Se possível, siga a recomendação técnica relativa a SPF, DKIM e DMAR, disponível aqui.

l)    Rede de entrega de conteúdos (CDN): proteja a sua organização de ataques de negação de serviço distribuído utilizando uma rede de entrega de conteúdos. Esta medida irá permitir a distribuição de conteúdos em diferentes servidores.

m)    Bloqueio de acessos: bloqueie ou limite severamente o acesso à Internet para servidores ou outros dispositivos que são raramente utilizados, pois os mesmos podem ser explorados por agentes de ameaças para estabelecer backdoors.

n)    Formação e sensibilização: promova o uso responsável, consciente e saudável do ciberespaço através da formação e capacitação de colaboradores em matérias de cibersegurança.