Desde o final do mês passado, uma gangue russa de extorsão cibernética vem explorando uma falha em um software amplamente usado conhecido como MOVEit. O programa é usado por muitas organizações para transferir dados e compartilhar arquivos com segurança. Enquanto isso, centenas de empresas comerciais (por exemplo, BBC, Shell, British Airways, Boots, Zellis) e agências governamentais (por exemplo, US Department of Energy, Louisiana Office of Motor Vehicles, Oregon Department of Transportation, Minnesota Department of Education, o governo de Novia Scotia) confirmou ter sido impactado pelo ataque. Como apontou Jen Easterly, diretora da Agência de Segurança Cibernética e Infraestrutura (CISA), ao contrário da furtiva campanha de hackers da SolarWinds, o ataque MOVEit foi relativamente superficial e foi detectado rapidamente. No entanto, destaca como as organizações permanecem vulneráveis a ataques cibernéticos mesmo após anos de investimentos para melhorar as posturas de segurança. Isso levanta a questão: nossas práticas de segurança cibernética existentes são realmente otimizadas para o cenário dinâmico de ameaças atual?
O ataque de dia zero do MOVEit parece confirmar o apelo da Estratégia Nacional de Segurança Cibernética da Casa Branca para transferir a responsabilidade para organizações que falham em tomar precauções razoáveis para proteger seu software. A estratégia reconhece o fato de que “uma segurança de software deficiente aumenta muito o risco sistêmico em todo o ecossistema digital e deixa os cidadãos americanos arcando com o custo final”. Um foco especial da estratégia está no software desenvolvido por terceiros não controlados que é incorporado a programas comumente usados, permitindo potencialmente que hackers explorem falhas. Ainda não se sabe se a Estratégia Nacional de Cibersegurança terá algum impacto que possa ajudar a mitigar a exploração de vulnerabilidades de software como o MOVEit.
Lembre-se de que a Estratégia Nacional de Segurança Cibernética do governo Biden não é uma ordem executiva, mas um plano sobre como moldar uma abordagem mais consistente à segurança cibernética em nível nacional. A execução da estratégia exigiria a passagem pelo Congresso. Dada a profunda divisão política atual, conseguir a adesão necessária de ambas as partes será um desafio. É provável que os planos ambiciosos sejam inicialmente aplicados a indústrias críticas sobre as quais o governo tem autoridade. Isso pode ser feito estabelecendo padrões dentro desses setores e aplicando requisitos específicos de aquisição e padrões de segurança em todas as agências federais aplicáveis. Mas mesmo nesses casos, pode levar anos para que essas regras entrem em vigor.
Enquanto isso, temos que reconhecer que gastar seu caminho para um estado seguro é caro, cria uma falsa sensação de segurança – e simplesmente não funciona. Em vez de concentrar recursos exclusivamente na prevenção de um ataque, é importante desenvolver um plano para mitigar o impacto quando ocorrer um ataque bem-sucedido. Organizações com visão de futuro estão adotando uma nova estratégia para lidar com as crescentes ameaças cibernéticas de hoje, chamada resiliência cibernética.
A necessidade de resiliência cibernética surge da crescente percepção de que as medidas de segurança tradicionais não são mais suficientes para proteger sistemas, dados e a rede contra comprometimento. O objetivo da resiliência cibernética é garantir que um evento cibernético adverso, intencional ou não, não afete negativamente a confidencialidade, integridade e disponibilidade da operação comercial de uma organização.
Uma estratégia de resiliência cibernética é vital para a continuidade dos negócios e pode fornecer uma série de benefícios antes, durante e após um ataque cibernético, como:
- Postura de segurança reforçada: A resiliência cibernética não apenas ajuda a responder e sobreviver a um ataque. Também pode ajudar uma organização a desenvolver estratégias para melhorar a governança de TI, melhorar a segurança em ativos críticos, expandir os esforços de proteção de dados e minimizar o erro humano.
- Perda financeira reduzida: De acordo com Relatório de custo de violação de dados da IBM 2022, o custo médio de uma violação de dados agora é de US$ 4,35 milhões em todo o mundo. Além dos custos financeiros, o impacto na reputação das violações de dados está aumentando devido à introdução de leis gerais de proteção de dados e requisitos rigorosos de notificação de violação de dados. A resiliência cibernética pode ajudar a minimizar os custos de recuperação, acelerando o tempo de correção.
- Postura de Conformidade Aprimorada: Atualmente, muitos padrões da indústria, regulamentações governamentais e leis de privacidade de dados propagam a resiliência cibernética.
- Produtividade de TI aprimorada: Um dos benefícios subestimados da resiliência cibernética é sua capacidade de melhorar as operações diárias de TI, incluindo a resposta a ameaças e garantir que as operações diárias sejam executadas sem problemas.
- Maior confiança do cliente: A implementação de uma estratégia de resiliência cibernética ajuda a melhorar a confiança, pois aumenta as chances de responder e sobreviver a um ataque cibernético, minimizando o impacto negativo nas relações com os clientes de uma organização.
- Aumento da vantagem competitiva: A resiliência cibernética fornece às organizações uma vantagem competitiva sobre as empresas sem ela.
Enquanto esperamos que a Estratégia Nacional de Segurança Cibernética chegue à maturidade, as organizações devem aumentar sua estratégia atual de segurança cibernética com foco na resiliência cibernética. A maioria das iniciativas de resiliência cibernética alavanca ou aprimora uma variedade de medidas de segurança cibernética. Ambos são mais eficazes quando aplicados em conjunto.