Opiniões de um ex-hacker e conselhos cibernéticos para empresas

O que devemos aprender com a infame violação de dados da maior companhia aérea do Reino Unido British Airways?

Em setembro de 2018, a British Airways chegou às manchetes quando se tornou a mais recente de uma longa lista de organizações de alto nível a ser vítima de uma violação de dados nas mãos de hackers mal-intencionados. Eventos como esse causam danos significativos à reputação das marcas envolvidas, enquanto os clientes afetados enfrentam inconveniências e, talvez mais importante, estresse e incerteza sobre o que realmente significa para eles pessoalmente.

Mas e quanto a pequenas start-ups e empresas em crescimento? Todos eles deveriam estar se preparando para ataques semelhantes também? Para responder a essas perguntas, é importante primeiro entender quem é essa nova e misteriosa raça de criminosos cibernéticos e o que eles podem ganhar com um ataque como esse.

A visão de um hacker sobre hackers :

É brincadeira de criança:

Eu pessoalmente comecei a hackear aos onze anos. Isso realmente resultou da curiosidade e de um apetite saudável por travessuras. Enquanto meu primeiro ‘hack’ envolveu um ferro de solda e o Sony Walkman de um amigo, rapidamente mudei para modems, dial-ups e sistemas de algumas empresas – notavelmente uma das quatro grandes empresas de consultoria, que posteriormente me recrutou. para ajudar a criar o primeiro departamento de hacking ético do Reino Unido.

Minhas primeiras incursões em hacking foram nos primeiros dias da internet, mas hoje há uma geração de jovens talentosos e curiosos que estão desenvolvendo tecnologias de vida e respiração. Eles estão impulsionando o que a tecnologia é capaz, encontrando falhas nos sistemas existentes e conectando-se com pessoas de pensamento similar em qualquer outro lugar do planeta.

As empresas enfrentam hoje o desafio de aproveitar esse talento de forma positiva e ajudar seus negócios através do “chapéu branco”, cortando uma proposta mais atraente do que seguir a rota de hackers maliciosos do “blackhat”.

O alvo humano:

Os filmes de Hollywood criaram uma idéia comum de que os hacks envolvem pessoas sorrateiras entrando nos sistemas, invadindo as máquinas diretamente na calada da noite. Isso não é mais o caso. Os hackers hoje geralmente não atacam computadores diretamente. Computadores são alvos difíceis com defesas sólidas, então eles preferem o elo fraco – as pessoas que os usam!

A grande maioria dos ataques cibernéticos contra empresas são ataques direcionados a humanos. Ao contrário das máquinas, as pessoas são vulneráveis ​​a truques psicológicos. Os hackers podem direcionar diretamente as pessoas dentro de uma empresa e, enganando-os para abrir e-mails ou revelando senhas insuficientemente seguras, podem usar ferramentas como spyware e malware para assumir o controle de sistemas de onde quer que estejam no mundo.

Infiltrando a caixa de entrada:

O hacking baseado em email é a forma de crime cibernético que mais cresce. Foi o mecanismo utilizado pelos hackers russos em 2016 para comprometer o QG da campanha de Hilary Clinton, enviando e-mails direcionados a John Podesta e outros funcionários de alto escalão para instalarem spywares no sistema de computador DNC.

Embora as empresas possam investir muito dinheiro para criar sistemas seguros, você é tão forte quanto o seu elo mais fraco e, infelizmente, esses sistemas são usados ​​todos os dias pelos seres humanos. É vital que os funcionários sejam encorajados a ficarem atentos e treinados nas melhores práticas, porque é preciso apenas um e-mail habilmente formulado e os hackers podem atacar seu sistema de dentro para fora.

É tudo sobre o dinheiro … ou é?

Quando vemos histórias como a violação de dados da British Airways, é muito fácil imaginarmos por que alguém desejaria ter acesso a mais de 300.000 informações de cartão de crédito de pessoas. Isso leva muitos líderes empresariais – especialmente aqueles que administram empresas menores ou firmas que não estão processando pagamentos diretamente – a cair na armadilha de pensar que “ninguém se importaria com nossos dados” e, posteriormente, ter uma visão negligente quando se trata de segurança cibernética.

Embora alguns hackers tenham a intenção de fazer grandes fraudes financeiras, essa não é a única motivação. Alguns estão empenhados em pouco mais do que mal, enquanto outros podem ter uma razão pessoal para atingir uma determinada empresa, como os “hacktivistas” que atingem as organizações por causa de uma motivação política ou social.

O que as pequenas empresas devem fazer para se proteger?

A realidade do mundo digital de hoje é que seus dados são seus negócios. Clientes, funcionários e parceiros confiam em você com seus dados inestimáveis ​​todos os dias, então você deve a eles para mantê-los protegidos contra a ameaça de hackers ou que a confiança pode desaparecer rapidamente.Então, o que uma pequena empresa deveria estar fazendo e quais erros é provável que você seja culpado – aqui estão cinco dicas principais:

1. Não pense que isso não acontecerá com você : 
apesar da crescente ameaça, muitas PMEs ainda acreditam que são pequenas demais para serem um alvo. Qualquer que seja seu tamanho ou setor, sua empresa possui dados valiosos.

2. Não seja blasé com o básico : Implemente políticas de senhas sólidas, certifique-se de que ex-funcionários não continuem a ter acesso aos seus sistemas, descarte computadores antigos adequadamente e proteja todos os pontos de acesso sem fio.

3. Não ignore seus sistemas e atualizações de software:

Esses alertas sempre aparecem quando você está em um prazo, e a tentação é ignorá-los repetidamente. Mas isso pode deixar você mais vulnerável a um ataque. Atualizações de software confiáveis, seja para o seu sistema operacional, site ou software antivírus, geralmente incluem atualizações de segurança vitais que ajudarão na defesa contra ameaças cibernéticas novas e em evolução. Produtos desatualizados simplesmente não podem proteger contra os riscos mais recentes.  

4. Não tente lidar com segurança internamente:

Investir no mais recente software antivírus é um bom plano, mas não é suficiente para proteger totalmente sua empresa e seus dados. A complexidade das ameaças cibernéticas exige conhecimento especializado. Ter profissionais de segurança confiáveis ​​que saibam como atenuar problemas à medida que surgem, monitorando seus sistemas 24 horas por dia, é a chave para uma segurança cibernética completa.

5. Não se esqueça de envolver sua equipe:

Você pode ter planos de segurança no nível do Pentágono, mas uma ação impensada de um funcionário pode reduzir suas defesas em minutos. A maioria das violações de dados é resultado de erro humano, seja o envio de um anexo por email que contenha dados confidenciais para a pessoa errada, o download acidental de malware de um link suspeito ou a prática de senhas incorretas, para fornecer treinamento regular e políticas robustas aos funcionários.