As ameaças não vêm só de fora. Uma investigação calcula que quase 40% das falhas de segurança de TI vêem de pessoas próximas à empresa. Alguns relatórios dizem que mais de 50% das organizações sofreram algum ataque interno nos últimos 12 meses, enquanto 90% afirmam sentir-se vulneráveis a ameaças internas. Por que ocorrem esses ataques? Em geral é para obtenção de benefício económico, mas às vezes é por vingança ou por um benefício futuro como o de levar dados para um novo emprego.

A IT Digital Media reuniu peritos em Cibersegurança para debater sobre estas ameaças internas que estão a tornar-se cada vez mais comuns e dispendiosas. Javier Osuna, Director da Divisão de Consultoria e Serviços de Cibersegurança da GMV, contribuiu para o tema com a sua experiência e opinião, lembrando que os processos de transformação digital vão esfumando os limites físicos e lógicos. Aspectos como o time to market, a mobilidade, o teletrabalho, a associação e a subcontratação de empresas e profissionais, abriram e alargaram tanto a cadeia de valor como a de fornecimento. Em consequência disso, o problema das ameaças internas tem uma dimensão crescente que requer uma consciencialização e uma renovação do conceito associado a uma protecção sem fronteiras.

Perante um conceito tão amplo como é o das ameaças internas, Javier Osuna defendeu uma atenção principalmente centrada nos actores e suas motivações: Quem são os insiders e o que procuram?

O insider é o elo imprescindível de uma "cadeia obscura" de fornecimento de informações necessárias para outros fins com motivações diversas (políticas, económicas, sociais, criminosas, etc.). O perigo que representam reside na confiança e facilidade de acesso às informações ou sistemas sensíveis de maneira normal, sem levantar suspeitas.  Trata-se de um cenário complexo onde as pessoas autorizadas são as que têm acesso a informações sensíveis, sendo o destino dessas informações o que determina se se trata de incidente ou não.

As motivações são variadas, destacando-se o hacktivismo, o crime organizado ou a espionagem industrial, inclusivamente entre países. Também podem ser de tipo acidental que inclui o "empregado despistado" ou menos consciente, mas também aquele que é vítima de extorsão em certos casos.

Este "modus operandi" das pessoas é permanentemente analisado na GMV sob a perspectiva da utilização segura dos recursos de TI, assim como as informações que uma organização possa manejar, desenvolvendo modelos de uso (cada organização com a sua casuística), para valorizar os possíveis abusos relacionados com a disponibilidade das informações sensíveis, com a sua facilidade de acesso ou visualização e com os requisitos para a sua distribuição. Isto dá-nos uma capacidade importante para podermos classificar os possíveis incidentes de fuga de informações, partindo da monitorização da actividade com os dados da organização, assessorando em matéria de "Forencic Readiness" para adquirir capacidades de investigação perante este tipo de ocorrências e finalmente estabelecendo "alertas de má utilização" das informações.

Se não há dinheiro, mais tarde ou mais cedo sente-se a falta porque muda-se de sítio ou de proprietário. No entanto, é difícil detectar se houve acesso, duplicação ou modificação de informações, uma vez que o proprietário continua a possuí-las, sendo por isso necessário procurar fora quando é necessário identificar fugas.  A GMV completa o ciclo por meio dos serviços CERT e pelos processos de cibervigilância.

Em suma, fala-se muito da detecção de anomalias, mas é necessário ter cuidado porque a normalidade às vezes não é sempre o desejável. A pior ameaça é a que não se detecta e que se considera normal.

• VÍDEO COMPLETO DEBATE
• ESPECIAL ITDM - AMEAÇAS INTERNAS