EY: “O WannaCry pode ter disseminado outro vírus que ainda não foi identificado”

Há pouco mais de um mês, 12 de maio, uma sexta-feira, a consultora EY não teve mãos a medir. Nem Sérgio Martins, o diretor executivo do departamento Cyber, especializado em segurança informática. Um ataque informático ao nível mundial propagou um vírus que atingiu 200.000 computadores e 10.000 empresas em pelo menos 150 países. Empresas em Portugal e até serviços públicos não foram poupados.

O programa malicioso (malware), apelidado de WannaCry, cifrou grandes quantidades de ficheiros, pedindo um resgate na moeda virtual e anónima bitcoin. Entre aconselhar clientes, identificar estragos e mitigar problemas, aquela sexta-feira e o fim de semana foram de trabalho para a EY, no sentido de impedir danos ainda mais significativos. Este é um dos pontos centrais na conferência que o ECO vai realizar — em parceria com a EY — sobre cibersegurança no próximo dia 27 de junho, em Lisboa.

Mais cedo ou mais tarde, [as organizações] acabam por ter sempre incidentes, porque de certeza que vão ser atacadas — é uma questão de quando.

Quantas pessoas trabalham no Cyber aqui em Portugal?

O Cyber resulta da integração pela EY de uma empresa, a Horizon. Éramos cerca de 15 pessoas. Hoje somos perto de 20, sobretudo na área da engenharia informática. Como já existe alguma especialização a nível do ensino superior, temos tentado até ir buscar algumas pessoas já formadas com mestrados de segurança de informação. Fazemos desde planos estratégicos de segurança de informação até à componente mais operacional, que podem ser testes de intrusão ou manage security services — as organizações contratam-nos para fazer a gestão das suas infraestruturas de segurança, porque é muito difícil reter recursos nesta área. Há muita procura.

A EY tem facilidade em reter talento? Ou está também sujeita a esse fluxo?

As empresas têm muita dificuldade em reter talento e cada vez mais vemos o mercado a externalizar este tipo de serviços. Esse fluxo é transversal. A EY tem mais-valia na captura de talentos e, em termos de desafios para os profissionais, conseguimos dar-lhes projetos muito aliciantes e conseguimos reter as pessoas muito pela capacidade que lhes damos de se desenvolverem profissionalmente. Damos ainda a possibilidade de explorarem projetos internacionais. Temos muitos recursos da EY Portugal a trabalhar noutras geografias.

"É muito difícil reter recursos nesta área. Há muita procura.”

Quem são os vossos clientes a nível nacional? Concentram-se em que setor?

Diria que estamos presentes em praticamente todas as grandes contas, as grandes empresas cotadas, os grandes ministérios públicos, as próprias multinacionais que têm cá presença em Portugal. Esse é o nosso target de clientes. Quanto ao setor, é diversificado, mas um dos que têm um nível de maturidade maior é o setor financeiro. Inclui bancos e seguradoras.

Qual é o mais crítico? Aquele em que é mais difícil de garantir a segurança?

Neste momento, o setor público tem o maior desafio. A crise impôs uma série de restrições financeiras e fez com que muitos organismos não tenham tido a capacidade de se dotar das ferramentas para se protegerem contra ataques. Com as restrições orçamentais, os ministérios ficaram muito limitados na contratação externa e muitos deles não têm a capacidade de desenvolverem a prática da cibersegurança e necessitam de apoio externo. Ficaram muito limitados. Quando se tomam decisões de priorização, muitas vezes a cibersegurança não tem o retorno imediato. É quase como comprar um seguro e poderá ficar para segundo plano. Os dirigentes sabem quais são os principais desafios da cibersegurança mas, depois, em termos de implementação, ainda há um longo caminho a percorrer.

A nível do setor privado, as empresas estão conscientes dos riscos? Estão preocupadas com a cibersegurança?

É um tema que tem vindo a evoluir ao nível de maturidade. Hoje em dia assistimos a organizações que, de facto, já têm uma administração muito consciente dos problemas. Algumas já estão a lidar com eles, outras têm isso nos planos. Mas ainda existem muitas organizações que não têm essa consciencialização — mais as PME e também algumas grandes contas. Nós sentimos, até porque os media estão a divulgar muito esta temática, que cada vez mais está em cima da administração o tema da cibersegurança. Há uns anos era um tema muito técnico. Era falado nas chefias intermédias das organizações. Hoje já é um assunto que está em cima da administração e muitos dos projetos de cibersegurança são decididos por ela.

A falta de formação dos trabalhadores é um perigo? Qualquer um pode abrir um email, executar um ficheiro e comprometer a rede toda…

A EY tem um inquérito de segurança a nível mundial e uma das conclusões mais proeminentes foi que, independentemente da geografia e da indústria, todos identificaram as pessoas como o elo mais fraco dentro das organizações. E a área onde vão investir mais era a parte de user awarness. No passado houve grandes investimentos na parte tecnológica e também na parte processual. Neste momento, uma das lacunas são as pessoas. Outra coisa: aqui há alguns anos havia um ataque por descuido do utilizador. Agora, é uma responsabilidade das organizações terem programas de formação dos seus utilizadores.

Como se mitiga a falta de segurança informática? É investindo em tecnologia mais segura, ou é criando essa educação nos utilizadores? Qual é a prioridade?

É um misto. Obviamente que a parte tecnológica está mais madura. As organizações já investiram muito. Obviamente que se tem de continuar. Por exemplo, este ataque recente do WannaCry explorou muito o facto de algumas organizações terem ciclos de atualização muito lentos e tem de se melhorar ainda. Mas eu diria que o investimento com melhor retorno será na parte da formação dos utilizadores. E quando falo utilizadores, não é só utilizadores internos mas dos colaboradores. As organizações já não vivem num perímetro fechado. Têm sistemas externalizados, têm outsourcing, têm parceiros que acedem a informação privada e confidencial. Portanto, todo o ecossistema da organização tem de ter mecanismos de formação, de treino e de avaliação.

Aqui há alguns anos havia um ataque [informático] por descuido do utilizador. Agora, é uma responsabilidade das organizações terem programas de formação dos seus utilizadores.

Porque é que o recente ataque de ransomware, o WannaCry, ganhou aquelas proporções?

Esse ataque explorou dois vetores. Um: a consciência do utilizador. Alguém teve de abrir um PDF em anexo. Dois: o ciclo de atualização das aplicações. Havia organizações que tinham aplicações desenvolvidas à medida, pesadas, com ciclos mais lentos e que ainda não tinham sido atualizadas. Depois, ainda havia as que tinham sistemas operativos descontinuados pela Microsoft, nomeadamente o Windows XP. Mas explorava lateralmente os postos de trabalho que estavam na rede. Ou seja, era muito contagioso, o que é uma coisa que não é muito comum. Normalmente isto cinge-se às máquinas que efetivamente clicam nos ficheiros infetados. Este tipo de propagação lateral foi de facto diferente.

Isso deveu-se à vulnerabilidade descoberta pela NSA, a Eternal Blue?

Isso é também um pouco assustador. É uma vulnerabilidade que a NSA já conhecia há muitos anos. Leva-nos a pensar: no caso dos Estados Unidos, eles podem impor às empresas lá sedeadas que lhes abram backdoors para depois conseguirem monitorizar os sistemas. Isto acontece também com empresas chinesas. Algumas não entram em determinados mercados por causa disso. Alguns Estados têm criado estes mecanismos para terem informação avançada sobre os outros países.

Preocupa-o, enquanto perito em segurança? Ou é incontornável?

É um problema de confiança. Esta vulnerabilidade foi identificada, mas de certeza que existem outras. Alguns países usam-nas para obterem informação para contraterrorismo, que é uma das principais justificações dos Estados Unidos. Há outros que podem usá-las por interesse económico, para espiarem as empresas concorrentes das empresas do seu país, para tentarem obter planos de negócio, informação e propriedade intelectual. Estamos numa guerra cibernética, literalmente. E os próximos anos vão ser de bastante atividade na área da cibersegurança. Prevê-se que o mercado cresça mais de 10% ao ano até 2020.

Em relação ao ataque, ao nível dos vossos clientes, o impacto foi grande ou muito contido?

O impacto foi considerável, mais nuns clientes do que noutros. Houve uma grande veiculação deste incidente na comunicação social e em toda a comunidade de cibersegurança, logo naquela sexta-feira [12 de maio de 2017], o que ajudou a minimizar o impacto. Grande parte dos nossos clientes estiveram sexta, sábado e domingo (e na sexta houve tolerância de ponto) a proteger os sistemas para minimizar o impacto. Isto foi importante porque depois, na segunda-feira [15 de maio de 2017], o impacto foi muito menor nas organizações. Estávamos à espera de um impacto muito maior.

Entretanto, já têm havido aqui algumas variantes do vírus. Também já se descobriu que existiam outros malwares a explorar esta vulnerabilidade antes: descobriu-se que havia um que fazia mining de bitcoins [processamento da moeda virtual] e que explorava esta vulnerabilidade. Nós ainda não sabemos qual é a extensão do impacto. O WannaCry pode ter disseminado outro tipo de malware que ainda não foi identificado. Até que extensão é que ele foi? Mesmo num computador que não tenha sido alvo de ransomware, poderá estar com outro tipo de vírus.

"É um problema de confiança. Esta vulnerabilidade foi identificada, mas de certeza que existem outras.”

Quem é que está por detrás disto?

Aquele hacker teenager já não é o perigo maior. Vemos que são estruturas organizadas. Há grupos que tentam obter informação e fazer chantagem para não a publicarem, ou usam o ransomware para receber dinheiro. Também nestes grupos existem situações em que são comprados: alguém lhes pede informação de determinada organização e eles atacam. Também existe um mercado grande na darkweb de venda de vulnerabilidades. Estes grupos, muitas vezes, tentam descobri-las, o que é bom e construtivo. O problema é depois a quem as vendem. Existem outras que podem ser patrocinadas por Estados e o WannaCry até se acredita que seja um desses casos.

Que conselho deixa às empresas e particulares no que toca a segurança informática?

Às empresas diria para investirem no awareness dos utilizadores. É primordial. E focar os esforços também na reação, porque o cibercrime está de tal forma disseminado que não há nenhuma organização que esteja 100% segura. Mais cedo ou mais tarde, acabam por ter sempre incidentes, porque de certeza que vão ser atacadas — é uma questão de quando. Para utilizadores comuns, a mesma coisa. Aí, o próprio Governo poderia tomar medidas de formação. As próprias escolas e universidades deveriam cada vez mais incluir isso nos seus currículos. E depois a comunidade toda: para combater o cibercrime, todos têm de trabalhar unidos. Cada vez mais se percebeu que, para vencer o cibercrime, é preciso haver coordenação, mesmo com os nossos concorrentes. Este caso concreto do WannaCry pode considerar-se um sucesso, porque houve uma grande comunicação. Já tinham sido criados meios de comunicação que facilitaram muito a resolução do incidente.