Bastidores da Missão Crítica: o dia em que testei a segurança de uma instituição de saúde usando a engenharia social
Filipe Luiz Antonio, analista de Infraestrutura Sênior da Flowti, conta como funciona o assessment de segurança, imprescindível para se adequar à LGPD, e a importância de realizá-lo com frequência
Filipe Luiz Antonio
O assessment de segurança é uma parte importante do processo de adequação de uma empresa à LGPD. Mas não é só para garantir a conformidade com a lei que o procedimento é essencial. Ele também serve para ver o quanto a empresa está vulnerável a crimes cibernéticos, tanto do ponto de vista tecnológico quanto comportamental dos usuários.
Uma das ações deste assessment de segurança é a simulação – autorizada – de um ataque cibernético, que pode ser feito de diversas formas, usando ou não engenharia social. Há pouco tempo, a Flowti foi contratada para realizar um assessment em uma instituição de saúde. Estive à frente dos testes e, bastou uma simples ligação telefônica e uma boa estória, para conseguir o número do IP deles. Isso foi feito a pedido da própria área de TI. Liguei para lá e falei com um colaborador, me passando por um funcionário da operadora de telecomunicação que eles usavam. Já eram 20h e liguei da minha casa mesmo, pedindo para falar com o gerente de TI. Como ele não estava lá (e eu sabia, claro), pedi ajuda para o funcionário com quem falei pelo telefone, sendo simpático, dizendo que precisava do número do IP para poder realizar um trabalho na instituição. O funcionário, muito solícito, me passou sem problemas. Até brinquei com ele, falando que, no dia seguinte, eu passaria lá e pagaria um café pelo favor. Desliguei o telefone.
Gravei essa conversa e mandei para o gerente de TI, que não podia acreditar na facilidade com que eu consegui uma informação tão importante para quem quer cometer um crime cibernético. Com o IP, posso buscar as vulnerabilidades que existem dentro de uma empresa e explorá-las do jeito que quiser.
Mais a fundo
Costumo fazer outros tipos de testes de segurança, como o chamado de Black Box, em que a pessoa de TI que nos contrata não repassa nenhum dado sobre a empresa ou dos funcionários. Essa pobreza inicial de informações é proposital para que nós façamos o ataque seguindo a lógica do criminoso cibernético. Funciona mais ou menos assim: começo buscando informações públicas da instituição, como o registro e o domínio do site, vasculho as redes sociais das pessoas responsáveis ou de outros funcionários. Tudo isso está disponível e é público. Também posso fazer uma injeção de SQL para ver se há falhas na segurança, podendo acessar dados, como login e senha de usuários. Não fazemos nada com essas informações, é claro, mas precisamos ver o nível de segurança. Se não tiver proteção, eu entro no servidor e vejo todo mundo que está transitando informação lá dentro. Posso, também, ir até o local da empresa, deixar um pen drive “esquecido” em algum lugar para ver se alguém vai tentar abri-lo em uma estação de trabalho.
Enfim, existem diversas maneiras de cercar uma organização. Assim é com as simulações do assessment, assim é com o crime de fato.
Outra ação que sempre fazemos é o envio do e-mail phishing. Ele é importante para monitorar o comportamento dos usuários. Por meio de uma plataforma, elaboramos o que a gente chama de campanha, que é o e-mail atraente para o usuário, pedindo para ele acessar um link ou fazer um download. Se ele cair na armadilha, é redirecionado para uma página, explicando que é um e-mail phishing de teste. A partir daí, a gente já sabe que o funcionário precisa receber treinamento.
Essa é uma parte muito interessante da avaliação de segurança, porque é uma maneira de ver o quanto as pessoas estão preparadas, ou não, para evitar um ataque cibernético. Em uma outra empresa em que fizemos este teste, havia um colaborador que, em horários diferentes, clicou cinco vezes no link do e-mail phishing que enviamos. Ele não entrou em contato com a TI para saber o que era, só foi clicando. Numa situação real, isso teria comprometido o ambiente digital da empresa toda. Neste cliente, enviamos 33 e-mails de phishing, selecionados pela TI. Destes, 21 abriram o e-mail e 5 clicaram no link. Bastava um só para infectar a rede.
Treinamento permanente
Não basta fazer o teste com o e-mail phishing e treinamento com os colaboradores uma única vez, ou a cada ano. Para garantir a segurança digital da companhia, essas iniciativas devem ser repetidas a cada 15, 20 ou, no máximo, 30 dias. Por duas razões: primeiro porque o usuário se esquece de que participou deste tipo de teste, por exemplo, há três meses. Ele tende a cair de novo, clicando em um link sem checar a URL ou abrindo um arquivo “infectado”. Segundo, porque o crime evolui todos os dias. Os criminosos têm tempo para elaborar um ataque e deixá-lo mais sofisticado, com novos tipos de golpes. Por isso, é preciso trabalhar a cultura da prevenção constantemente.
A área de segurança da informação tem se tornado cada vez mais relevante e estratégica para todos os tipos de negócios. Aumentar a maturidade digital da infraestrutura de TI, investindo em treinamentos contínuos, tecnologias de monitoramento e prevenção, soluções de backup e recuperação de desastres (DRP) e, com acompanhamento de especialistas, é fundamental para a continuidade dos negócios. A Agência Nacional de Proteção de Dados (ANPD), está cada vez mais ativa na fiscalização da conformidade com a Lei Geral de Proteção de Dados (LGPD). Estar adequado à lei, portanto, é urgente e atesta que seu negócio possui um olhar atento à segurança dos dados sensíveis, além, é claro, de melhorar a saúde digital da empresa e dos negócios como um todo.
E aí? Sua instituição está realmente segura? Se você não estiver 100% confiante para responder a essa pergunta, lembre-se de que a Flowti pode te ajudar a realizar estes testes e avaliar o nível da sua segurança digital. Solicite o contato de um especialista agora mesmo!