Ataques BEC – ataques de comprometimento de e-mails comerciais – compõem a maioria dos pedidos de seguro cibernético
Por Regina Tupinambá
Foi publicado nessa semana pelo site TechRadar uma pesquisa realizada pela empresa global de seguros AIG sobre os maiores índices de solicitação de seguro cibernético e as maiores ocorrências de pedidos para restituição de seguro cibernético é por invasões via e-mails.
Acho realmente surpreendente que empresas tenham a iniciativa de contratar seguros contra ciberataques com cláusulas de cobertura de ocorrências por invasão via emails corporativos e essas mesmas empresas são incapazes de se prevenir para que não sofram incidentes desse tipo.
Não é nada complicado e nem requer investimentos significativos implementar uma solução para reduzir drasticamente o risco de incidentes via e-mails dentro das empresas ou até mesmo, incidentes provocados pelo uso de e-mails em nome de executivos que assinam pela empresa, por exemplo.
A fórmula imbatível para resolver esse problema
Contrate uma solução de assinatura e criptografia de e-mails e treine seus funcionários regularmente para sempre questionarem e-mails fora do padrão e sem assinatura digital.
Soluções disponíveis no mercado
As soluções para assinatura e criptografia de emails existe há décadas e são muito mais simples de serem implementadas nas corporações do que se possa imaginar.
99,9% das soluções de e-mails disponíveis no mercado são interoperáveis com os principais softwares de correio eletrônico, desta forma, é muito simples de utilizar internamente e trocar mensagens identificadas e criptografadas com pessoas de fora da empresa.
Não requer instalação de componentes adicionais e as pessoas que recebem os emails assinados não tem nenhuma dificuldade para acessar o conteúdo e entender que aquele e-mail é um e-mail assinado digitalmente.
Habitualmente as emissões dos certificados digitais são feitos pelo departamento de gestão de pessoas que faz a validação de funcionários CLTs ou PJ, profissionais terceirizados que podem utilizar o e-mail da empresa e assumir compromissos em seu nome e até mesmo, fornecedores e clientes para troca de e-mails criptografados e adicionalmente, como forma de se autenticarem em áreas web controladas.
As soluções de assinatura e criptografia de emails oferecem uma plataforma de emissão e gestão dos certificados digitais super fáceis de utilizar.
Os certificados digitais utilizados pelas hierarquias internacionais são certificados classificados como classe 2, ou seja, que são emitidos pela própria empresa que é habilitada como uma Autoridade de Registro interna – no caso o departamento de gestão de pessoas ou outro departamento designado pela empresa para fazer as emissões. Os certificados digitais classe 2 tem as funcionalidades de assinatura, sigilo e pode ser utilizado com muita eficiência para autenticação.
Já os certificados classe 1, são certificados que apenas verificam o e-mail. Particularmente, não gosto desses certificados pois podem confundir as pessoas fazendo com que elas imaginem que aquele certificado garante a identidade do remetente quando não faz. Apenas o e-mail é verificado.
A maioria das empresas que comercializam certificados de emails seguem o modelo de contratação por licença, ou seja, dentro do pacote anual de certificados digitais contratados a empresa pode alterar os usuários quantas vezes for necessário sem custos adicionais.
Assinando emails com certificados ICP-Brasil
Eu pessoalmente, assino todos os e-mails que envio com meus certificados digitais ICP-Brasil, isso também é possível. Utilizo os certificados digitais e-CPF A3 emitidos em tokens, alguns em cartões e também em nuvem para assinar meus e-mails. Sim, tenho muitos certificados digitais de diferentes Autoridades Certificadoras!
Para médias e grandes corporações a adoção de certificados ICP-Brasil especificamente para a assinatura e criptografia de e-mails ainda não é uma solução viável. Pelo custo e por falta de plataformas de prateleira com baixo valor de aquisição e instalação instantânea para gestão dos certificados digitais.
Eu assino e-mails com certificados ICP-Brasil porque já tenho em mãos, no entanto, também tenho certificados digitais classe 2 emitido por autoridade certificadora de raiz internacional e com eles também criptografo e-mails com informações sensíveis.
Os certificados digitais ICP-Brasil também tem a possibilidade de criptografar as mensagens com os certificados de assinatura, mas requer conhecimento muito avançado para executar essa funcionalidade.
A hierarquia brasileira dispõe do certificado Tipo S – sigilo. Esse tipo de certificado na cadeia da ICP-Brasil não é utilizado em escala, pois diferente dos certificados de raiz internacionais, não contam com soluções disponíveis no mercado – pelo que tenho conhecimento – de componentes de gerenciamento que comporte o acesso aos certificados de sigilo por administradores para reemissão dos certificados em caso de perda, por exemplo.
Se você tiver conhecimento de uma solução pronta para administração de certificados ICP-Brasil Tipo S, mande informações por e-mail por utilize o campo dos comentários abaixo, vale até mesmo um artigo técnico.
Treinamentos
Os treinamentos podem ser montados em conjunto com profissionais de segurança da informação e de gestão de pessoas e em empresas maiores, devem contar com as orientações do DPO – Data Protection Officer. O DPO é o profissional responsável por aconselhar e verificar se a empresa está em conformidade como a GDPR e LGPD em relação a tratamento de dados pessoais de terceiros.
Esse treinamento específico para uso de e-mails corporativos é rápido e na maioria das vezes não requer a contratação de consultoria externa. Isso deveria ser uma rotina em reciclagens periódicas e, principalmente, no momento das contratações de novos colaboradores.
Estamos prestes a entrada em vigor da LGPD – Lei Geral de Proteção de Dados e esse fato deverá estimular as rotinas desse tipo de treinamento.
Os ataques de comprometimento de e-mail comerciais – BEC
BEC – Business Email Compromise, ultrapassaam as violações de ransomware e de dados, e o principal motivo pelas quais as empresas entraram com uma reivindicação de ciberseguro na região EMEA no ano passado, de acordo com uma nova pesquisa da gigante de seguros AIG.
Pesquisa da AIG – Cyber Claims: GDPR and business email compromise drive greater frequencies
As estatísticas publicadas pela AIG em julho revelaram que os registros de seguros relacionados ao BEC representavam 23% de todos os pedidos de seguro cibernético recebidos pela empresa em 2018.
Os incidentes relacionados ao ransonware ficaram em segundo lugar e representaram 18% de todas as reivindicações de seguro cibernético na região EMEA.
As violações de dados causadas por hackers e as violações de dados causadas por negligência dos funcionários estão em terceiro lugar, com 14%.
Segundo o artigo publicado pela Techradar em janeiro de 2019 – One in five email attacks uses compromised accounts – Um em cada cinco ataques de e-mail usa contas comprometidas.
De acordo com a AIG, o recente aumento de reclamações de seguros cibernéticos por ataques da BEC foi causado por medidas de segurança inadequadas nas empresas vítimas, incluindo o uso de senhas ruins para contas de email, não usando autenticação multifatorial e falta de treinamento de funcionários sobre email. ataques.
Reivindicações de seguro cibernético
Embora os ataques do BEC atualmente ocupem o primeiro lugar, a AIG espera que o ransomware possa recuperar seu primeiro lugar em breve. À medida que o ransomware se tornou mais direcionado, o número de reivindicações de seguros cibernéticos relacionados ao ransomware caiu no ano passado.
Isso ocorre porque aqueles que lançam ataques de ransomware começaram a atingir empresas e organizações governamentais em oposição aos consumidores.
O número de incidentes pode ser menor, mas os atacantes por trás deles estão recebendo pagamentos maiores.
À medida que as vítimas corporativas e governamentais aprendem que podem compensar as perdas registrando uma reclamação de seguro cibernético, a AIG acredita que o número de reclamações aumentará apesar do número menor de infecções por ransomware recentemente.
Essa tendência já se espalhou nos EUA e uma investigação recente do ProPublica descobriu que as companhias de seguros agora estão aconselhando as vítimas a pagarem a demanda de resgate e depois arquivam uma reivindicação de seguro cibernético posteriormente.
A AIG também descobriu que o GDPR afetou o número de reclamações de seguros cibernéticos registradas, pois as empresas não podem mais ocultar violações de dados e precisam divulgá-las de acordo com o regulamento.
Agora, as empresas estão publicamente revelando suas violações de dados e entrando com uma reivindicação de seguro cibernético para ajudar a cobrir alguns de seus custos e multas cobradas contra eles pelo GDPR o que no Brasil estará submetido a LGPD. Leia sobre isso em nossa coluna sobre proteção de dados.
Um quinto de todos os pedidos de seguro cibernético que a AIG recebeu em 2018 incluiu uma notificação pública do GDPR.
No entanto, a empresa constatou que essas reivindicações incluíam custos significativamente maiores do que aqueles que não incluíam uma notificação de violação de dados do GDPR.
As regulações em torno da proteção de dados está forçando empresários se conscientizem da premente necessidade das empresas terem mais compromisso com os dados sob sua custódia. Isso porque as regulações lhes trarão pesadas multas em caso de incidentes e até mesmo como resultado de litígios.
Utilizar ferramentas de captação de leads para fechamento de novos negócios e manter seu banco de dados atualizado para a comunicação a fim de manter clientes já foi muito bem assimilado por empresas de todos os portes e no mundo todo. Hoje os empresários são verdadeiros doutores em comunicação para captação de leads e fidelização de clientes por todos os canais possíveis.
Porém, agora é hora de entender como esses preciosíssimos dados estão sendo cuidados por sua empresas a começar pelas caixas de e-mails por onde passam informações e dados de todas as espécies e criticidades.
Já dizia nossas tataravós, é melhor prevenir do que remediar – e então é hora de se começar pelo básico: atenção absoluta aos e-mails da sua empresa!
Até o próximo artigo.
Utilizei a publicação da TechRadar para apresentar a pesquisa da AIG.
[button link=”https://cryptoid.com.br/category/colunistas/regina-tupinamba/” icon=”fa-check” side=”left” target=”” color=”0960b7″ textcolor=”ffffff”]Leia outros artigos escritos por Regina Tupinambá[/button]
Regina Tupinambá
CCO – Chief Content Officer – CryptoID. Publicitária formada pela PUC Rio, desde 1995 se dedica ao comércio eletrônico e em 1999 entrou para o universo da Certificação Digital. Desenvolveu o mercado de SSL no Brasil e criou o mais completo programa de cursos sobre Certificação Digital. No âmbito da ICP-Brasil acompanhou a criação da AC Raiz, e participou diretamente da homologação de muitas Autoridades Certificadoras e Autoridades de Registro. É CEO da Insania Publicidade e dirige a área de conteúdo do Portal CryptoID.