Não há dúvida de que as empresas africanas estão a ser cada vez mais visadas por ciberataques, com incidentes de ransomware, spyware e backdoor, bem como fugas de dados, a tornarem-se cada vez mais frequentes.
Um exemplo recente são os ataques de negação de serviço distribuído (DDoS) a organizações quenianas e nigerianas pelos “hacktivistas” Anonymous Sudan em julho e agosto deste ano.
De acordo com um relatório da empresa de cibersegurança Cloudflare, o grupo original surgiu no Sudão, “em resposta aos desafios políticos e económicos do país. Também eram conhecidos por utilizar o activismo digital, que inclui pirataria informática e ataques DDoS a governos e outros sítios Web de alto nível, para chamar a atenção para questões como a censura na Internet”.
No início de 2022, os Anonymous Sudan lançaram ataques DDoS contra países como a Suécia, a Dinamarca e os EUA, que continuaram este ano, tendo o grupo anunciado que iria atacar o sector financeiro dos EUA e da Europa em meados de junho.
A partir do final de julho, as organizações quenianas ficaram sob cerco e várias empresas do país, como bancos, meios de comunicação social, hospitais, universidades e outras empresas, foram alegadamente visadas numa ofensiva DDoS que durou dias.
Os efeitos destes ataques são de grande alcance, diz o relatório, enumerando desafios como a indisponibilidade do serviço, a perda de receitas, a diminuição da produtividade, os custos de correção e os danos à reputação.
Como podem, então, as empresas africanas tomar medidas para mediar este tipo de ataque ou, pelo menos, minimizar os danos causados pelos cibercriminosos? A resposta é garantir que estão a ser tomadas as medidas estratégicas correctas
Estabelecer um Plano de Resposta a Incidentes
Um excelente ponto de partida é ter um plano de resposta a incidentes em vigor; um documento formal, escrito e aprovado pela direção, que fornece um conjunto de instruções para as organizações detectarem, responderem e recuperarem de um incidente cibernético.
Caso ocorra um ataque, a empresa deve consultar o seu plano de resposta a incidentes e adoptar as medidas recomendadas.
O plano de resposta a incidentes deve seguir várias etapas:
- A primeira, uma vez que o plano é invocado no caso de um incidente de cibersegurança, é alertar todas as pessoas responsáveis dentro da empresa, incluindo o responsável pela governação e risco, a gestão de topo e os executivos.
- O passo seguinte é reunir uma equipa de especialistas em segurança do Centro de Operações de Segurança (SOC), que incluiria membros de diferentes disciplinas de cibersegurança.
- Abrir uma “sala de guerra”, incorporar todos os seus especialistas técnicos em cibersegurança, que têm a tarefa de investigar o ataque, conceber o que tem de ser feito do ponto de vista da atenuação e executar as medidas necessárias.
- Todas as partes interessadas devem ser mantidas actualizadas sobre os progressos realizados durante este processo.
Idealmente, um plano de resposta a incidentes deve abranger todos os tipos de ciberataque e, quer se trate de ransomware ou de um ataque de malware, por exemplo, a resposta deve ser sempre a mesma – pelo menos inicialmente.
Isto significa que todos os membros das equipas técnicas e operacionais estão envolvidos nas fases iniciais, até que seja decidido como será feita a mitigação. Se forem designadas diferentes equipas para gerir diferentes tipos de ataques, a empresa corre o risco de perder de vista o panorama geral da cibersegurança e pode ficar vulnerável a outros tipos de incidentes.
MAIS: Grupo de Hackers “BlackCat” reivindica ataque cibernético a ENDE e a COSAL
A proactividade é fundamental
O conselho é que as organizações devem não só ter um plano de resposta a incidentes, mas também garantir que este é regularmente posto à prova. Isto pode ser efectuado através de simulações de ataques (testes de penetração) para verificar se existem vulnerabilidades exploráveis, digamos, pelo menos duas a quatro vezes por ano. Estes exercícios confirmarão que, na medida do possível, todas as partes interessadas e equipas envolvidas estão preparadas para um ataque real à empresa.
Além disso, as empresas devem fazer verificações frequentes com as suas equipas de engenharia de segurança para confirmar que possuem as certificações de segurança correctas.
Outro exercício essencial é garantir que a empresa oferece formação contínua em cibersegurança aos utilizadores finais. Isto é de extrema importância, considerando que mais de 80 por cento dos ataques são causados por erro humano.
Foi atacado, o que se segue?
É cada vez menos provável que as empresas africanas permaneçam ilesas aos ciberataques, pelo que é importante analisar a forma de recuperação em caso de incidente.
Para começar, a organização deve analisar o tipo de incidente sofrido e ver como pode tomar medidas mais eficazes para proteger os seus sistemas empresariais de ataques futuros semelhantes.
Mais uma vez, a empresa também deve procurar uma formação mais eficaz para os utilizadores finais, bem como sensibilizar as partes interessadas para o seu plano de resposta a incidentes, verificando o que o plano significa para a empresa e como pode ser melhorado.
As empresas que não dispõem de uma equipa de segurança interna dedicada devem procurar o apoio de um parceiro de cibersegurança estabelecido que ofereça serviços de Centro de Operações de Segurança (SOC).
Um SOC subcontratado oferece as vantagens de um acesso imediato, 24 horas por dia, 7 dias por semana, a uma equipa de especialistas em cibersegurança, bem como as mais recentes tecnologias avançadas, informações partilhadas sobre ameaças, opções de escalabilidade e também custos operacionais reduzidos.
Para além do conjunto de medidas de cibersegurança poderosas, proactivas e multidisciplinares, um parceiro de cibersegurança experiente poderá, além disso, ajudar a estabelecer um plano sólido de resposta a incidentes e simulações e cenários de teste regulares.
