Segurança 4.0

Todos têm de tomar conta da sua própria segurança

À margem do Smartpayments Congress, o diretor de segurança da SIBS, Valentim Oliveira, explicou qual papel do DPO, falou sobre criticidade dos dados e a cibersegurança.

Na sequência da mesa-redonda Security 4.0, o SmartpaymentsNews procurou saber a opinião do diretor de segurança da SIBS, Valentim Oliveira, sobre o papel do DPO, a criticidade dos dados e a cibersegurança. Maria Antónia Saldanha, diretora de marca e comunicação da SIBS, deu o seu contributo.

Valentim Oliveira, que trabalha em cibersegurança há três décadas, refere que um mesmo tipo de dado pode ter valores bastante distintos, como é o caso dos 16 dígitos do número de cartão de débito. “Um número de cartão com um plafond de 5000 euros todos os meses tem um valor elevado”.

Já os mesmos 16 dígitos, mas de um cartão MBNet, têm um tempo de vida, com valor, muito curto e, fora desse tempo, “não tem valor”. O que acontece é que, “na prática, uma pessoa gera um cartão MBNet, em média de 50 euros, e passados uns segundos já vale zero”, porque todo o plafond foi utilizado.

Afinal, “podemos tirar todo o valor” daqueles “16 dígitos que são tão preciosos” e para os quais se tem montado tanta proteção ao longo dos anos. Valentim Oliveira acrescenta que “isto é verdade para os cartões e é verdade com outros temas”.

Valor e criticidade

“Quando se montam as proteções, há que ter em conta o valor da informação e outros aspectos como os impactos na sociedade”, Valentim Oliveira

O tema surgiu a propósito da responsabilidade de DPO (responsável de proteção de dados). Comparando a criticidade dos dados de duas organizações de dimensões semelhantes – uma média empresa e um hospital médio -, no hospital “temos dados muito críticos” e, na outra empresa, embora tenha também dados pessoais, não têm uma “criticidade tão grande”. Valentim Oliveira assinala que, quando se montam as proteções, “há que ter em conta o valor da informação” e outros aspectos como “os impactos na sociedade”.

O impacto na sociedade de uma brecha de dados numa empresa com 10 colaboradores ou 100 mil colaboradores é naturalmente diferente. Mas, também a criticidade da informação é relevante. A criticidade da “informação partidária, religiosa ou de saúde” é elevada quando “comparada com outra que pode ser apenas um simples nome ou um número fiscal sem outros dados associados”.

O que nos leva a um dos temas mais complexos da indústria da cibersegurança: a classificação da informação. A título de exemplo, Valentim Oliveira referiu que na “SIBS temos cinco níveis de classificação de informação”, mas que noutras organizações esse número é muito superior. O responsável visitou “um departamento de agricultura dos EUA que tinha 43 classificações de informação. Às tantas não se conseguia saber qual era a mais restritiva em relação a outros”. Sendo um “tema aparentemente fácil”, tem depois “nuances muito engraçadas”.

É o caso do relatório de contas de uma empresa cotada em Bolsa que num minuto é totalmente confidencial e no minuto seguinte está publicado e disponível para todos. “Passa de um extremo ao outro da classificação de informação em poucos segundos”.

Acresce ainda a questão do cruzamento de dados. “Há pedaços de informação que qualquer responsável de segurança diria “isto não tem muita criticidade”. É o caso do número de identificação fiscal (NIF): “são nove dígitos seguidos, que, sozinhos, por si, não têm muita informação”. No entanto, se se juntar a este dado o número de telemóvel, já se começa a pensar duas vezes na criticidade dos dados.

“Este é um tema que ainda carece de sistematização: quando é que os dados começam a ser críticos. Toda a gente tem essa sensibilidade: quando isolados não são uma grande ameaça, mas quando se começam a juntar elementos de dados pouco preocupantes, o conjunto já mete receio”.

Segurança: presente sem se dar por ela

Para Maria Antónia Saldanha, a segurança é fundamental, mas é importante que ela esteja presente sem que seja necessário falar sobre ela. Fazendo a analogia com a segurança num centro comercial, a polícia está presente para nos transmitir segurança. Mas, se os virmos “acabamos por ter uma sensação de insegurança. Pensamos no que poderá ter acontecido”, algo que não acontece se, embora presentes, não os virmos.

Na SIBS, a segurança é incorporada em tudo o que a empresa faz “mas, sem que a a pessoa que utiliza o serviço sinta que está a ser acompanhada e monitorizada, para não sentir o receio”.

“A sofisticação do cibercrime tem vindo a aumentar”, Valentim Oliveira
Valentim Oliveira acrescentou que, “ultimamente, os assuntos de cibersegurança têm saltado para a sociedade como nunca vimos ao longos dos últimos 30 anos”, mas que na SIBS “temos tido uma cultura de segurança e de inovação muito forte” que passa por muito trabalho de “bastidores, com n sistemas de deteção de padrões maliciosos nas comunicações, nas aplicações, nos sistemas, nas pessoas”.

A segurança é um tema que vale a pena falar, até porque “as ameaças são crescentes”. Em 2009, vimos o primeiro caso de um compromisso de dados, na Card Systems. Na altura foram comprometidos 40 milhões de cartões. Os profissionais de cibersegurança confirmaram “que não eram paranóicos a olhar para a segurança”, que podia mesmo acontecer, e que tinham ali “o caso para o resto da nossa vida para as acções de sensibilização, de security awareness. Mal sabíamos que aquela era a primeira bola de muitas bolas e muito maiores que vinham por ali fora. Já assistimos a muitos casos  posteriores com milhares de milhões de dados comprometidos”.

Valentim Oliveira recorda ainda que a sofisticação do cibercrime tem vindo a aumentar. Existe hoje “uma cadeia de valor”: em que “uns procuram vulnerabilidades, que depois vendem a outros, que fazem malware, que compromete sistemas, que são botnets, que conseguem dados, que são depois vendidos a outros…” Em suma: “as ameaças são gigantescas” e acessíveis. “Hoje em dia, uma pessoa chega à darknet, descarrega um vírus e, sem grandes conhecimentos, consegue facilmente fazer uns estragos bastante grandes”.

Tendo em conta todo este cenário, Maria Antónia Saldanha reforça que “as pessoas também têm de tomar conta da sua própria segurança. É uma das batalhas da SIBS. As pessoas não podem descurar a sua própria segurança. Confiar no sistema, mas ter cautela, é fundamental”.

“Engenharia social é só um nome mais moderno para uma das profissões mais antigas do mundo: a burla”, Valentim Oliveira
E as ameaças estão em todo o lado. Até “quando se aceita cash, a nota poder ser falsa”, recorda Valentim Oliveira. Mas, os ataques de engenharia social são tremendos. “Atualmente 95% dos ataques data breach envolvem, no início, engenharia social/phishing. E engenharia social é só um nome mais moderno para uma das profissões mais antigas do mundo: a burla”.

E ninguém está a salvo. Têm-se registado data breachs resultantes da ação da engenharia social sobre administradores ou diretores financeiros de grandes empresas. Para o combater “as pessoas devem ser mantidas informadas”, envolver-se numa “aprendizagem constante para evitar os ataques de engenharia social”. Ninguém está a salvo”, nem na Europa, nem nos EUA.