Como qualquer outro ano, 2015 teve seus altos e baixos no mundo da segurança. Existe uma linha tênue entre as ameaças que nós enfrentamos e as soluções que temos a nossa disposição, qualquer deslize dos defensores pode tornar um problema existente ainda pior.
O ano que se aproxima não será diferente. Em 2016, os extorsionistas cibernéticos descobrirão novas maneiras para visar a psique de suas vítimas, tornando cada ataque “pessoal” – para um usuário pessoal ou uma grande empresa. As ameaças evoluirão, dependendo mais da psicologia por trás de cada esquema ao invés dos aspectos técnicos da operação. Reputação é tudo e as ameaças que podem arruinar a reputação de uma empresa ou de um indivíduo provarão ser eficazes e – mais importante – lucrativas. Os fornecedores de segurança precisarão trabalhar junto com as autoridades legais e possíveis vítimas para ajudar a combater as ameaças em evolução.
Extorsão online continuará a crescer em 2016
Extorsão, de uma forma ou de outra, tem sido uma parte importante na atividade cibercriminosa por muitos anos. Para usuários pessoais, ela vem de várias formas, desde antivírus falsos até os “police trojans” e os crypto-ransomware atuais. Basicamente, a ameaça continua a mesma: temos seus dados, estamos negando seu acesso a eles, nos dê o dinheiro ou…
Essas organizações criminosas são muito lucrativas. As estimativas apontam para “ganhos” na casa dos milhões de dólares. Essa é uma atividade essencialmente “sem riscos” para muitos grupos cibercriminosos, resultando em um considerável lucro. Não deve ser surpresa que tenha se transformado em uma das maiores ameaças enfrentadas por usuários comuns hoje em dia.
Daqui em diante, podemos esperar mais ameaças tentando extorquir dinheiro dos usuários. Mais do que apenas dados, outras coisas que os usuários acham valiosas e estão online também poderão ser visadas. Pense no que aconteceu com alguns dos usuários do site Ashley Madison, que enfrentaram ameaças por serem (supostamente) membros do site de encontros. Ataques semelhantes contra a reputação dos usuários podem acontecer em um futuro próximo.
Grandes empresas e outras grandes organizações enfrentarão seus próprios riscos à reputação devido a violações de dados.
Existem poucas coisas mais prejudiciais para uma empresa do que uma grande violação de dados que expõe seus secretos mais profundos. Empresas como a Sony e o Hacking Team aprenderam isso, para seu pesar.
Os hacktivistas respondem a incentivos como qualquer outra pessoa. Ao invés de apenas desfigurar sites e/ou realizar ataques de negação de serviço (DoS), os hacktivistas com mais recursos podem também tentar roubar os segredos mais valiosos de uma empresa e divulgá-los publicamente.
Essa é uma nova forma de ameaça quando se trata de violações de dados. Tradicionalmente, ou são ataques de cibercriminosos em busca de lucro ou ataques de roubo de informações realizados por estados nação. Ataques de hackitivistas podem também diferir das ameaças anteriores e precisam ser tratados de acordo.
Apesar dos riscos de violações de dados, as organizações deixam de adotar políticas para ajudar a se proteger, como a criação de Diretores de Proteção de Dados.
Como qualquer um pode ver, proteger os dados de uma empresa está se tornando uma tarefa cada vez mais complexa. Novas regulamentações impostas por governos, como a diretriz EU Data Protection só torna essa tarefa mais difícil: além dos riscos “normais” associados aos atores de ameaças, mandatos impostos por reguladores também devem ser considerados ao planejar a postura de segurança de uma empresa.
De preferência, uma organização deveria ter um executivo especificamente encarregado de tratar dessas questões; poderia se chamar o cargo de Diretor de Proteção de Dados (DPO, Data Protection Officer, em inglês). O cargo exige conhecimentos não apenas dos riscos técnicos aos dados da empresa, mas também de como lidar com os requisitos legais que agora também estão sendo impostos.
Muitas empresas continuam alienadas sobre suas responsabilidades de proteger seus dados e os dados de seus usuários. Mesmo que mais empresas possam estar conscientes, não têm planos para revisar suas políticas existentes para lidar com as novas regulamentações.
Ataques contra dispositivos inteligentes de uso pessoal se mostrarão fatais – diretamente ou de outra maneira.
Mais e mais dispositivos e itens estão sendo conectados a Internet, e espera-se que cresçam a uma taxa de 67% ao ano, durante os próximos cinco anos. Como esses dispositivos são uma grande parte de nossas vidas diárias, suas falhas de segurança ficam cada vez mais aparentes e problemáticas. Já se sabe que existem vulnerabilidades nos dispositivos, de monitores de bebês a carros e bombas de gasolina.
Esses dispositivos são corrigidos muito vagarosamente – quando são. Como resultado, vulnerabilidades conhecidas ficam no mundo real por períodos mais longos do que deveriam, comparado a PCs onde os fornecedores de segurança disponibilizam patches regularmente. Esta combinação tóxica da importância no dia a dia e a falta de segurança pode causar danos – ou pior, fatalidades – para os usuários devido a falhas de dispositivos inteligentes.
Mais detalhes sobre essas previsões podem ser encontrados em A Linha Tênue: Previsões de Segurança da Trend Micro para 2016.