Veículos autônomos têm pelo menos 50 pontos de ciberataque

Veículos autônomos têm pelo menos 50 pontos de ciberataque, segundo estudo da Indra, empresa de consultoria em tecnologia e conectividade.

A discussão sobre o avanço dos veículos autônomos ganha cada vez mais espaço no cenário mundial. Recentemente, a Alphabet informou que pretende iniciar até janeiro um serviço de transporte comercial com carros sem motorista nos EUA, a Ford e Walmart firmaram parceria para testar esse tipo de veículo e a Audi apresentou no Salão do Automóvel alguns modelos de carros autônomos.

Diante de um campo tão vasto a ser explorado, uma nova questão surge: dado que esses veículos autônomos funcionarão de maneira cada vez mais conectada, como protegê-los contra ciberataques? De acordo com a Indra, empresa global de consultoria e tecnologia, a conectividade, o hardware e o software que capacitam os veículos conectados têm consequências diretas na estrutura interna dos veículos e na infraestrutura, com mais de 50 possíveis pontos de ataque.

Com o objetivo de ajudar companhias a protegerem seus veículos nesse novo ambiente, a companhia já está desenvolvendo novas soluções, que abrangem o escopo de carros, ônibus e trens conectados. As soluções são baseadas em cloud computing e processamento inteligente distribuído, levando em conta as melhores práticas de segurança globais.

Um projeto que já está em andamento é a plataforma na nuvem que permitirá enviar de forma segura aos veículos informação em tempo real sobre limites de velocidade ou outros sinais, recomendações e alertas, incluindo informação de outros meios de transporte, como trens e ônibus.

“Esta interoperabilidade é especialmente importante nas cidades onde existe uma grande quantidade de meios de transporte diferentes com a capacidade de proporcionar informação útil. Um dos principais desafios é integrar os veículos convencionais, veículos conectados, veículos autônomos e os demais meios de transporte para melhorar a mobilidade urbana e a segurança dos deslocamentos”, afirma a companhia.

Os novos projetos estão sendo desenvolvidos dentro das iniciativas europeias SECREDAS e SCOTT, que contam com apoio da União Europeia para desenvolver o mercado de carros autônomos. Com os avanços que está desenvolvendo em ambos os projetos, a Indra reforça sua posição de liderança em smart mobility e no mercado de serviços para o veículo autônomo e/ou conectado.

Além dessas iniciativas, a Indra também colabora na iniciativa AUTOCITS, que testa a direção autônoma em estradas de Madri, Lisboa e Paris. Atualmente, já circula em testes pela pista um carro autônomo do projeto, em velocidades superiores aos 80 km/h. Isso foi possível graças a uma rede de equipamentos com diferentes tecnologias, que facilitam a comunicação entre o carro autônomo e o centro de controle de tráfego.

Sobre a Indra

A Indra é uma das principais companhias globais de tecnologia e consultoria e o sócio tecnológico para as operações-chave dos negócios de seus clientes em todo o mundo. É um fornecedor líder mundial de soluções próprias em segmentos específicos dos mercados de transporte e defesa, e a empresa líder em consultoria de transformação digital e tecnologias da informação na Espanha e América Latina por meio da sua filial Minsait.

Seu modelo de negócio está baseado em uma oferta integral de produtos próprios, com um foco end-to-end, de alto valor e com um elevado componente de inovação. No Exercício de 2017, a Indra teve entradas de 3,11 bilhões de euros, 40.000 funcionários, presença local em 46 países e operações comerciais em mais de 140 países.

Como ataques cibernéticos podem afetar a reputação de uma empresa?

A todo momento testemunhamos empresas e organizações sendo vítimas de ataques cibernéticos de grandes proporções. Podemos enumerar alguns casos mais recentes, como o Serviço Nacional de Saúde no Reino Unido e a agência de monitoramento de crédito Equifax nos Estados Unidos.

De acordo com a pesquisa Kroll Global Fraud Risk Report, que entrevistou, no segundo semestre de 2017, 540 executivos em cargos de liderança em diversos países, 86% deles já haviam passado por incidentes de ataques cibernéticos nos últimos 12 meses.

Múltiplos danos de ataques cibernéticos

As empresas têm notado o impacto que as ameaças de segurança trazem para seus negócios e se preocupam com esses problemas. Segundo a pesquisa ESET Security Report 2017, que teve 4 mil participantes em 13 países, 56% das companhias latino-americanas têm receio de códigos maliciosos, 52% temem vulnerabilidades de software ou sistema e 43% têm medo do roubo de informações.

Além dos prejuízos trazidos pelos pagamentos de resgate aos cibercriminosos em casos de vazamento de dados ou sequestros de sistemas, há também a publicidade negativa que surge quando os ataques cibernéticos chegam ao conhecimento público.

Um exemplo foi o Yahoo, que passou por três situações de vazamento de dados, que comprometeu a confiança de clientes e possíveis investidores. A empresa de crédito americana Equifax também ganhou as manchetes por ter dados de mais de 147 milhões de pessoas vazados e pode ter prejuízo de quase meio milhão de dólares por isso.

De acordo com pesquisadores do Google, Chainalysis, UC San Diego e da NYU Tandon School of Engineering, vítimas de ransomwares, para citar como exemplo uma das maiores ameaças do momento, pagaram mais de 25 milhões de dólares em resgates desde 2014. Estes dados reforçam que, atualmente, um dos maiores prejuízos que uma empresa pode sofrer é um ataque cibernético.

Recentemente, 57 milhões de usuários da Uber e 600 mil motoristas tiveram informações sigilosas roubadas. Temendo o impacto nos negócios, a Uber evitou que a informação chegasse à imprensa na época, pagando 100 mil dólares aos criminosos. Ainda assim, não ficou à salvo, pois quando as informações chegaram à mídia, a repercussão foi ainda maior. No Brasil, a Comissão de Proteção dos Dados Pessoais do Ministério Público do Distrito Federal e Territórios, exigiu explicações da empresa sobre os fatos.

Estes exemplos mostram que qualquer empresa que sofrer um vazamento de informações, pode correr riscos não apenas de perder, clientes, dinheiro e credibilidade, como também de ter que se explicar para a justiça, manchando seu nome não somente na imprensa, mas também nos órgãos públicos dos países nos quais atua, inclusive podendo sofrer ações de danos morais e até materiais, dependendo da gravidade do caso.

Apesar da constante ameaça, muitas empresas não investem em segurança de forma adequada. De acordo com o estudo ESET Security Report, apenas 52% das companhias latino-americanas têm antivírus, backup e firewall instalados, iniciativas extremamente básicas para proteção de dados.

Além de se proteger contra ataques virtuais, as empresas precisam cogitar possíveis ameaças internas. Ações como controlar o privilégio de acessos de cada colaborador, estabelecer regras para homogeneizar as práticas de segurança de toda a empresa e orientar o colaborador sobre o uso pessoal e intrasferível de senhas e crachás de acesso, para que não haja vazamento de informações próprias ou de clientes são algumas das atitudes básicas. De acordo com a mesma pesquisa da ESET, somente 40% das organizações realizam atividades de conscientização de maneira periódica com seus colaboradores para falar sobre segurança de dados.

Os ataques têm sido cada vez mais ousados e massivos, devido à sofisticação cada vez maior e o retorno econômico que geram para os cibercriminosos. Por isso, as empresas devem manter suas medidas de segurança periodicamente revistas e reforçadas.

Além disso, é preciso conscientizar os funcionários que o simples fato de permitir a presença de um desconhecido em um ambiente de data center, por exemplo, pode significar uma ameaça.

Compreender o valor de uma informação sigilosa e todo o prejuízo causado por uma falha ao protege-los é imprescindível para todos que fazem parte do ecossistema de uma empresa.

Camillo Di Jorge é Country Manager da ESET, empresa especializada em detecção de ameaças virtuais. O executivo tem uma experiência de mais de 20 anos no mercado de TI e telecom e atua em campanhas educacionais voltadas a reforçar a segurança digital para usuários finais e corporativos.

Brasil está entre principais alvos de ataques cibernéticos

A informação sobre a importância da segurança online é cada vez mais difundida na sociedade mas as pessoas continuam pouco atentas a seu comportamento em relação ao uso da internet e seus aplicativos. Isso somado ao crescente número de ataques cibernéticos, resulta em um ambiente vulnerável a sérios tipos de crimes.

Além dessa vulnerabilidade das pessoas físicas, as empresas também são fortes alvos dos hackers. De acordo com o relatório anual Norton Cyber Security Insights, 2016 foi um ano próspero para os hackers em todo o mundo, quando os ataques cibernéticos registraram uma alta de 10% em relação ao ano anterior. Apenas no Brasil, 42,4 milhões de pessoas foram afetadas, e o prejuízo total no país por conta desses ataques chegou a US$ 10,3 bilhões (R$ 32,1 bilhões).

Uma modalidade cada vez mais comum de crime é o sequestro de servidores. Hackers invadem computadores, principalmente de pequenas e médias empresas, deixam todos os dados indisponíveis e exigem um pagamento, feito em Bitcoin para devolver o controle das máquinas.

Segundo, André Miceli, Professor do MBA de Marketing Digital da Fundação Getúlio Vargas (FGV) “as grandes empresas já dedicam uma parcela de seus orçamentos de tecnologia para segurança. Isso ainda não acontece nas pequenas e médias. Assim como no mundo ‘físico’, os criminosos procuram facilidade, então essas empresas acabam caindo nessa situação com mais frequência”. Miceli afirma que o Brasil foi o 4º país com a maior quantidade de casos de ataques cibernéticos no mundo em 2016 e que esse número deve aumentar.

Ainda segundo o especialista, uma questão que deve trazer muitos problemas nos próximos anos é a segurança de dispositivos conectados a carros, residências e até mesmo equipamentos de saúde. Miceli afirma que “nos próximos anos, certamente veremos a explosão do número de elementos conectados. Bombas de insulina, cardioversores, marca-passos estarão conectados. Aceleradores e pilotos-automáticos de automóveis, controles de casa como aparelhos de ar-condicionado e fogões também. Teremos mais oportunidades para invasões e certamente os criminosos irão aproveitá-las para fazer dinheiro”.

Ações para evitar ataques cibernéticos

Para evitar esse tipo de problema, Miceli diz que as 3 principais ações são:

  1. Aprender sobre Engenharia Social – você recebe um e-mail pedindo recadastramento de senha do seu banco ou outras confirmações de dados e preenche com seus dados , passando todas as informações para alguém mal intencionado. Para se prevenir desse tipo de ataque, evite abrir e-mails de remetentes desconhecidos, configure o link aberto pelo e-mail que receber e verifique se ele é realmente da empresa que diz ter enviado a mensagem e não instale nada que não saiba a procedência em seu celular, computador ou qualquer outro equipamento.
  2. Bloquear dispositivos e sites com senhas longas – todos devem colocar senhas e bloqueio automático em seus dispositivos. Isso diminui a possibilidade de uso por terceiros caso haja roubo ou esquecimento. As senhas longas também são úteis pois um técnica muito utilizada é o ataque por força bruta. Neste caso, um programa testa individualmente todas as alternativas possíveis de senha. Por isso, quanto mais longa e mais caracteres especiais, mais difícil será o acesso.
  3. Realizar backups frequentes – uma ação contingencial que pode poupar muito trabalho e dinheiro é a realização de backups frequentes. Desta maneira, se no pior caso você perder algo, será mais fácil recuperar arquivos é demais informações.

O cenário visto em 2016, infelizmente, deve se intensificar em 2017, com mais alguns pontos críticos como alvo de ataques cibernéticos: ameaças direcionadas a meios de pagamento, à Nuvem, à Internet das Coisas (IoT) e a dispositivos móveis.

 

Sobre Andre L. Miceli
André Lima-Cardoso Miceli é Mestre em Administração pelo Ibmec RJ, com MBA em Gestão de Negócios e Marketing pela mesma instituição. Coordenador do MBA e Pós-MBA em Marketing Digital da Fundação Getúlio Vargas (FGV) e professor do International Master’s Program da EBAPE.

Tem mais de vinte prêmios de internet e tecnologia, incluindo o melhor aplicativo móvel desenvolvido no Brasil. Certificado no programa Advanced Executive Certificate in Management, Innovation & Technology do Massachusetts Institute of Technology (MIT). Cursou o programa de Negociação da Harvard Law School. É Graduado em Tecnologia e Processamento de Dados pela PUC-Rio.

Autor dos livros “Planejamento de Marketing Digital”, “Estratégia Digital: vantagens competitivas na internet” e “UML Aplicada: da teoria à implementação”.

É fundador e Diretor Executivo da Infobase, uma das 50 maiores integradoras de TI do país, e da agência digital IInterativa, que atua com clientes de diversos segmentos.

Cinco maneiras de combater phishing e ameaças externas

A autenticação de e-mails é um pilar importante da proteção contra ameaças digitais, mas não deve ser o único. O ataque que usou a marca do Serviço Postal dos Estados Unidos (USPS) é o mais recente exemplo da necessidade de ir além da autenticação de e-mails. Os criminosos enviaram e-mails de phishing para as vítimas, afirmando que um pacote não poderia ser entregue e que deveriam clicar em um link inserido na mensagem. O e-mail dizia que o link as encaminharia para a página do USPS para a resolução do problema, mas o link era falso.

Apenas 30% da fraude com e-mails é realizada por meio da falsificação de domínios idênticos, segundo o Grupo de Trabalho Antiphishing. É mais provável que os fraudadores utilizem domínios similares ou implementem táticas como falsificação do “Assunto”, “Nome” ou e-mail do remetente. Isso significa que as organizações precisam urgentemente implementar uma abordagem holística para o combate a ameaças digitais.

“Em um mundo em que o cibercrime compensa, esse tipo de campanha de phishing acontece o tempo inteiro”, alerta Ricardo Villadiego, CEO da Easy Solutions. “Esse tipo de ataque é muito alarmante, pois os cibercriminosos sabiam que o USPS utilizava DMARC (protocolo de autenticação de e-mails amplamente utilizado), e usaram a criatividade para elaborar maneiras de burlar esse protocolo”, explica.

Ações de combate ao phishing

Veja algumas recomendações que podem garantir que as organizações fiquem protegidas contra uma série de ataques e golpes aplicados em diferentes canais:

  1. Implemente um sistema que não apenas identifique as ameaças como também consiga desativá-las com agilidade. Isso irá minimizar os impactos de um ataque a clientes e funcionários;
  2. Não limite o monitoramento de ataques ao canal de e-mails. Expanda o monitoramento de potenciais ameaças para redes sociais, websites, Dark Web e outros;
  3. Monitore lojas de aplicativos não oficiais para garantir que os fraudadores não estejam criando apps maliciosos que falsificam a sua marca ou a imagem da sua marca;
  4. Utilize um protocolo de machine learning para analisar dados em escala e encontrar e eliminar ameaças o mais rápido possível;
  5. Avalie o registro de domínios similares, uma vez que ele pode ser um indicador de um plano criminoso para usar domínios falsos em campanhas futuras de phishing.

Os fraudadores estão sempre encontrando novas maneiras de enviar e-mails de phishing para vítimas potenciais utilizando domínios de organizações reais. Portanto, acima de tudo, uma estratégia eficiente de proteção contra ameaças digitais deve incluir uma abordagem proativa, que analise todo o ciclo da fraude.

Sobre a Easy Solutions
A Easy Solut​ions é um fornecedor líder, dedicado à detecção e prevenção total de fraude eletrônica em todos os dispositivos, canais e serviços na nuvem. O nosso portfólio de produtos abrange desde ferramentas antiphishing e de navegação segura a autenticação multifatorial e detecção de transações anômalas, oferecendo em um só lugar soluções para todas as necessidades de prevenção de fraude da sua organização.