Mitigar as ameaças internas requer vigilância constante

As ameaças internas não se manifestam com muita frequência, mas quando o fazem, as consequências são devastadoras.

Um ex-engenheiro de infraestrutura central numa empresa industrial não identificada, com sede em Somerset County, New Jersey, foi detido após alegadamente enviar um e-mail a notificar os administradores de que tinham sido bloqueados em 254 servidores Windows.

De acordo com documentos judiciais, os funcionários da empresa receberam um e-mail em novembro passado informando-os de que todos os administradores de TI tinham sido bloqueados das suas contas e os backups dos servidores tinham sido eliminados para tornar a recuperação de dados impossível. A mensagem também ameaçava desligar diariamente 40 servidores aleatórios na rede da empresa durante os próximos dez dias, a menos que um resgate de 20 Bitcoin, no valor aproximado de $750,000, fosse pago.

Uma investigação liderada pelo Agente Especial do FBI James E. Dennehy em Newark concluiu que Daniel Rhyne, de 57 anos, de Kansas City, Missouri, que trabalhava como engenheiro de infraestrutura central para a empresa, acedeu remotamente aos sistemas informáticos da empresa para alterar palavras-passe sem autorização, utilizando uma conta de administrador da empresa entre 9 de novembro e 25 de novembro. Ele foi preso no Missouri no final do mês passado. As acusações de extorsão, dano intencional a computador e fraude eletrónica têm uma penalidade máxima de 35 anos de prisão e uma multa de 750.000 dólares.

Independentemente do resultado do julgamento, ameaças internas estão entre os problemas mais desafiantes que qualquer equipa de cibersegurança provavelmente enfrentará. As principais fontes destas ameaças são geralmente funcionários insatisfeitos, mas também podem ser falhas acidentais causadas por um funcionário interno ou contratado externo. Em casos raros, um funcionário pode também tentar vender propriedade intelectual a um rival. A única forma de prevenir esses tipos de ataques é garantir que existem ferramentas de prevenção de perda de dados (DLP) para assegurar que o acesso aos dados está a ser continuamente monitorizado. Afinal, a forma como os dados são acedidos é bastante consistente, por isso qualquer atividade incomum deve ser investigada.

É claro que, uma vez detetadas, estas investigações podem demorar muito tempo. Felizmente, os agentes da lei, especialmente o FBI, melhoraram significativamente as suas competências de forense digital nos últimos anos na era do ransomware. Na verdade, é muitas vezes muito mais fácil determinar a origem de uma ameaça interna do que um ciberataque que possa ter-se originado na Rússia ou na Coreia do Norte.

Como se costuma dizer, a justiça tarda mas não falha. Isso pode ser apenas um consolo frio para os executivos de empresas que lidam com a interrupção de sistemas. Ainda assim, serve como dissuasão ao lembrar qualquer potencial criminoso de que provavelmente será apanhado, não importa o quão habilidoso pense ser. Argumentavelmente, um dos métodos mais eficazes é acompanhar as questões de recursos humanos e, se necessário, realizar uma verificação de antecedentes nos funcionários. Qualquer pessoa que tenha acumulado, por exemplo, uma grande quantidade de dívida pode estar mais disposta a vender segredos ou a ceder o acesso às suas credenciais em troca de algum alívio financeiro.

Entretanto, não faz mal lembrar gentilmente a todos, de tempos a tempos, que as pessoas que irão encontrar na prisão provavelmente não ficarão especialmente impressionadas com a sua perícia em TI.