As associações da sociedade civil têm sido – como todas as demais organizações portuguesas – alvo de constantes ameaças e intrusões nos últimos anos. Nos EUA, um estudo recentemente indicou que 24% de todos os ciberataques eram conduzidos contra PMEs e que estas eram – em todo o tecido económico – as organizações mais frágeis porque investiam muito pouco em cibersegurança. Não há estudos comparáveis em Portugal e, sobretudo, não há nada em que se aplique ao mundo das associações e cooperativas.

Isto não quer dizer que não se possam construir e fazer algumas sugestões.

1. Seguro ramsonware
Fazer um seguro contra ransomware pode oferecer várias vantagens, especialmente num cenário onde ataques cibernéticos, incluindo ransomware, são cada vez mais comuns e prejudiciais. Eis algumas vantagens de um seguro ransomware:
a. Cobertura Financeira: O seguro ransomware pode cobrir os custos associados a um ataque, incluindo o pagamento do resgate, despesas de recuperação de dados, custos de investigação forense, custos legais e de relações públicas. Isso pode ajudar a minimizar o impacto financeiro do ataque.
b. Recuperação Rápida: Com um seguro adequado, há suporte financeiro para lidar com as consequências de um ataque de ransomware, permitindo uma recuperação mais rápida e eficiente dos sistemas e dados afetados.
c. Assistência Especializada: Muitas seguradoras fornecem acesso a profissionais experientes em segurança cibernética e empresas de resposta a incidentes para ajudar a lidar com o ataque. Isso pode incluir especialistas em TI, advogados especializados em cibersegurança e relações públicas.
d. Avaliação de Riscos: As seguradoras geralmente conduzem avaliações de riscos para entender a postura de segurança da associação e ajudar a identificar áreas de vulnerabilidade. Isso pode levar a melhorias em suas práticas de segurança cibernética. Contudo, se a sua rede ou servidores e serviços foram demasiado obsoletos isto pode aumentar o custo do seguro até um valor incomportável ou levar mesmo à recusa desse serviço por parte da seguradora.
e. Conformidade Regulatória: Algumas indústrias e jurisdições têm requisitos rigorosos de conformidade cibernética. Ter seguro ransomware pode ajudar a cumprir esses requisitos ao demonstrar que se a tomar medidas para mitigar os riscos cibernéticos.
f. Proteção da Reputação: Um ataque de ransomware pode causar danos significativos à reputação de uma organização. O seguro pode também cobrir custos associados à gestão de crise e relações públicas para ajudar a proteger a sua imagem.
g. Treino de Conscientização: Algumas seguradoras oferecem programas de formação em conscientização de segurança cibernética para funcionários, ajudando a reduzir o risco de ataques bem-sucedidos.
No entanto, é importante notar que o seguro contra ransomware não deve ser visto como uma solução única e definitiva. Ele deve ser complementado por medidas sólidas de segurança cibernética, como o backup regular de dados, atualizações de software, implementação de melhores práticas de segurança e conscientização dos funcionários e dirigentes da associação. Antes de adquirir um seguro ransomware, é essencial entender os detalhes da política, as exclusões e os requisitos de segurança exigidos pela seguradora.

2. Identifique todas as aplicações e/ou serviços obsoletos (“Legacy”) que ainda usa na organização e elabore um plano realista mas de execução rápida que leve à sua migração ou desligamento.

3. No orçamento anual da sua associação preveja uma rubrica para cibesegurança. Esta poderá chegar aos 10% das despesas regulares anuais se for seguido o conselho de alguns especialistas.

4. Se ainda usa computadores Windows com sistemas operativos anteriores ao Windows 10: elabore um plano de actualização dos mesmos para Windows 11. Se estes computadores ainda acedem por SMB1 a servidor de ficheiros mais antigo (Windows Server 2003: por exemplo): desligue esse protocolo obsolto e migre este file server para um sistema mais recentes.

5. Contacte e pressione a sua autarquia local no sentido desta criar um SOC partilhado, ou seja um centro de operações de segurança: um termo genérico que descreve parte ou a totalidade de uma plataforma cujo objetivo é prestar serviços de detecção e reação a incidentes de segurança e que dada a escala da maioria das associações não faz sentido existir em exclusivo mas que pode e deve ser partilhado entre várias tendo como esteio ou sede a autarquia onde estas associações operam ou estão sediadas.

6. Avalie a necessidade de ter um serviço de gestão de passwords colectivo e “empresarial” por exemplo o da bitwarden ou da LastPass (apesar dos seus problemas recentes): assim não deixará as passwords que os seus digirentes ou colaboradores deixam guardadas nos gestores de passwords dos seus browsers. Tenha em conta que numa versão recente o Chrome já as protege com biometria mas terá que ter um equipamento leitor deste tipo no computador.

7. Se tem (e deve ter) um esquema de licenciamento comercial de Antivirus adicione a este os telemóveis de serviço dos seus colaboradores, ou pelo menos, os dos dirigentes da associação. Alguns antivirus: como o da Panda, permitem localização e remote wipe de equipamentos furtados.

8. Idealmente, quando fora da sua sede ou rede local todos os acessos à rede devem passar por VPN e esta, idealmente, deve suportar formas de autenticação por múltiplo factor (MFA) ou de restrição geográfica (permitindo logins a partir, apenas, dos países onde plausivelmente se ligam os utilizadores da VPN).

9. Invista na formação dos colaboradores e dirigentes da associação. Comece por enviar um convite para o curso online gratuito “Cidadão Ciberseguro” que está disponível em https://www.nau.edu.pt/pt/curso/cidadao-ciberseguro.

10. Defina um fluxo claro e bem comunicado que os utilizadores da sua associação possam seguir para reportarem todas as situações que considerem suspeitas: uma caixa de correio, um número de telefone especializado. Na comunicação deixe claro que os utilizadores que usarem este contacto não estão a perder o seu tempo nem o dos técnicos que analisarão cada uma destas situações: pelo contrário: podem salvar a organização de um dano considerável ou, até, fatal. Mais vale gastar alguns minutos a verificar se um email é uma porta de entrada para um ataque de ransomware do que perder dados valiosos para a organização. Pondere um sistema de prémios em vez de punições: elogie que levanta casos suspeitos e permite o barramento de campanhas de phishing. Premeie estas pessoas com destaques na newsletter regular ou através de prémios simbólicos.

11. Faça simulações de campanhas de phishing com ferramentas disponíveis em vários (como as da https://www.titanhq.com) ou através de mensagens de mail desenhadas e criadas por si mesmo que, depois, podem medir quem clicou ou abrir (por exemplo colocando um form de credenciais num servidor da associação).

12. Comece por ter um bom antivirus (o ranking dos melhores AV gratuitos muda todos os anos:https://www.pcmag.com/picks/the-best-free-antivirus-protection) mas, considere seriamente investir num software pago (que não seja o russo Kaspersky conforme recomendação do EUA desde 2017 e desde 2021 da Alemanha e nomeadamente num dos recomendados neste link: https://www.investopedia.com/best-antivirus-software-5084503).

13. Se ainda não tem instale um proxy server (como o gratuito http://www.squid-cache.org) e monitorize os acessos que por aqui passam usando o ficheiro squid.conf para somar URLs que são usados por estes gangs de ransomware.

14. Configure os seus computadores na firewall local ou na firewall da organização para que possam sair para a Internet apenas or HTTP ou HTTPS (ou em qualquer outro protocolo que seja necessário como o FTP ou o SFTP)

15. Não permita, por defeito, a execução de macros em ficheiros Office: Actualmente uma das variantes de dropper (um programa malicioso que carrega o malware para o computador ou telemóvel do alvo) usa uma macro de excel dentro de um .zip para criar a sua botnet: Trata-se do ncZip/XLSMDownldr.A.aggr!Camelot.

16. Se tem um servidor de file share para todos os utilizadores: divida-o por vários (por exemplo: por departamento) e controle o acesso aos mesmos por segmento de rede ou por firewall configuradas para grupos de computadores. Isto pode impedir um malware de sair do departamento ou área que foi inicialmente infectado.

17. Nos file shares evite shares abertos a todos, para escrita, e funcione ou altere os shares com base no princípio de “menor permissão necessária”: isso poderá impedir que muitos ficheiros sejam encriptados por malware. Reveja todos os seus shares de rede e elimine os obsoletos.

18. Separe as contas que usa no dia a dia das contas com privilégios de sistema.

19. Procure manter todos os equipamentos, sistemas e aplicações actualizados e com os patches disponíveis nos fabricantes. Desta forma poderá resolver muitas vulnerabilidades e impedir a entrada do ransomware.

Estas são apenas algumas medidas gerais que as associações podem adoptar para aumentar a sua cibersegurança. É importante adaptar as práticas de segurança às necessidades específicas de cada associação e procurar orientação de profissionais especializados.