Como os quadros internacionais de cibersegurança podem ajudar os CISO (Chief Information Security Officer)
Os acordos internacionais de cibersegurança podem orientar os Chief Information Security Officer (CISO) quando é necessária uma colaboração transfronteiriça, mas estes acordos, por si só, não são suficientes para proteger as empresas.
As leis e normas de cibersegurança são imensas e, para piorar a situação, muitas vezes variam dentro dos países. Quando os CISO’s precisam de se debruçar sobre a cibersegurança para além das fronteiras do seu país, os acordos e estruturas internacionais podem fornecer algumas orientações sobre a conformidade, quais os países mais suscetíveis de colaborar quando ocorre um cibercrime, como colaborar e quando a colaboração público-privada pode ser a melhor opção.
A Convenção de Budapeste, o primeiro tratado internacional destinado a harmonizar as normas internacionais de cumprimento da cibersegurança, conta atualmente com 68 membros e 21 países observadores signatários. Estuda o melhor modo de abordar as questões da cibercriminalidade de forma abrangente, a medida em que os consentimentos e a transparência necessários estão em vigor para proteger os direitos humanos de pessoas e entidades, e até que ponto as diferentes legislações e sistemas jurídicos estão representados, diz Chinatu Uzuegbu, consultora para a cibersegurança da RoseTech CyberCrime Solutions, ao CSO.
A cooperação internacional também se faz através de tratados de cooperação e de organizações como a INTERPOL e a AFRIPOL, a ASEANAPOL, a EUROPO, a ONU, o Banco Mundial e a Organização Internacional de Normalização (ISO).
Legislação sobre a segurança das transferências globais de dados
A falta de um quadro global para as leis de segurança de dados e uma abordagem desatualizada das transferências transfronteiriças de dados está a dificultar a capacidade de reforçar as proteções, de acordo com Joe Jones, diretor de investigação e conhecimento da Associação Internacional de Profissionais da Privacidade.
“Os mecanismos regulamentares concebidos em meados da década de 1990, baseados em padrões em que as transferências de dados eram mais discretas e mais limitadas à transferência de dados do ponto A para o ponto B, proliferaram em todo o mundo”, afirma Jones. “Isto resultou num cenário regulamentar complexo e muitas vezes fragmentado para os profissionais e organizações da privacidade lidarem”.
Atualmente, mais de 70 países têm a capacidade regulamentar, através de um regulador da privacidade dos dados ou de uma autoridade governamental, de qualificar outros países como “adequados” para receber dados em segurança. O termo “adequado” significa que um país terceiro foi avaliado como tendo normas de privacidade de dados comparáveis às da nação avaliadora.
Explorar o complexo conjunto de regulamentos tornou-se rapidamente uma questão importante para a comunidade da privacidade. “O tempo gasto a resolver estas questões do ponto de vista da conformidade é muitas vezes tempo que não é gasto noutras questões, como os dados e a cibersegurança”, salienta Jones.
Mas está a acontecer e Jones diz que o acordo histórico da OCDE sobre um conjunto de princípios fundamentais para a forma como as autoridades governamentais acedem e utilizam os dados pessoais, para fins de segurança nacional e aplicação da lei, é apenas um exemplo dos esforços recentes para reforçar a cooperação global e um quadro unificado. “As entidades reguladoras têm vindo a insistir na necessidade de se adaptarem a um quadro mais multi-jurisdicional, tirando partido de princípios comuns entre as partes interessadas na privacidade que partilham as mesmas ideias e reforçando a atenção coletiva sobre os riscos associados a abordagens mais baseadas no mercado”, afirma.
Vantagens e limitações dos quadros internacionais
Idealmente, conseguir que as organizações adiram a tratados e convenções internacionais sobre cibercriminalidade levaria as questões, litígios, doutrinas jurídicas e outras ligações internacionais relacionadas com a cibercriminalidade a um alinhamento perfeito e atempado com as sanções, penas e castigos que acompanham a cibercriminalidade e a alavancá-los na legislatura global, revela Chinatu Uzuegbu.
Uma boa prática ao implementar esses quadros é utilizar a análise de lacunas para comparar as configurações de segurança com os quadros relevantes do sector e globais, para ajudar a identificar e abordar as áreas que necessitam de melhorias. “Abordar os quadros internacionais na política de segurança da organização é a melhor forma de conseguir a conformidade com o mínimo de estrangulamentos e repetições desnecessárias em mais do que um quadro”, afirma.
No entanto, não são uma solução completa e é necessária uma cooperação e colaboração internacional mais forte, fora de instrumentos como a Convenção de Budapeste, para contrariar o aumento de certas jurisdições que se estão a tornar portos seguros para os cibercriminosos. É importante que as organizações se debrucem sobre protocolos e quadros atualizados e que os países revejam as suas leis contra o cibercrime.
No entanto, a realidade é que certos países e jurisdições são suscetíveis de se tornarem paraísos seguros para os cibercriminosos e, quando aceites, instrumentos como a Convenção de Budapeste só podem ir até certo ponto. As leis só têm valor na medida em que são aplicadas.
“Em muitos países, o número de agentes da autoridade que estão concentrados e formados para lidar com o cibercrime não corresponde à dimensão do problema”, afirma Greg Day, vice-presidente e CISO da Cybereason. “Da mesma forma, praticamente todos os agentes da autoridade têm de receber alguma formação básica; caso contrário, o que acontece quando falam com alguém que lhes diz que sofreu um ataque de ransomware? Não saberão o que isso significa, para quem devem remeter e que medidas devem ser tomadas para proteger as provas, entretanto”, diz ele.
O que falta, agora que há um número suficientemente grande de membros, são potenciais sanções para aqueles que optarem por não participar. “Os governos impõem sanções por muitas razões geopolíticas importantes e, à medida que o mundo digital se torna uma parte tão importante da vida da maioria das pessoas, quando é que isso se tornará o instrumento de aplicação da lei contra aqueles que não participam?”.
Day considera que os quadros internacionais, como a Convenção de Budapeste, têm três desvantagens principais. Em primeiro lugar, a falta de provas. “Muitas empresas têm boas ferramentas de ciberdefesa, mas não são boas a recolher ou manter provas, quer sejam simples registos ou análises forenses mais avançadas”, afirma. “O crime geralmente exige provas do impacto e muitas empresas ainda não estão dispostas a partilhar o impacto das consequências na sua marca. A falta de impacto significa normalmente uma sentença menor e mais leve.” E quando os casos vão a julgamento, a cibercriminalidade é frequentemente técnica e se o júri não conseguir compreender o caso, é muito difícil tomar uma decisão justa. “á vi casos falharem simplesmente porque o júri não conseguiu compreender o alcance do que aconteceu”, acrescenta.
Os limites da recolha de dados e da partilha de informações nas investigações criminais
As leis internacionais não ajudam necessariamente quando se trata de processar criminosos, porque isso requer provas, ordens judiciais e outros sistemas para avançar. E não incluem uma obrigação legal de os países cooperarem plenamente num processo, incluindo algo como a Convenção de Budapeste, explica Alana Maurushat, professora de cibersegurança e comportamento na Western Sydney University.
A investigação de crimes cibernéticos é conduzida tanto por organizações privadas como por organizações de aplicação da lei. Uma entidade privada não pode utilizar a Convenção de Budapeste para preservar dados; apenas uma entidade designada, como a polícia, o pode fazer. “Mas as agências de aplicação da lei estão a reconhecer este facto e a cooperar melhor”, diz Maurushat.
A ação penal contra os cibercriminosos funciona num quadro diferente e exige tratados de assistência mútua. “Mas estas negociações podem demorar 10 anos e são feitas país a país”, destaca Maurushat. Ainda assim, a ação penal nem sequer é o objetivo final das organizações. Normalmente, o que está em causa é a recuperação de dados e de fundos.
E, nalgumas investigações, se um caso levar a uma determinada jurisdição, simplesmente não se pode. “Nunca se chega a lado nenhum porque a corrupção é tão grande nesses países que não se consegue cooperação. E isso acontece quer se trate de uma investigação entre governos ou de uma investigação privada”, diz ela.
E mesmo com leis contra o cibercrime, certas jurisdições podem funcionar como paraísos seguros para os cibercriminosos e plataformas de lançamento do cibercrime. Por exemplo, os sindicatos criminosos que se “especializam” em determinados tipos de ataques à cibersegurança a partir de alguns países com as condições adequadas.
O lançamento de ataques sofisticados de ransomware ou de outras atividades de cibercriminalidade contra alvos importantes exige um certo nível de infraestruturas, sofisticação técnica e um montante considerável de fundos. Construir algo deste género pode custar até 100 milhões de dólares, estima Maurushat.
A este nível, é a sofisticação da infraestrutura técnica do país, mais do que as leis contra o cibercrime, que determina se os países se tornam portos seguros para o lançamento de ciberataques.
Os quadros internacionais não podem resolver a questão da atribuição
Em geral, os criminosos aproveitam as condições adequadas para visar as vítimas e operam em Estados-nação onde as autoridades podem não estar dispostas a cooperar com as investigações de cibercrime. E os acordos internacionais, como a Convenção de Budapeste e outros, não conseguem resolver uma das partes mais difíceis da recuperação de um ataque informático: identificar o culpado.
Maurushat diz que descobrir quem é o responsável por um ataque à cibersegurança pode ser incrivelmente difícil. “É a atribuição”, diz ele. Mas aplica-se a velha máxima: seguir o dinheiro para encontrar os responsáveis. “Há algumas jurisdições de onde o dinheiro flui sempre. Isso nunca muda e nunca mudará. Se olharmos para os paraísos fiscais, é provável que haja bons fundos ilícitos a fluir através dessas regiões”, afirma.
“Os criminosos procuram sempre o alvo mais fácil ou mais maduro. Desde que não seja o mais fácil ou o mais maduro, provavelmente não há problema. Isso significa que é importante pensar na forma como gastamos o nosso orçamento e o nosso planeamento. O problema é que muitas vezes se fica sem dinheiro para as coisas que interessam em termos de formação e comportamento. Por isso, podemos ter todas as ferramentas do mundo, mas se não tivermos as pessoas capazes de aprender as ferramentas, é inútil.”
Day concorda e salienta que a atribuição é difícil por várias razões. “Demasiadas vezes, a vítima não recolheu e preservou as provas necessárias”, afirma. Além disso, os adversários criaram várias técnicas para ocultar as suas identidades, utilizando sistemas comprometidos publicamente como pontos intermédios, tendo pontos de comunicação (comando e controlo) que são periodicamente reconfigurados ou utilizando mulas digitais intermédias, só para citar algumas técnicas.
Também utilizam frequentemente comunicações seguras entre eles para dificultar a descoberta da fonte. “Com demasiada frequência, a atribuição ocorre quando os criminosos, como todos os seres humanos, cometem erros. Ou deixam marcas que não pretendiam deixar, gabam-se, ou cometem erros simples, como utilizar o mesmo pseudónimo num ambiente completamente diferente, mais público e aberto, como um fórum”, afirma.
O ciberdireito é mais do que os próprios estatutos. É a soma de tudo o que facilita um bom enquadramento da ciberpolítica. Isto inclui a legislação sobre cibersegurança e cibercrime, estratégias de desenvolvimento da força de trabalho, partilha de informação cibernética (threat intelligence), análise forense digital, equipas de resposta a emergências informáticas (CERT), ciberdiplomacia e acordos bilaterais, entre outras facetas. “Estas capacidades cibernéticas, juntamente com os avanços tecnológicos, tornaram-nos muito melhores na atribuição de incidentes cibernéticos”, afirma Niel Harper, que faz parte do grupo de trabalho sobre normas profissionais do Conselho de Segurança Cibernética do Reino Unido, é membro do conselho de administração da ISACA e do grupo de trabalho sobre riscos cibernéticos do Fórum Económico Mundial.
O manual do CISO: utilizar quadros para desenvolver políticas de cibersegurança
As organizações devem adotar e “viver” as estruturas de cibersegurança corretas. “As políticas de cibersegurança e os seguros de cibersegurança, por si só, não serão suficientes. A gestão executiva e os conselhos de administração devem tornar-se mais inteligentes para poderem fazer as perguntas certas sobre os riscos cibernéticos e os fatores económicos associados, a liderança empresarial deve promover a resiliência sistémica e a colaboração e garantir que a conceção organizacional e a atribuição de recursos apoiam a cibersegurança”, afirma Harper.
Para os CISO, tudo deve ser enquadrado em torno da gestão dos riscos cibernéticos e do alinhamento da estratégia empresarial, mas a colaboração externa é fundamental. As parcerias público-privadas, especialmente quando se trata de proteger infraestruturas nacionais críticas, são cruciais na luta contra o cibercrime, tal como os CERT sectoriais e intersectoriais e os mecanismos de partilha de informações. “A colaboração permite que as organizações se mantenham à frente das ameaças emergentes e sejam mais proactivas na sua ciber-resiliência”, afirma.
Day, da Cybereason, acredita que cada CISO deve ter três objetivos principais. “Certifique-se de que mantém atualizadas as suas capacidades de prevenção e higiene cibernética. A cibersegurança está a evoluir tão rapidamente como as ameaças que pretende mitigar”, afirma. “Tenha um plano de resiliência para quando for comprometido. Como pode conter o raio de explosão do ataque? Como pode garantir que a empresa continua a funcionar? Teste estes planos regularmente!” E melhore a sua capacidade de captar e analisar dados forenses. “A maioria é boa a ver o que o ataque fez, mas muitos não são tão bons a ver o que o adversário humano fez depois de ter conseguido penetrar na empresa”, conclui.
Computer world
