As empresas devem fazer mais para mitigar o impacto potencial dos ataques cibernéticos, disse o chefe do GCHQ, incluindo a criação de cópias físicas dos planos de contingência a serem usados se um ataque derrubar sistemas informáticos inteiros.
“Quais são os seus planos de contingência? Porque os ataques passarão”, disse Anne Keast-Butler, que lidera o GCHQ, a agência de inteligência cibernética e de sinais do governo britânico, desde 2023.
“O que acontece quando isso acontece com você em uma empresa, você realmente testou?” disse Keast-Butler, falando na quarta-feira em uma conferência em Londres organizada pela empresa de segurança cibernética Recorded Future. “Seus planos… você os tem no papel em algum lugar, caso todos os seus sistemas realmente falhem? Como vocês se comunicarão entre si se forem completamente dependentes de um sistema que você realmente desligou?”
Na semana passada, o Centro Nacional de Segurança Cibernética, que faz parte do GCHQ, anunciou números que mostram que os ataques cibernéticos “muito significativos” aumentaram 50% no ano passado. As agências de segurança e inteligência agora lidam com novos ataques várias vezes por semana, mostraram os números.
Keast-Butler disse que o governo e as empresas precisam trabalhar juntos para enfrentar ataques futuros e melhorar os sistemas defensivos, à medida que a tecnologia moderna e a inteligência artificial tornam as ameaças mais difusas e reduzem o “nível de entrada” que os atores mal-intencionados precisam para causar danos. Ela disse que trabalhar com ISPs para bloquear sites maliciosos na fonte “bloqueou milhões de acessos potenciais”, mas disse que as grandes empresas precisam fazer muito mais para se protegerem.
Na terça-feira, um relatório do Centro de Monitoramento Cibernético (CMC) disse que o hack do Jaguar Land Rover custou à economia do Reino Unido cerca de £ 1,9 bilhão, o que poderia torná-lo o ataque cibernético mais caro da história britânica.
A JLR teve de encerrar sistemas em todas as suas fábricas e escritórios após o ataque de agosto e poderá não conseguir regressar à capacidade normal de produção até janeiro.
Keast-Butler disse que “(há) muito, muito, muito mais ataques que estão sendo interrompidos do que aqueles em que nos concentramos”, mas acrescentou que o aumento da publicidade em torno da JLR e de vários outros ataques cibernéticos importantes proporcionou uma boa oportunidade para aprender sobre a importância dos protocolos de segurança cibernética.
Ela disse que conversa regularmente com CEOs de grandes empresas e uma de suas mensagens para eles é que eles precisam colocar pessoas que entendam de segurança cibernética em seus conselhos. “Muitas vezes, da forma como os conselhos são criados, eles não têm pessoas que saibam as perguntas certas a fazer. Portanto, o interesse existe, mas as perguntas certas não estão sendo feitas”, disse ela.
No início deste ano, o Grupo Co-op sofreu um ataque cibernético que lhe custou até 120 milhões de libras em lucros cessantes e comprometeu os dados pessoais de alguns dos seus membros. Shirine Khoury-Haq, CEO do Grupo, foi lançado uma carta aberta na sequência descrevendo a importância dos exercícios de segurança cibernética na construção de estratégias sobre como lidar com um ataque.
“A intensidade, a urgência e a imprevisibilidade de um ataque ao vivo são diferentes de tudo que você pode ensaiar. Dito isto, esses exercícios são inestimáveis; eles constroem memória muscular, aguçam instintos e revelam vulnerabilidades em seus sistemas”, escreveu Khoury-Haq.
Keast-Butler incentivou as empresas a compartilhar informações sobre ataques com agências governamentais e disse que foram criados “espaços seguros” para permitir que façam isso sem o risco de fornecer informações comercialmente sensíveis aos concorrentes.
“Acho que às vezes as pessoas são um pouco reticentes em se manifestar porque há algo pessoal sobre elas ou sobre a empresa como um todo. E isso não ajuda nenhum de nós, porque então elas não estão fazendo o tipo de mudanças estratégicas de longo prazo no sistema que podemos ajudar”, disse ela.
