Usamos a nuvem, então não precisamos nos preocupar com riscos cibernéticos?
Essa pergunta é surpreendentemente comum entre as organizações que utilizam soluções baseadas em nuvem Uma das razões pelas quais muitas organizações decidem usar provedores de nuvem é reduzir a probabilidade de danos e interrupções de um ataque cibernético, mas o uso de serviços em nuvem realmente elimina completamente os riscos cibernéticos?
O QUE É “A NUVEM”?
“A nuvem” é uma referência genérica ao uso de um fornecedor externo que fornece sistemas/recursos de computação, armazenamento de dados ou ambos.
Uma organização que usa serviços de computação em nuvem muitas vezes executa seu software e armazenam seus dados em servidores em um data center que é mantido por um provedor de nuvem.
Esses servidores são acessados via internet. Se a organização está usando um provedor de nuvem apenas para armazenar dados, o software usado para acessar esses dados será localizado nos servidores da organização.
As soluções baseadas em nuvem oferecem muitos benefícios, incluindo redução de custos, escalabilidade, acessibilidade e segurança. Esses são alguns dos motivos que as organizações estão adotando a tecnologia em nuvem. Mas nenhuma tecnologia é isenta de riscos.
QUEM É RESPONSÁVEL PELA PROTEÇÃO DE DADOS?
Um equívoco comum é que usar um sistema baseado em solução de nuvem isenta uma organização de responsabilidade em caso de violação ou uso indevido de seus dados armazenados.
O grande número de regulamentações relacionadas à privacidade, proteção e propriedade legal dos dados exige que as organizações compreendam e protejam totalmente os dados, mesmo ao usar soluções baseadas em nuvem. Muitas leis por exemplo, a “GDPR” Europeia, a Lei de Privacidade e de Direitos do Consumidor da California, a Lei Geral de Proteção de Dados (LGPD) brasileira têm parâmetros relativos à propriedade de dados, armazenamento e compartilhamento. Uma organização não é isenta das obrigações de proteção de seus dados e conformidade simplesmente porque implementou soluções baseadas em nuvem.
Além disso, acordos de serviço com provedores de nuvem muitas vezes deixam claro que uma organização contratante permanece legalmente responsável pela proteção de seus dados. Salvo disposição expressa em contrário nos contratos, organizações que usam serviços em nuvem devem implementar estratégias que respondem por sua responsabilidade legal de proteger dados confidenciais e quaisquer notificações necessárias para partes afetadas em caso de violação.
VIOLAÇÕES DE DADOS
Armazenar informações protegidas na nuvem pode conferir um bom nível de proteção em comparação com o de uma organização com suas próprias defesas. De um modo geral, será mais difícil para que os agentes de ameaças acessem as informações armazenadas no cloud devido às inúmeras e robustas proteções diligentemente monitoradas e mantidas por provedores de nuvem.
Embora essas salvaguardas reduzam o risco, elas não eliminam o completamente. Violações de informações armazenadas na nuvem acontecem. Quarenta por cento das empresas relataram ter sofrido violações em seus ambientes de nuvem, de acordo com um estudo recente (https://cpl. thalesgroup.com/cloud security research).
Uma violação de nuvem pode acontecer por vários motivos, decorrentes de possíveis erros do lado do cliente ou o lado do provedor de nuvem. Por exemplo, um cliente de nuvem pode não configurar corretamente o serviço de nuvem, pode não criptografar dados adequadamente ou pode não exigir autenticação multifatorial, permitindo assim que dados protegidos sejam expostos. Da mesma forma, negligência por parte de provedor de nuvem pode levar a uma violação.
Usar um provedor de nuvem não protegerá uma organização das consequências financeiras de uma violação de dados.
Independentemente de onde os dados são armazenados, se uma organização tem a obrigação legal de proteger os dados o que ocorre em quase todos os casos será responsável pelas consequências de uma violação. Isso muitas vezes é verdade, mesmo quando as ações de outra parte levaram à violação.
A organização será responsável por notificar as partes afetadas e órgãos reguladores conforme exigido pelas leis aplicáveis. Essas leis são provavelmente as dos locais onde residem as partes afetadas; e como as partes afetadas podem viver em várias jurisdições, as leis muitas vezes diferem.
Notificação às partes afetadas, órgãos reguladores e entendimento das leis aplicáveis normalmente requer a utilização de consultores legais. Uma organização também pode precisar usar os serviços de uma empresa de notificação ou call center e/ou a assessoria de uma empresa de gerenciamento de crise com experiência em gerenciar os danos à reputação e à marca que podem resultar de uma violação.
Além disso, uma organização pode enfrentar um problema regulatório, investigação e/ou litígio das partes afetadas.
Por causa do efeito potencialmente danoso que as violações podem ter em seus negócios, muitas organizações podem se mostrar extremamente hesitantes em deixar outra parte como o provedor de nuvem assumir o controle da resposta a incidentes.
A menos que claramente estipulado por acordo escrito, é improvável que um provedor de nuvem reembolse um cliente por custos relacionados à violação, a menos que a violação tenha sido causada pelo próprio provedor. Mesmo nessas circunstâncias, o contrato de serviços de nuvem pode incluir uma limitação de responsabilidade e o valor que o provedor de nuvem é obrigado a pagar.
ATAQUES DE RANSOMWARE
Seria um erro para uma organização acreditar que o uso de serviços em nuvem a isola de ataques de ransomware. Embora um bom provedor de nuvem tenha defesas de última geração contra ataques externos, essas defesas podem não ser suficientes quando os ativos de nuvem estão acessíveis por meio de uma conta de usuário que foi comprometida. Por exemplo, um agente de ameaças pode obter acesso aos backups de uma organização armazenados na nuvem por meio de credenciais comprometidas, que podem ser usadas para excluir ou torná-lo inacessível.
A perda de interrupção de negócios pode ser o prejuízo financeiro mais significativo causado por um evento de ransomware. Um ataque de ransomware focado em um cliente de serviços em nuvem pode impedir o cliente de realizar negócios até que o ataque seja resolvido. Mesmo que os recursos na nuvem não sejam afetados, os sistemas locais de uma organização podem ser comprometidos, o que pode impedir o acesso a informações e serviços de computação na nuvem.
Enquanto um ataque de ransomware está em andamento, uma organização continuará a incorrer em custos fixos, como aluguel e remuneração de funcionários. A organização também pode não conseguir obter os lucros que teria obtido se o evento não tivesse ocorrido. Dependendo da duração do evento, essas perdas podem ser devastadoras.
CIBERCRIME
O cibercrime tem nomes diferentes engenharia social, fraude de manipulação de faturas e fraude de transferência eletrônica, entre outros. O crime é a perda de fundos por uma organização, um de seus clientes ou um de seus fornecedores através do uso de e-mails fraudulentos, instruções de transferência eletrônica e/ou outros meios. A fraude subjacente ao crime cibernético é direcionada à organização e/ou seus clientes ou fornecedores, não seu provedor de nuvem terceirizado.
Se um cibercriminoso pretende cometer um cri-me invadindo primeiro o sistema de computador de uma organização e se esse sistema estiver na nuvem, as proteções implementadas por um provedor de nuvem podem impedir o acesso e o crime. No entanto, se o criminoso obtiver acesso ao próprio sistema de computador da organização comprometendo as credenciais de um usuário autorizado ou induzindo um usuário a realizar ações que resultem em perda, as defesas de um provedor de nuvem não terão influência sobre o sucesso do crime.
CONCLUSÃO
O uso de serviços em nuvem costuma ser uma maneira muito inteligente de uma organização dimensionar sua infraestrutura de TI, garantir sua resiliência e se proteger contra-ataques cibernéticos. No entanto, usar um provedor de nuvem não é uma solução única para todos os riscos cibernéticos que as organizações enfrentam. É essencial que as organizações se mantenham informadas sobre seus riscos cibernéticos em evolução e as perdas que podem surgir se ocorrer um evento cibernético. As organizações devem monitorar e melhorar sua postura de risco.
E parte do programa de gerenciamento de risco cibernético de qualquer organização para soluções baseadas em nuvem deve incluir a implementação de mecanismos de transferência de risco, como o seguro cibernético, uma excelente medida de mitigação.
Para mais informações entre em contato:
mauricio.bandeira@lockton.com
