Como pesquisador de segurança, não tenho muitas oportunidades de usar nomes de Hollywood como Disney ou Johnny Depp. No entanto, os leitores mais atenciosos do WeLiveSecurity devem ter notado a colisão do cibercrime com Hollywood em um dos incidentes do mês passado: o roubo de um filme da Disney que não tinha sido lançado.
Não comentei sobre o caso na época, pois o WannaCryptor ainda estava tento toda a atenção e os títulos, mas eu gostaria de dar algumas sugestões que podem ajudar a prevenir futuros roubos de propriedade intelectual de alto valor.
Claramente, os filmes e programas de TV de milhões de dólares, como a Orange is the New Black, são agora um alvo dos atacantes digitais, os hackers black hat, em outras palavras, os cibercriminosos.
Acabamos de tomar conhecimento de outro exemplo: um jovem de 21 anos foi preso pelo FBI, acusado de violar o direito à propriedade intelectual por ter publicado o filme “Deadpol” em sua página no Facebook uma semana depois de sua estreia oficial, em fevereiro de 2016.
Minha teoria é que esses saqueadores de propriedade intelectual estão tentando encontrar o melhor modelo de negócio para monetizar sua capacidade de obter cópias de pré-lançamento de grandes produções.
Portanto, todos os estúdios e empresas produtoras de programas e filmes precisam pensar sobre o que podem fazer para proteger os seus ativos digitais, não apenas em seus escritórios, mas em todos os outros lugares pelos quais esses ativos percorrem durante o processo de produção.
Estrutura e processo
Uma boa estratégia de segurança é atender o problema através de processos, pessoas e tecnologia.
Na frente do processo, todas as empresas envolvidas na produção da propriedade intelectual devem, nesse ponto, aderir a uma estrutura comprovada que compreenda totalmente os riscos da cadeia de suprimentos. Isso inclui garantir que a propriedade intelectual digital esteja protegida em todos os momentos, mesmo durante a pós-produção (ou talvez devamos dizer especialmente durante a pós-produção, considerando os recentes incidentes).
Felizmente, existe uma estrutura de referência pronta que as empresas podem usar, sem nenhum custo, graças ao governo federal dos Estados Unidos, que tem feito um excelente trabalho nesta área, chamado NIST Cybersecurity Framework. A versão atual é uma ótima maneira de lidar com a cibersegurança da sua organização, e a próxima versão, atualmente em rascunho, aprofunda ainda mais a necessidade de manter a segurança em toda a cadeia de suprimentos.
Por esse motivo, vale a pena citar o rascunho:
"A prática de comunicar e verificar os requisitos de cibersegurança entre as partes interessadas é um aspecto da gestão de riscos da cadeia de abastecimento cibernético (cyber supply chain risk management ou SCRM). Um dos principais objetivos da mesma é identificar, avaliar e mitigar produtos e serviços que possam conter funcionalidades potencialmente maliciosas, sejam falsificações, ou vulneráveis a raiz de práticas de manufatura e desenvolvimento pobres dentro da cadeia de fornecimento cibernético".
Então, o que o SCRM significa? Voltemos à estrutura:
- Determinar os requisitos de cibersegurança para fornecedores e sócios de tecnologia da informação (TI) e tecnologia operacional (TO).
- Divulgar os requisitos de cibersegurança através de acordos formais (por exemplo, contratos).
- Comunicar aos fornecedores e sócios como esses requisitos de cibersegurança serão verificados e validados.
- Verificar se os requisitos de cibersegurança são cumpridos através de uma variedade de metodologias de avaliação.
- Administrar e gerenciar as atividades mencionadas.
Para resumir: você precisa verificar se possui compromissos obrigatórios vinculativos de todas as entidades que fazem parte do seu projeto de propriedade intelectual digital, atestando que tenham um conjunto completo de defesas de cibersegurança implementado. Além disso, todas as partes precisam estar cientes de que você reserva o direito de auditar esses compromissos.
Alguns exemplos concretos podem ajudar, então considere esses itens com uma forma padrão de avaliação, usada para analisar um potencial vendedor ou fornecedor, como uma empresa de pós-produção, quando solicita acesso aos seus sistemas para trabalhar com o seu conteúdo:
- Possui um programa de segurança da informação apropriado e atualizado, com políticas, padrões e procedimentos documentados?
- Utiliza esse terceiro mecanismos de segurança física para garantir que apenas as partes autorizadas tenham acesso às áreas sensíveis que contenham ativos de informação?
- Os colaboradores dos fornecedores estão capacitados sobre quais informações podem ou não serem transmitidas via email?
- O fornecedor possui políticas que definem controle e administração do acesso?
- A capacidade do provedor de atribuir autorizações que permitem aos administradores agrupar os usuários em funções e definir permissões específicas para cada função com base em privilégios mínimos?
- Quem é responsável por conceder acesso aos recursos do sistema de TI?
- Os trabalhadores terceirizados podem compartilhar credenciais de login?
- Com que frequência os privilégios de acesso ao usuário são revisados quanto à adequação?
Se você não tem as respostas para essas perguntas (e outras parecidas) envolvendo cada um dos seus fornecedores, certamente, não está cumprindo o padrão razoável de proteção de sua propriedade intelectual.
Em outras palavras, se algo de sua propriedade intelectual desaparecer, provavelmente, você enfrentará críticas por não cumprir com os requisitos mínimos de segurança.
As pessoas e a tecnologia
Não vou entrar muito em detalhes sobre o aspecto “pessoas” e “tecnologia”, da tríade processo/pessoas/tecnologia neste post. Basta dizer que quando nos referimos sobre “pessoas” implica garantir que os funcionários devem ser dignos de confiança e precisam estar capacitados sobre cibersegurança.
Particularmente, é importante ensiná-los como reconhecer ataques de Engenharia Social, como aqueles que chegam por meio de emails maliciosos ou que se passam por uma empresa de serviços públicos.
Felizmente, existem algumas excelentes ferramentas gratuitas que podem ser usadas para começar um plano de educação sobre cibersegurança. Por exemplo, as empresas podem usar o nosso guia do empregado seguro, que é uma grande opção para compreender os riscos e sobre como estar protegido, para que todos saibam o seu papel na proteção da informação corporativa.
Também é interessante incluir uma dose saudável de criptografia (criptografar tudo de valor, independentemente se está em trânsito ou não), e o duplo fator de autenticação, para garantir que todos os acessos aos sistemas que processam a propriedade intelectual valiosa estejam identificados, registrados e monitorados.
O acesso aos ativos digitais deve ser revogado prontamente quando os empregados pedem demissão ou são demitidos, ou quando concluem o tempo de contrato.
Certifique-se de que haja proteção contra códigos maliciosos em todos os servidores, assim como nos locais de trabalho, laptops e dispositivos móveis. Os servidores são muitas vezes negligenciados e podem ser acessados remotamente. De fato, atualmente existe um mercado negro que está crescendo, onde são oferecidas credenciais que podem ser compradas ou alugadas para obter o acesso remoto a um servidor.
Também é importante garantir que, mesmo com a desativação da proteção anti-malware, seja emitida uma alerta, considerando que essa é a primeira ação que os atacantes realizam.
A última linha de defesa contra o roubo e a extorsão é contar com cópias digitais de todos os ativos, que devem estar bem guardadas em locais separados. Um regime de backup robusto revisado de forma periódica é fundamental. E esse regime precisa abranger todos os ativos. Com bastante frequência, ouvimos as empresas dizerem: "nós tínhamos um programa de backup implementado, mas havia um conjunto de arquivos que não estava incluído." Adivinha quem está exigindo o pagamento de um resgate agora?
Quando os possíveis cenários se tornam realidade
Uma das maiores falhas das empresas (de todos os tamanhos) é a falta de preparação para quando ocorre um incidente de segurança. Mesmo quando possuem as tecnologias defensivas adequadas e os processos documentados e todos os seus empregados estão capacitados, pode ser produzida uma brecha de segurança.
Quando isso acontece, você precisa ativar seu plano de resposta a incidentes. Os profissionais previamente designados precisam contatar a área jurídica e as autoridades (contatos que também devem ser previamente definidos).
Se você ainda não definiu tudo isso, faça agora mesmo, antes que ocorra um cibercrime para relatar. Conheça as autoridades locais, os órgãos governamentais responsáveis pela investigação de cibercrimes e os especialistas em segurança que possam te ajudar.
Algumas empresas não informam o crime informático porque achar que “provavelmente as autoridades não farão nada”. Na minha opinião, isso é um erro. Sua denúncia pode ser o elo perdido em uma série de crimes já investigados (e que você não conhece). Além disso, a lei não pode fazer nada contra o cibercrime se as pessoas não denunciam os casos.
As agências de aplicação da lei atualmente são sensíveis à confidencialidade dos dados e às preocupações comerciais, e trabalham juntamente com as empresas para que não interrompam o seu funcionamento.
O que você não deve fazer é pagar para recuperar a propriedade intelectual roubada. Pagar um resgate apenas encoraja os criminosos a tentarem novamente. Se alguém clonou um ativo digital e quer dinheiro para que não se torne público, seja firme. Se as informações forem publicadas, isso dará às autoridades mais pistas para identificar os atacantes. Se você foi afetado por um ransomware, que criptografou todos os seus arquivos e exigiu um resgate, tenha em conta que o pagamento não é garantia de que sejam devolvidos.
Claramente, a indústria do entretenimento não está isenta das atenções dos cibercriminosos, que estão explorando formas de aproveitar sua crescente dependência cibernética. O momento de verificar as suas defesas é agora, não depois.