Ao contrário de outros ataques a hospitais (Rouen em 2019, Corbeil-Essonnes e Versalhes em 2022), o acontecimento não foi notícia. E por um bom motivo: foi uma simulação, orquestrada pelo próprio CISO. Denominada “Operação Papiro”, seu objetivo era avaliar a necessidade de documentação em papel no hospital e se a disponível em caso de falha do computador continuava adequada. Por exemplo, um recém-nascido necessita da impressão de 28 etiquetas por dia. Um paciente que chega ao hospital recebe um identificador em uma pulseira.
Quatro pacientes virtuais foram escolhidos entre a equipe do hospital e as patologias atribuídas. Eles foram então acompanhados e “tratados” de forma degradada. “Cada etapa do percurso assistencial corresponde a fichas de procedimentos, continua Hervé Pellarin. Tivemos que verificar se os que tínhamos permitia que você passasse de uma etapa para a próxima, se todas as informações estivessem lá ou se faltassem algumas. Além disso, faltava isso; O objetivo deste tipo de exercício é testar um esquema operacional. “
Tudo isso para poder se adaptar a uma verdadeira crise cibernética quando ela chegar. Neste caso, o hospital está construindo uma rede privada de backup 5G. Todas as tomadas inativas nas instalações foram identificadas e conectadas entre si para formar uma rede isolada, com um servidor armazenando uma cópia dos registros dos pacientes.
Leia tambémCinco perguntas para se proteger de ataques cibernéticos
Uma directiva europeia impõe exercícios preventivos
Esta é uma das abordagens da segurança cibernética: colocar-se voluntariamente em dificuldades para estudar falhas, tanto de TI quanto organizacionais. E claro, conserte. Num mundo onde a tecnologia digital e a conectividade estão por toda parte, todos são afetados. “A maior parte os ataques informáticos não são direcionados de forma alguma, alerta Lucas Philippe, embaixador tecnológico da plataforma colaborativa de cibersegurança YesWeHack. Simplesmente, as pessoas descobriram uma vulnerabilidade específica, estão testando-a e, se o seu negócio estiver vulnerável, você será afetado. “
A diretiva europeia NIS 2 (Segurança de Redes e Informação), transposta em 2024, exige tais exercícios preventivos. “Podemos dizer 100 vezes “No caso de um ataque cibernético, você desliga o computador, liga para Fulano de Tal no Centro de Operações de Segurança, Fulano de Tal para comunicações”, contanto que as pessoas não tenham experimentado isso, não será um reflexo “, garante Stéphanie Ledoux, CEO e fundadora da empresa Alcyconie, especialista em gestão de crises cibernéticas.
Para as suas intervenções nas empresas, os seus especialistas criam cenários de exercício, falsas situações de crise baseadas no estado real do sistema de informação da empresa, no software utilizado, nos sistemas de segurança, nos problemas que existiram no passado… Por um dia – ou mesmo cinco, como recentemente no Ministério das Forças Armadas -, os quadros são colocados num contexto fictício mas realista de trabalho degradado e de intensa pressão onde devem tomar decisões: gestores, equipa de TI, mas também comunicadores, advogados, financeiro. Cada um desempenha seu próprio papel.
Sem falar que a situação está evoluindo. “Acrescentamos eventos: uma chamada da imprensa ou de um cliente, a DGSI (direcção geral de segurança interna) ou o Cnil (Comissão Nacional de Tecnologia da Informação e Liberdades) peça à empresa para ver se ela está em conformidade com os regulamentos… “Estes intervenientes externos são muitas vezes representados pela equipa da Alcyconie, mas durante um exercício com uma empresa agroalimentar este ano, verdadeiros agentes da polícia intervieram para aceitar a apresentação de uma reclamação! Uma ferramenta informática especial duplica a da empresa (e-mails, redes sociais, feeds de notícias).
Leia tambémNúmero de segurança social mútuo: 33 milhões de franceses afetados por um ataque cibernético a pagamentos de terceiros
Falhas humanas exploradas pelo ciberataque
Ao final da operação, as falhas são registradas. Como o gerente em pânico que deu instruções incompreensíveis, ou aquele, muito estressado, que desligou na cara do interlocutor. Porque um ataque informático tem uma dimensão humana, com o que implica em termos de ignorância, até mesmo de negação. Uma dimensão explorada por ciberataques, o que chamamos de engenharia social.
Alguns especialistas em segurança cibernética o utilizam durante exercícios de segurança. equipe vermelha (ataque fictício). Esta noção emprestada do mundo militar faz com que os especialistas desempenhem um papel malicioso… mas dentro de um quadro previamente definido com a empresa-alvo e sem violar a lei. “Ela não vai nos contar “Quero que você ataque este servidor através deste local” mas sim “Acho que sou forte, tenta subir aqui na rede e me mostrar como”. Mas não fazemos nada! “, insiste Nicolas Blasco, diretor time vermelho na Devensys, que apresentou seu trabalho na feira CyberShow em maio passado.
Este tipo de exercício pode durar meses, deixando um tempo entre cada etapa para evitar times vermelhos para ser avistado. E pode envolver intrusão física nas instalações, para conectar uma chave 4G controlada remotamente, conectar-se à rede interna através de uma impressora, ou até mesmo traga um computador! Neste sentido, fotos e vídeos publicados online pelos colaboradores nos seus locais de trabalho revelam a organização dos escritórios, dos equipamentos informáticos, etc. “Algumas pessoas que se demitem da empresa colocam o crachá de acesso em uma mesa ao lado de uma xícara de café, tiram uma foto e publicam tudo no Linkedin: é ideal para fazer uma falsificação “, alerta Nicolas Blasco.
De resto, o arsenal é vasto: listas de senhas vazadas, busca de dispositivos conectados defeituosos pelo site Shodan, campanha de phishing para recuperar identificadores, malware (com a concordância do alvo)… A questão é o relatório final da operação. “Devemos levar tudo isto ao conhecimento das equipas técnicas e de gestão, para que possam partilhar e aprender com os seus erros. “Mas não há inevitabilidade: penetrar num sistema é trabalhoso, os ciberataques podem ser apanhados em flagrante.
A caça aos insetos começou
Fundada em 2015, a plataforma YesWeHack administra uma rede de 80.000 hackers éticos independentes, prontos para atacar a TI de uma empresa para impedir sua segurança… mas com o acordo deste último. “Definimos com ele a lista de serviços que os hackers têm o direito de testar, explica Lucas Philippe, também conhecido como “Bitk”, embaixador de tecnologia da YesWeHack. Por exemplo, a Orange nos dirá para olhar todos os sites em Orange.fr, mas não aqueles em Orange.com. E no Orange.fr, você não deve visitar um determinado espaço de bate-papo, que é alugado para um cliente.”
Essas caçadas a insetos acontecem ao longo de um ano, legalmente limitadas. Depois de descobrir uma vulnerabilidade, alguns clientes permitem que hackers tentem penetrar ainda mais em sua rede para ver. Outros não. Também não há questão de extrair dados. A melhor prática é que o hacker crie duas contas armazenando dados que pertencem a ele e mostre que ele pode roubar uma por meio da outra. Cada descoberta é documentada e verificada, gerando remuneração para o hacker. Cabe ao cliente corrigi-lo, nem que seja para evitar que outros hackers relatem o mesmo bug, impedindo-os de serem pagos.
Louis Vuitton, Doctolib e Swiss Post (responsável pelo sistema de votação eletrônica do país) já utilizaram o YesWeHack. Mas o processo pode ser assustador: “É complicado dizer às empresas: ‘Vamos enviar-lhe 200 hackers, você só saberá seus pseudônimos, eles vão assumir o controle do seu sistema de computador e você terá que pagá-los’! “É também por isso que a plataforma adapta a “carga” ao cliente. “Se testarmos 400 senhas por segundo no Facebook, eles não verão nada acontecendo, mas em uma PME, os servidores sofreriam. “