4 de dez de 2023
Cibersegurança para organizações sem fins lucrativos: é hora de eliminar as brechas
As organizações sem fins lucrativos agora enfrentam desafios de cibersegurança sem precedentes. Veja o que as pesquisas mais recentes nos dizem sobre o cenário de ameaças e o que as organizações sem fins lucrativos podem fazer para garantir o sucesso de suas missões.
Está se tornando cada vez mais difícil para as organizações sem fins lucrativos ignorarem as brechas tecnológicas. Os custos gerados por vulnerabilidades, inatividade e interrupções podem ser altos, tanto para a organização quanto para a missão que ela serve. Desde a confiança dos doadores até a capacidade de fornecer serviços essenciais, muitas coisas dependem da maturidade digital de uma organização sem fins lucrativos.
A cibersegurança continua sendo uma importante área para melhorias: nos Estados Unidos, quase metade das organizações sem fins lucrativos sofreu alguma violação de segurança nos últimos 12 meses. No entanto, embora 74% das organizações sem fins lucrativos vejam a transformação digital como uma necessidade de alto nível, apenas 12% fizeram mudanças para aumentar sua classificação no Índice de Maturidade Digital das ONGs (Non Profits Digital Maturity Index, no original).
Mas, como você verá, a maioria das organizações sem fins lucrativos ainda não investiu adequadamente em preparação e prevenção.
Por que as organizações sem fins lucrativos não podem se dar ao luxo de negligenciar a cibersegurança
O grande volume de ataques no setor sem fins lucrativos faz parte de uma evolução mais ampla do cenário de ameaças. Uma análise profunda de trilhões de sinais feita pela Microsoft descobriu que mais de 4000 ataques de autenticação de identidade foram bloqueados a cada segundo em 2023.
O mesmo relatório destaca o aumento significativo do hacktivismo e ataques por agentes estatais, ambos com tendência a visar o setor de ONGs/organizações sem fins lucrativos. De fato, dentre os setores da indústria visados por agentes estatais, as ONGs compõem 17%.
A persistência de ameaças comuns de cibersegurança para organizações sem fins lucrativos
Deixando de lado o hacktivismo e os ataques de nações, as organizações sem fins lucrativos enfrentam uma série de ameaças comuns, porém bastante graves. Talvez devido à prevalência de sistemas não atualizados e ao uso de fornecedores terceirizados, as organizações sem fins lucrativos permanecem vulneráveis à exposição de dados, violações e roubos.
Vamos examinar mais de perto quatro ameaças de cibersegurança comuns em organizações sem fins lucrativos:
Phishing
Esta é uma forma de golpe que faz pessoas desavisadas divulgarem informações sensíveis. Golpistas usam e-mails enganosos, sites e outras mensagens para enganar os destinatários a compartilhar senhas ou informações de conta. Um ataque de phishing bem-sucedido pode levar à perda de dados, interrupções operacionais e sérios danos à reputação.
Ataques de phishing prosperam explorando a psicologia humana e criando confusão. Os criminosos cibernéticos se aproveitam dessa confusão para obter acesso não autorizado a dados privados ou causar estragos no mundo digital.
Em 2021, o grupo Nobelium obteve acesso à conta da USAID no Constant Contact, uma empresa norte-americana dedicada ao marketing online. O grupo usou esse acesso para lançar um amplo ataque de phishing, tendo como alvos principais agências governamentais e organizações não governamentais.
Ransomware
Ransomware é uma ameaça que se infiltra sistemas de computadores, criptografa informações e mantém arquivos e dados como reféns, geralmente exigindo um pagamento de resgate em troca de uma chave de descriptografia. Dada a natureza dos ataques de ransomware, o custo pode ser significativo.
Um ataque ransomware pode paralisar empresas, interromper operações e expor informações sensíveis. Do ponto de vista financeiro, o custo médio de um ataque de ransomware foi de mais de USD 4,5 milhões em 2022. Em 2020, a Save the Children (uma organização sem fins lucrativos internacional) foi vítima do vazamento de segurança da Blackbaud, uma provedora de computação em nuvem que atua no setor de bem social, sofrendo um grande ataque de ransomware e violação de dados.
Spyware
Agentes maliciosos usam spyware para espionar, rastrear e relatar atividades online sem o conhecimento de seus alvos. O spyware muitas vezes se "infiltra" em downloads ou anexos aparentemente inofensivos, antes de monitorar secretamente os toques no teclado, hábitos de navegação e outras atividades. O resultado pode ser o comprometimento de informações sensíveis, fraude e até mesmo chantagem.
Recentemente, a ESET Research detalhou como um grupo de cibercriminosos conhecido como Evasive Panda usou spyware para atacar uma ONG internacional na China e depois espionar usuários de certos softwares chineses.
Ataques DDoS
Um ataque DDoS (Distributed Denial of Service) é projetado para sobrecarregar e incapacitar serviços online ou sites, inundando-os com uma avalanche de tráfego de uma rede de computadores comprometidos. Ataques DDoS podem ser maciços e sustentados, frequentemente utilizando uma legião de dispositivos sequestrados (conhecidos como botnet) para amplificar o assalto.
Para uma organização sem fins lucrativos com uma infraestrutura de cibersegurança fraca ou inadequada, um ataque DDoS pode interromper completamente as operações digitais. Em um exemplo recente e audacioso, hackers russos usaram um ataque DDoS contra o site da OTAN, prejudicando a capacidade da organização de fornecer ajuda após o terremoto na Síria e na Turquia.
O custo qualitativo da falta de segurança cibernética
A cibersegurança é uma questão que pode afetar todos os aspectos de uma organização sem fins lucrativos. Isso inclui a reputação. Será que os doadores vão querer se relacionar com organizações que não conseguem manter seus dados seguros? Se não podem confiar em uma organização para proteger informações sensíveis, por que deveriam confiar nela com uma doação ou parceria?
Falando em captação de recursos, as interrupções decorrentes de problemas de cibersegurança podem impactar diretamente a capacidade de uma organização realizar atividades de captação de recursos. Se o site ou o software de CRM cair devido a um ataque DDoS, por exemplo, os esforços de captação de recursos podem ser afetados.
Por um lado, os problemas técnicos resultantes podem inibir processos essenciais de captação de recursos (alcance, processamento de pagamentos, etc.). Por outro lado, os doadores podem ser reticentes quanto a financiar organizações que são propensas a ataques cibernéticos ou não conseguem proteger dados sensíveis. Claro, alcançar a maturidade digital e, por extensão, fortalecer a postura de cibersegurança, tem seus benefícios. Organizações sem fins lucrativos digitalmente maduras são:
- 1.9x mais propensas a ter experimentado melhorias em eficiência ou impacto na missão
- 3.5x mais propensas a ter funcionários motivados
- 1.7x mais propensas a relatar uma cultura de trabalho saudável
- 1.3x mais propensas a ter níveis mais baixos de burnout na equipe
Barreiras para a adoção de cibersegurança nas ONGs
Já mencionamos brevemente a falta de recursos, financiamento e capacidade que podem inibir muitas organizações sem fins lucrativos. Estes e outros fatores tendem a se colocar como obstáculos para uma infraestrutura de cibersegurança mais forte:
Falta de financiamento e de envolvimento da diretoria
Arrecadar fundos e alocar os recursos disponíveis é um trabalho diário para qualquer organização sem fins lucrativos. Para muitas — mesmo para as que entendem a importância — a cibersegurança nem sempre é uma prioridade. Dois terços das organizações sem fins lucrativos (66%) pesquisadas pela NetHope relataram sofrer com falta de recursos para programas de cibersegurança. E 34% não envolvem sua diretoria no assunto, ou só o fazem em resposta a uma necessidade crítica.
Tempo e recursos humanos limitados
Em organizações sem fins lucrativos que já estão sobrecarregadas, a cibersegurança muitas vezes fica em segundo plano. Sabemos, por exemplo, que avaliações de risco cibernético podem revelar áreas importantes para melhoria — melhorias essas que podem fazer uma grande diferença. Infelizmente, 43% das organizações sem fins lucrativos dizem que o investimento de tempo necessário impede a realização de tal avaliação. Outros 40% dizem que não têm pessoal sequer para realizar a avaliação necessária.
Falta de adesão às boas práticas de cibersegurança
Sem sequer a capacidade de realizar uma avaliação de risco, não é surpreendente que muitas organizações falhem em aderir até mesmo às práticas básicas de segurança. Uma análise dos engajamentos de resposta a ransomware da Microsoft constatou que "operações de segurança de baixa maturidade" estavam presentes em 62%, caracterizadas por "operações de segurança ineficazes e proteção de dados limitada".
No entanto, a mesma análise constatou que "mais de 80% dos incidentes de segurança podem ser rastreados até alguns elementos faltantes que poderiam ser tratados por meio de abordagens de segurança modernas", e que "a higiene básica de segurança ainda protege contra 98% dos ataques."
Melhores práticas de cibersegurança para ONGs
Apesar das falhas persistentes em cibersegurança, as organizações sem fins lucrativos podem fazer progressos significativos simplesmente seguindo algumas boas práticas. Em primeiro lugar, estabelecer práticas básicas de cibersegurança, como autenticação multifator, atualização de software e treinamento de conscientização. Em sua pesquisa anual sobre violações de segurança cibernética, o governo do Reino Unido destaca quatro aspectos críticos da chamada higiene cibernética:
- Estabelecimento de políticas de senha
- Uso de firewalls de rede
- Restrição dos direitos de administrador
- Políticas para aplicar atualizações de segurança de software
No entanto, as organizações sem fins lucrativos devem ir além das simples boas práticas, se esperam alcançar a maturidade digital. Isso inclui um orçamento estratégico para a cibersegurança com base no risco conhecido, cenário competitivo e necessidade em evolução. Confira o artigo Cibersegurança para Organizações Sem Fins Lucrativos do National Council for Nonprofits para uma lista expandida de ferramentas de avaliação, melhores práticas baseadas no GDPR e outros recursos importantes.
Este esforço deve coincidir com a implementação de um quadro de cibersegurança, como o NIST Cybersecurity Framework (National Institute of Standards and Technology) ou CIS Critical Security Controls (Center for Internet Security). Consulte também a lista de Vulnerabilidades Exploradas Conhecidas (KEV) da CISA, uma solução de registro gratuita e de código aberto. Veja o catálogo completo da KEV aqui.
Finalmente, considere implementar uma solução de detecção e resposta a ameaças a um preço especial para ONGs. Essas soluções são capazes de detectar ameaças automaticamente em todos os terminais, implementar políticas de segurança robustas e isolar dispositivos comprometidos. Em conjunto com o gerenciamento remoto, você poderá tratar atualizações e o gerenciamento de patches em um único lugar, além de ter facilitade para aplicar outras melhores práticas de cibersegurança para organizações sem fins lucrativos.
Quer saber como você pode proteger sua organização sem fins lucrativos com segurança de nível corporativo?
Converse hoje mesmo com um especialista TeamViewer e ganhe um desconto exclusivo.