A Ethiack, empresa de Coimbra especializada na prevenção da cibersegurança e protecção de activos digitais na internet, analisou os principais domínios web das 500 maiores empresas em Portugal.
O estudo mostra que, num total de 10.880 activos digitais expostos, a maioria das empresas tem até 10 domínios web principais, cerca de 30% têm entre 10 e 100 e uma minoria tem mais de 100 activos expostos e apenas 54% destes activos está alojado em serviços prestados por empresas em Portugal.
O estudo mostra, ainda, que mais de 20% dos servidores web associados às 500 maiores empresas expõem informações sobre a sua versão e software, a qual pode facilitar a exploração de vulnerabilidades associadas aos mesmos.
Na análise aos protocolos HTTPS, verificou-se que mais de 10% dos certificados SSL estavam inválidos, ou seja, desactualizados e, por isso, inseguros. Tal situação permitiria a um atacante interceptar tráfego estando ligado à mesma rede pública, por exemplo, que um utilizador autorizado, o que possibilitaria ataques como eavesdropping e man-in-the-middle – ou seja, um atacante poderia recolher informações e usá-las para pedir um resgaste ou até mesmo comprometer os seus sistemas.
Para André Baptista, fundador e CTO da Ethiack, «os resultados deste estudo aos ativos digitais expostos das 500 maiores empresas portuguesas mostram que apesar dos esforços realizados ao longo dos últimos anos para melhorar a postura de cibersegurança, ainda há muito espaço para melhoria. Na perspectiva da Ethiack, a recomendação vai no sentido de as empresas adoptarem mecanismos de mapeamento da infraestrutura digital exposta e de uma análise de vulnerabilidades contínua, como a forma mais viável do ponto de vista económico e da alocação de recursos para prevenir ciberataques.»
E acrescenta que «é possível concluir que existe um maior risco de exposição a ciberataques e que é prudente considerar a implementação de medidas preventivas, bem como de políticas e certificação de cibersegurança como, por exemplo a certificação ISO 27001 e uma Política de Divulgação de Vulnerabilidades (VDP).»
Por fim, menos de 1% das empresas mostrou ter uma política de divulgação de vulnerabilidades (VDP), uma vez que foi possível identificar ficheiros security.txt.
A norma security.txt costuma ser vista como uma boa prática, pois fornece aos hackers éticos instruções sobre como proceder caso encontrem uma vulnerabilidade.
André Baptista refere que «a falta deste ficheiro sugere pouca sensibilidade em relação à cibersegurança ofensiva, porque não estão a providenciar um canal direto para comunicar prontamente as vulnerabilidades, dificultando o trabalho dos hackers éticos.»
É importante salientar que, em média, as empresas desconhecem cerca de um terço dos activos digitais que têm expostos. André Baptista explica que «são, muitas vezes, activos digitais esquecidos pelas empresas ou adormecidos, porque o projecto para o qual foram criados já foi descontinuado, mas as máquinas continuam lá, ligadas à rede, e, portanto, desprotegidas e vulneráveis a ataques cibernéticos.»