O hack do serviço NSW poderia ter sido evitado com simples medidas de segurança
Especialistas em segurança cibernética afirmam que a autenticação multifator poderia ter protegido contra a maioria dos incidentes de phishing no governo de NSW no ano passado
Um ataque de phishing direcionado à equipe do Service NSW que levou ao roubo de mais de 500.000 documentos contendo informações pessoais relacionadas a 186.000 pessoas poderia ter sido evitado se medidas simples de segurança fossem seguidas.
Serviço NSW é o principal centro de atendimento ao cliente do governo de New South Wales , responsável por gerenciar carteiras de motoristas e registros de carros, armas de fogo e nascimento, entre outras coisas.
Em abril, o Service NSW relatou que havia sido sujeito a um ataque de phishing em que os invasores enviam e-mails que parecem ser legítimos, mas com links para sites que coletam informações de login e comprometem esses endereços de e-mail.
No total, 47 contas de funcionários foram acessadas e, após quatro meses de investigação, a Services NSW relatou na segunda-feira que após examinar os 3,8 milhões de documentos nas contas de e-mail desses funcionários, cerca de 500.000 documentos continham informações pessoais e 186.000 clientes serão notificados sobre o que dados podem ter sido obtidos.
O incidente aconteceu logo após o Service NSW começar a usar o Office365, o pacote de software de escritório e e-mail baseado em nuvem da Microsoft. A equipe ainda não havia ativado a autenticação multifator, o que exigiria que qualquer pessoa que obtivesse logins verificasse sua identidade de outra forma, além da senha.
O chefe da Cyber Security NSW, Tony Chapman, disse ao Guardian Australia que a autenticação multifator poderia ter evitado a maioria dos incidentes ocorridos em agências governamentais de NSW no ano passado.
“Minha equipe determinou no ano passado que 61% dos incidentes relatados ao Cyber Security NSW teriam sido evitados se a autenticação multifator estivesse em vigor”, disse ele. “Então, você pode imaginar que é um motivador fundamental para eu educar todo o setor.”
Chapman disse que também havia um problema com a equipe usando a mesma senha em suas contas de e-mail pessoal e de trabalho.
O que tornou a violação ainda pior foi o grande volume de documentos que a equipe estava compartilhando por e-mail, deixando muitas informações pessoais vulneráveis a ataques.
“O serviço [NSW] vinha usando e-mail para compartilhar dados dentro da agência [e] com outras agências, desde que foi estabelecido porque era eficiente para fazer isso, e às vezes era o único método que eu tinha disponível para compartilhar essas informações, ” ele disse.
“Não devemos subestimar o volume de dados em jogo aqui.”
O executivo-chefe do Service NSW, Damon Rees, disse que alguns dos dados incluem notas manuscritas, formulários, varreduras e registros de aplicativos de transação.
O serviço NSW também indicou que as informações de registro de armas de fogo poderiam ser incluídas nos dados roubados.
“Paralelamente à investigação forense do incidente cibernético, o Service NSW trabalhou com a Polícia de NSW e o Firearms Registry para proteger as informações dos clientes relacionadas a licenças ou autorizações de armas de fogo”, disse um porta-voz.
Chapman disse que não estava preparado para atribuir o ataque, mas disse que provavelmente se tratava de criminosos, e não de atores sofisticados, como um país estrangeiro.
“As características disso sugerem que seria monetizar essas informações.”
Ataques como esse ocorrem diariamente em todos os níveis de governo e é parte do motivo pelo qual a Cyber Security NSW foi estabelecida no ano passado para proteger onde possível e mitigar os danos o mais rápido possível quando os ataques ocorrem, disse Chapman.
“Não é uma questão de se, é uma questão de quando”, disse ele.
O governo de NSW anunciou em junho um investimento de US $ 240 milhões na capacidade de segurança cibernética do estado, em meio a relatórios de agências governamentais que lutam para cumprir os novos requisitos obrigatórios de resiliência cibernética.
Chapman disse que como parte desse financiamento, além da Services NSW procurando maneiras de parar de enviar tantos documentos por e-mail, as agências receberam financiamento para descentralizar o armazenamento de dados.
Como parte da função do Cyber Security NSW, a organização alerta funcionários de todo o governo sobre problemas, incluindo golpes de phishing e faz simulações de tais golpes, mas Chapman disse que não era um fã e preferiu trabalhar com os insights comportamentais do governo de NSW para encontrar um melhor maneira de mudar o comportamento.
“Eu pessoalmente tenho uma opinião em relação a enganar as pessoas nisso … a analogia que uso é que não ensinamos as pessoas a dirigir na hora de bater o carro”, disse ele.
Para clientes que tiveram suas informações roubadas, eles serão informados nos próximos três meses por meio de correio registrado sobre os dados que foram coletados, e a IDCARE fornecerá suporte às pessoas que precisam de conselhos sobre o que fazer.
