Hoje marca o início da Semana de Sensibilização para a Fraude Caritativa, uma semana especificamente criada para fornecer às instituições de caridade conselhos valiosos sobre como se podem proteger da ameaça de fraude e cibercriminalidade.
Com um rendimento anual total de mais de 69 mil milhões, as instituições de caridade são extremamente vulneráveis a ataques e estão a revelar-se um alvo lucrativo para os cibercriminosos. Têm acesso a dados sensíveis, recebem enormes quantias em donativos, e terão tipicamente um nível de segurança cibernética mais baixo do que as organizações maiores.
Se os hackers conseguirem ter acesso a estes dados sensíveis, os resultados podem ser devastadores. Apenas uma violação de dados pode prejudicar a reputação de uma instituição de caridade e desencorajar as pessoas de doarem dinheiro. Pode também ter ramificações mais graves se forem divulgados dados confidenciais de doentes.
Os cibercriminosos não se preocupam com as boas causas que as instituições de caridade apoiam, simplesmente vêem-nos como alvos suaves com muitos pontos fracos atraentes a explorar.
De acordo com o Cyber Security Breaches Survey 2020, mais de um quarto das instituições de caridade (26%) sofreu um ataque cibernético nos últimos 12 meses. O método de ataque mais comum foi o phishing (85%), seguido de imitação (39%) e depois de vírus ou outro malware (22%).
A Ransomware foi responsável por apenas 10% destas violações; no entanto, continua a provar ser um vector de ataque bem sucedido, como evidenciado pelo recente ataque à empresa de computação em nuvem Blackbaud.
Blackbaud é um dos maiores fornecedores de software de angariação de fundos, gestão financeira e gestão de apoiantes para o sector caritativo do Reino Unido. Em Maio de 2020, a empresa foi atingida por um sofisticado ataque de resgate que afectou mais de 30 instituições de caridade do Reino Unido.
A empresa disse que nenhum cartão de crédito ou dados de pagamento foi comprometido no ataque, mas optou por pagar o resgate para garantir que os dados não fossem disponibilizados publicamente ou partilhados noutro local.
Devido à vasta quantidade de informação pessoal e financeira que as instituições de caridade retêm, devem procurar formas de reforçar os seus sistemas para evitar que criminosos oportunistas lancem ataques.
Como podem as instituições de caridade proteger-se?
Para proteger os seus dados, bens e reputação, as instituições de caridade terão de identificar as áreas-chave que poderiam ser exploradas pelos cibercriminosos e implementar uma abordagem em camadas para defender a sua organização de ataques.
As medidas preventivas incluem:
- Sensibilização e educação do pessoal
É fácil assumir que a maioria de todos os ataques cibernéticos são resultado de hackers que violam sistemas de segurança, mas na maioria das vezes são um resultado directo de um empregado clicar num link malicioso. Educar o pessoal sobre a evolução das ameaças cibernéticas é uma das medidas preventivas mais importantes que uma instituição de caridade pode tomar.
- Cópia de segurança regular dos dados
As instituições de caridade têm acesso a dados valiosos, pelo que é vital que façam backups regulares de ficheiros importantes utilizando um disco rígido externo ou um fornecedor de armazenamento online. Isto assegurará que no caso de um ataque cibernético, as instituições de beneficência possam reter os seus dados críticos.
- Restringir o acesso a dados sensíveis
A fim de assegurar dados críticos, as instituições de caridade devem dispor de uma estrutura por níveis que diferencie entre dados sensíveis e não sensíveis. Isto restringirá o acesso a dados sensíveis e garantirá que apenas os funcionários com o mais alto nível de autorização possam aceder a esta valiosa informação.
- Software anti-vírus
As instituições de caridade operam com orçamentos apertados, mas é importante que invistam no mais recente software anti-vírus para detectar quaisquer ameaças e bloquear o acesso de utilizadores não autorizados. O software deve ser actualizado regularmente para impedir que os hackers obtenham acesso aos sistemas através de vulnerabilidades em programas mais antigos e desactualizados.
- Senhas fortes
Criar uma palavra-passe única é uma das formas mais fáceis de evitar ser invadida. Uma palavra-passe forte deve ter entre 8-15 caracteres, uma mistura de letras maiúsculas e minúsculas e incluir números ou símbolos. Para maior defesa, os utilizadores podem criar uma frase-senha. A primeira letra de cada palavra constituirá a base da palavra-chave e as letras podem ser substituídas por números. Uma frase-chave é tipicamente mais longa do que uma palavra-passe e muito mais difícil de decifrar.
- Gerir a utilização de suportes portáteis
À medida que a utilização de dispositivos de media portáteis tem aumentado, o mesmo tem acontecido com os riscos de segurança associados. Um dispositivo de mídia portátil aparentemente inofensivo tem o potencial de desencadear um ataque cibernético maciço, mesmo quando o sistema informático visado está isolado e protegido do exterior. O erro humano continua a ser a causa número um de todos os ataques cibernéticos, pelo que o pessoal deve assegurar-se de que está a seguir os procedimentos correctos ao manusear dispositivos de meios de comunicação amovíveis fora do escritório.
Artigos relacionados
Como proteger o seu negócio do horror de uma violação de dados
Cinco formas de proteger os seus dados quando trabalha à distância
O que é o Malware e como prevenir contra ele
O que fazer se clicar num link de phishing
