Bem-vindo ao Grupo CypSec
Especializamo-nos em defesa avançada e monitorização inteligente para proteger os seus ativos digitais e operações.
Um alerta para empresas e autoridades.
Zurique, Suíça - 17 de setembro de 2025
A 25 de fevereiro de 2024, a cidade de Hamilton, Ontário, foi vítima de um sofisticado ataque de ransomware que afetou cerca de 80 por cento da sua rede municipal. Serviços críticos como processamento de licenças empresariais, administração de impostos prediais, planeamento de tráfego, e sistemas financeiros e de aquisições foram perturbados durante semanas. Os atacantes exigiram um resgate de 18,5 milhões de dólares canadianos, que a cidade recusou pagar.
O que torna este incidente particularmente notável é que a seguradora da cidade rejeitou o seu pedido de indemnização por danos devido à ausência de implementação total de autenticação multi-fator (AMF). Como resultado, a cidade teve de suportar os custos totais por si só, o que significou que investimentos em educação e infraestrutura tiveram de ser cortados.
Este incidente mostra que medidas de segurança técnicas por si só não bastam para proteger empresas ou municípios de riscos cibernéticos. Um fator crucial mas frequentemente ignorado são as pessoas por detrás dos sistemas: a sua integridade, direitos de acesso, e ações. É aqui que as verificações de antecedentes entram em jogo.
Os atacantes ganharam acesso através de um servidor externo, voltado para a internet, com credenciais de login fracas. Depois de um período de reconhecimento e movimento lateral dentro das redes internas, encriptaram sistemas e dados para os tornar inutilizáveis. Embora tenham tentado destruir todas as cópias de segurança, falharam, o que permitiu restaurar alguns dados. No entanto, a seguradora recusou a indemnização porque a AMF não tinha sido totalmente implementada na altura do ataque. A apólice de seguro estipulava explicitamente que perdas causadas pela ausência de AMF não seriam cobertas.
"O caso de Hamilton mostra como mesmo as salvaguardas técnicas mais fortes podem falhar quando os riscos humanos não são abordados. A nossa missão é ajudar as organizações a prevenir tais pontos cegos ao integrar verificações de antecedentes fiáveis nas suas estratégias de segurança desde o início," disse Reto Marti, Diretor de Operações da Validato AG.
As fragilidades técnicas não foram o único ponto de entrada. Prestadores de serviços mal verificados e funcionários internos com direitos de acesso elevados também contribuíram para o desastre. Apenas a combinação de AMF em falta, gestão inadequada de risco humano, e ausência de segmentação de rede criou a tempestade perfeita que custou caro à cidade. Universidades próximas como a McMaster e colégios como o Mohawk tinham a experiência para colmatar tais lacunas rotineiramente. Em vez de confiar em anos de investigação nacional sobre segurança de rede, a cidade optou por não investir localmente e confiou em fornecedores de segurança estrangeiros não verificados.
Embora medidas de segurança técnica como a AMF sejam essenciais, os fatores humanos dentro de uma empresa ou administração municipal não devem ser negligenciados. Verificações de antecedentes abrangentes são uma ferramenta eficaz para identificar e mitigar riscos potenciais causados por funcionários internos ou parceiros externos numa fase inicial. Isto inclui verificar qualificações, histórico profissional, e potenciais conflitos de interesse antes da contratação para garantir que apenas pessoas de confiança recebem acesso a sistemas sensíveis.
Além disso, re-verificações regulares são cruciais para garantir a integridade e confiança de funcionários e parceiros ao longo do seu envolvimento. Após o incidente de Hamilton, a cidade recorreu a fornecedores dos Estados Unidos e dos Big Four. Para reduzir significativamente os elevados custos de contratos de consultoria, a cidade também contratou uma shell company canadiana, focando-se apenas no preço. Essa empresa tinha sido previamente banida de participar em concursos públicos noutra província porque o seu fundador usava identidades falsas e não entregava projetos anteriores de forma satisfatória.
A análise OSINT poderia ter sido utilizada em tais casos para identificar riscos potenciais de prestadores de serviços externos ou parceiros através de fontes públicas. As verificações de antecedentes devem estar sempre estreitamente integradas na governação de toda a empresa, por exemplo ao incorporá-las em padrões de conformidade como a ISO/IEC 27001, para cumprir requisitos regulatórios e reforçar a estratégia de segurança. Isto poderia ter impedido que a dependência direta de atores estrangeiros surgisse em primeiro lugar.
A shell company mencionada anteriormente desde então faliu. Não está claro se dados sensíveis foram divulgados. O que é certo é que os custos explodiram, a confiança dos contribuintes locais desmoronou, e especialistas locais foram marginalizados. Para prevenir tais cenários no futuro, a CypSec e a Validato estão a trabalhar em estreita colaboração para fornecer soluções abrangentes de verificação de antecedentes e ajudar as empresas a implementar e melhorar continuamente as suas estratégias de gestão de risco humano.
O incidente de Hamilton mostra que os riscos cibernéticos não são puramente técnicos. A gestão de risco eficaz deve, portanto, abordar tanto fatores técnicos como humanos. As empresas devem garantir que a autenticação multi-fator é implementada de forma abrangente para prevenir acesso não autorizado. Além disso, é necessário treino regular para aumentar a consciencialização dos funcionários sobre riscos de segurança e aumentar a sua sensibilidade a ameaças potenciais.
Simultaneamente, as empresas devem estabelecer verificações de antecedentes para detetar e mitigar riscos potenciais de funcionários internos ou parceiros externos precocemente. Rever as apólices de seguro cibernético também é crítico para garantir que as medidas de segurança existentes cumprem requisitos contratuais e fornecem proteção quando necessário. Apenas a combinação consistente de todas estas medidas pode proteger eficazmente os sistemas e reduzir sustentavelmente o risco de ciberataques.
O ataque a Hamilton potencialmente poderia ter sido prevenido ou pelo menos mitigado através da implementação precoce de AMF e verificações de antecedentes abrangentes. Em vez disso, cidadãos não envolvidos agora têm de pagar pelos erros de alguns decisores. As empresas não devem, portanto, depender apenas de soluções técnicas, mas também incorporar o fator humano nas suas estratégias de segurança. Como este caso mostra, uma única peça do puzzle em falha pode derrubar todo um mecanismo de segurança.
Sobre a Validato AG: Com sede em Zurique, Suíça, a Validato AG fornece serviços digitais de verificação de antecedentes e gestão de risco humano para ajudar organizações a identificar e mitigar ameaças internas antes que causem danos. A sua plataforma suporta verificação pré-contratação, re-verificações contínuas de funcionários, e verificações de integridade de parceiros, integrando-se diretamente em fluxos de trabalho de RH e conformidade para reduzir a exposição ao risco. Para mais informações sobre a Validato AG, visite validato.com.
Contacto de Imprensa: Frederick Roth, Diretor de Segurança da Informação na CypSec - frederick.roth@cypsec.de.
Especializamo-nos em defesa avançada e monitorização inteligente para proteger os seus ativos digitais e operações.
