*Por Kevin Magee
Imagine a seguinte situação: sua organização foi atingida por um catastrófico ataque de ransomware e a maioria dos sistemas de dados críticos que sua empresa precisa para funcionar – no nível mais básico – está off-line. Então, o CEO da empresa recebe um pedido de resgate, exigindo dinheiro. Se pagamento nenhum for efetuado, o ataque continuará indefinitivamente e a companhia poderá nunca recuperar o acesso a muitas (ou todas) as informações comprometidas.
Em decorrência a esse caso, o presidente convoca uma reunião de emergência do conselho de administração.
Hotel austríaco sofre ataque de ransomware e hóspedes são trancados para fora dos quartos
IoT fomenta ataques DDoS, diz estudo
Ciberataques devem aumentar no setor da saúde em 2017, diz pesquisa
Presidente do conselho: “Apresento uma moção para instruir nosso CFO a transferir US$3,4 milhões em bitcoins, visando facilitar o pagamento do resgate para um usurpador desconhecido ou a organização criminosa que tomou o controle dos nossos sistemas críticos e paralisou completamente o funcionamento da companhia. Porém, não há garantias de que essa transferência de dinheiro nos permitirá reverter o dano”.
Alguém gostaria de apoiar essa moção? Certamente, eu não gostaria.
Acredita que esse tipo de situação se limita apenas à ficção? Considere que, no início de 2016, o hospital Hollywood Presbyterian Medical Center, em Los Angeles, foi atacado por um malware que desligou o acesso de toda organização à e-mails, prontuários digitais, e alguns dispositivos médicos conectados à internet — por aproximadamente duas semanas. Há quem diga que os hackers originalmente exigiram US$ 3,4 bilhões; e o hospital pagou, eventualmente, 40 bitcoins (aproximadamente US$16.9 mil) para ter os sistemas restaurados.
Apesar da situação que descrevi no início do texto ser ficcional, não é inconcebível que poderia acontecer com sua organização. Voltando ao início do texto, vamos dividir os tópicos do que este conselho ficcional de diretores precisa lidar:
- Uma invasão catastrófica acaba de ocorrer e a organização está completamente quebrada. Emoções estão a flor da pele, na fronteira do pânico, e nenhum dos presentes jamais esteve em qualquer contexto ou experiência que pode ser aplicada para compreender a situação (e muito menos fornecer orientação estratégica e boa governança). Este é o pior estado possível para tomar uma decisão crítica sem algum tipo de plano em vigor para orientar o processo.
- Ainda é possível transferir US$ 3,4 milhões em bitcoins? Quais os riscos associados a cumprir essa exigência? A organização conta com esse montante de dinheiro disponível imediatamente, caso decida pagar o resgate? Quais os efeitos da perda desses fundos a longo prazo na organização? Danos na credibilidade do consumidor? Diminuição de confiança em Wall Street? Possíveis processos?
- O pagamento de resgate está dentro da lei?
- Como alguém pode ter certeza que as pessoas exigindo resgate são de fato os responsáveis pelo ataque?
- O que aconteceria se a organização pagasse o resgate e os cibercriminosos ainda não consertassem o problema? Pior ainda: se exigirem mais dinheiro?
Como poderia esse conselho, bem como o CEO e CFO ficcionais, possivelmente responder todas essas questões sob os ofuscantes holofotes midiáticos? A resposta é que eles não podem e nem fariam. E mesmo se a moção passasse, como exatamente poderia esses executivos implementar as diretrizes da diretoria?
Embora não haja maneiras de se preparar para cada cenário possível de ciberataque, o fato é que o pior momento para planejar uma resposta a uma violação de segurança é depois do ocorrido.
Com isso em mente, e sabendo que qualquer plano que desenvolvido possivelmente não vai sobreviver ao primeiro contato com um ataque no mundo real, ainda há uma série de coisas que você pode fazer para preparar sua organização. Para começar, é possível desenvolver um plano de resposta a incidentes hoje, enquanto há tempo para racionalmente pensar e testá-lo.
Existem poucas coisas a considerar quando desenvolver esse plano de contingência:
- Treinar colaboradores: quando um empregado descobre uma violação, quem deve ser informado e quais as medidas imediatas? Lembre-se, nem todos os ataques são tão dramáticos como o exemplo descrito acima, e poderiam ser ignorados ou superestimados sem uma direção clara. As pessoas precisam ser treinadas em como reconhecer uma ocorrência ruim e direcionadas sobre quem falar e o que fazer nesses casos. O que poderia incluir também a segurança de ninguém “matará o mensageiro”, e que relatar um incidente não resultará em repercussões ou humilhações na internet.
- Junte um time de contingência: quando o ataque é identificado, é importante ter um empregado devidamente preparado para acessar e implementar uma resposta coordenada. Essa equipe deve incluir representantes de todas as áreas da organização, e não apenas do departamento de TI — como a equipe de Relações Públicas, Recursos Humanos, Gerenciamento de Fábrica, e entre outros. E lembre-se: o conselho de administração precisará dar suporte na coordenação e implementação dessa resposta.
- Prepare um manual de crise: Esse documento deve conter um plano de notificação, uma relação de pessoas e instruções claras sobre o que deve ocorrer depois que um ataque é identificado. Também deve incluir os contatos legais, como representantes da Lei. Quem exatamente os empregados poderiam chamar? Qual a informação necessária para lidar com a situação? Essas discussões devem ocorrer antecipadamente e serem bem documentadas. Isso porquê pode acontecer de, enquanto os funcionários respondem ao incidente e tentam recuperar arquivos, eles podem inadvertidamente destruir provas que a polícia precisa para capturar o invasor. Como as equipes devem agir para atenuar o problema de imediato, sem inibir uma futura investigação criminal?
- Listar os serviços de contingência como prioridade para uma violação: O melhor momento para negociar tarifas competitivas com fornecedores terceirizados de serviços de contingência de cibersegurança não é enquanto as informações da empresa estão sendo mantidas para resgate. É preciso tempo para desenvolver esses relacionamentos, estabelecer acordos legais e processos de aquisição relacionados a esses serviços. Depois de uma organização ter sido hackeada, não é o melhor momento para executar uma RFP.
- Aplicar testes de rotina: Estabelecer um treinamento de preparação e cenários de prática com a equipe de contingência ajuda a identificar lacunas nos planos e na postura geral de segurança de uma organização. Isso deve incluir todos os níveis da organização, até o conselho de administração.
Embora não seja possível preparar-se para todas e quaisquer ameaças potenciais, ter um plano no lugar e rotineiramente testá-lo contra novos cenários (antes que o pior aconteça) é a sua melhor chance para evitar ou atenuar um ciberataque de outra forma devastador.
*Kevin Magee é o diretor regional de vendas para o Canadá da Gigamon.