Pense no seguinte: Não implantar uma política rígida e segura de backups e segurança dos seus dados em qualquer empresa, é o mesmo que dar ao mesmo tempo um tiro no pé e outro no ouvido!
Acredito também que as únicas pessoas capazes de realmente fazer alguma diferença no mundo, para o bem ou - neste caso - para o mal, são os Hackers por que ninguém pode para-los. A polícia, o governo e a justiça podem descobrir e punir rigorosamente uma pessoa ou grupo responsável por esses ataques, porém, outros virão, e seus ataques serão cada vez piores e mais dramáticos. É preciso haver uma forte conscientização de todos os profissionais da área e principalmente por parte dos empresários e lideranças de modo geral de que, o #Ransomware e todas as outras pragas virtuais são uma infeliz realidade e não se deve dar as costas à isso. Já vi clientes perderem bancos de dados enormes em questão de minutos, e esses bancos continham anos de informações e toda a história da empresa. E tudo isso foi perdido por falta de uma preocupação REAL em aplicar rotinas de backup e segurança.
Por isso, achei muito interessante uma matéria do Ian Barker que li no site BetaNews sobre isso e gostaria de compartilhar aqui por que realmente é muito relevante.
Confira a matéria a seguir:
Caindo na real quando aos Ransomwares [Perguntas e Respostas]
Para cada incidente de Ransomware de alto nível nas manchetes, há muitos mais que nunca são relatados. Particularmente entre as pequenas e médias empresas, muitas vezes com pequenas equipes de T.I. e de segurança cibernética, um ataque de Ransomware pode ser um problema existencial.
Para entender como as empresas devem responder quando descobrem que estão sob o controle de um Hacker e ameaçado por um Ransomware, falamos com Kurtis Minder, CEO e co-fundador do GroupSense, que ajuda as empresas a lidar com esses ataques para que seus negócios voltem a ficar online.
Para entender como as empresas devem responder quando descobrem que estão sob o controle de um Hacker e ameaçado por um Ransomware, falamos com Kurtis Minder, CEO e co-fundador do GroupSense, que ajuda as empresas a lidar com esses ataques para que seus negócios voltem a ficar online.
O que as empresas precisam entender mais sobre os ataques de Ransomware?
A primeira coisa que eles precisam entender é que "ataque de Ransomware" é um termo errôneo. Ele cobre apenas parte das técnicas que os atores da ameaça usam para extorquir empresas. Sim, infectar as empresas com o "resgate" (tradução de Ransomware) faz parte do que elas fazem. No entanto, praticamente todos os ataques que vemos hoje envolvem atores ameaçadores que têm estado na rede da vítima por um longo período de tempo e roubam seus dados. Então, eles cobram o resgate para chamar a atenção da vítima e estabelecer condições de pagamento. Mas agora eles atingem suas vítimas com dois pontos de alavancagem -- primeiro, há o próprio resgate e a necessidade de que a vítima volte a ter suas operações online. E depois há a violação de dados e a ameaça de liberar todos os dados se a vítima não pagar. Portanto, mesmo que você possa derrotar o ataque de resgate, você ainda tem que resolver a parte da violação de dados da equação. Esta se torna uma situação complexa que está além das capacidades da maioria das empresas para lidar com ela.
A primeira coisa que eles precisam entender é que "ataque de Ransomware" é um termo errôneo. Ele cobre apenas parte das técnicas que os atores da ameaça usam para extorquir empresas. Sim, infectar as empresas com o "resgate" (tradução de Ransomware) faz parte do que elas fazem. No entanto, praticamente todos os ataques que vemos hoje envolvem atores ameaçadores que têm estado na rede da vítima por um longo período de tempo e roubam seus dados. Então, eles cobram o resgate para chamar a atenção da vítima e estabelecer condições de pagamento. Mas agora eles atingem suas vítimas com dois pontos de alavancagem -- primeiro, há o próprio resgate e a necessidade de que a vítima volte a ter suas operações online. E depois há a violação de dados e a ameaça de liberar todos os dados se a vítima não pagar. Portanto, mesmo que você possa derrotar o ataque de resgate, você ainda tem que resolver a parte da violação de dados da equação. Esta se torna uma situação complexa que está além das capacidades da maioria das empresas para lidar com ela.
Quais são os maiores erros que as empresas cometem quando são atingidas por um Ransomware?
O maior erro é que os executivos das empresas o tratem como um problema de segurança cibernética e o deixem para o setor de T.I. descobrir e resolver. Um ataque de Ransomware é uma crise corporativa e deve ser tratado como tal. Isto significa ter um plano de resposta à crise e uma equipe no local antes que um ataque ocorra. Todos, desde a diretoria e o CEO, passando pelas finanças e pelo jurídico, até as comunicações corporativas e as relações públicas, devem estar sincronizados com uma resposta apropriada, assim como fariam com outras crises. Mesmo a pergunta fundamental, "Pagamos ou não o resgate?" é uma decisão a nível de CEO, dadas todas as ramificações empresariais associadas a qualquer uma das escolhas.
O maior erro é que os executivos das empresas o tratem como um problema de segurança cibernética e o deixem para o setor de T.I. descobrir e resolver. Um ataque de Ransomware é uma crise corporativa e deve ser tratado como tal. Isto significa ter um plano de resposta à crise e uma equipe no local antes que um ataque ocorra. Todos, desde a diretoria e o CEO, passando pelas finanças e pelo jurídico, até as comunicações corporativas e as relações públicas, devem estar sincronizados com uma resposta apropriada, assim como fariam com outras crises. Mesmo a pergunta fundamental, "Pagamos ou não o resgate?" é uma decisão a nível de CEO, dadas todas as ramificações empresariais associadas a qualquer uma das escolhas.
Dada a demanda por seus serviços de resposta ao Ransomware, a maioria das empresas está optando por pagar o resgate?
Não conheço as estatísticas sobre isso, mas posso lhe dizer que as empresas estão sob uma pressão tremenda e muitas vezes recebem conselhos divergentes quando são atingidas pelo Ransomwaer. A pressão comercial é óbvia - a empresa precisa voltar a ficar on-line o mais rápido possível. Então a pergunta é: "Podemos fazer isso em um prazo aceitável sem pagar resgate?" É um cálculo bastante simples. O conselho divergente é mais problemático - o governo dos EUA e o FBI estão dizendo às empresas que nunca paguem resgate, mas suas seguradoras podem estar dizendo-lhes que paguem, porque será mais barato para todos do que passar por um esforço dispendioso de remediação. E agora o governo está ameaçando com multas se as empresas pagarem a um ameaçador que está sob sanções econômicas. Esta é uma abordagem simplista de uma situação complexa - todos nós gostaríamos de tomar o caminho moral elevado, mas se o bem-estar de sua empresa estiver em jogo, o caminho elevado também pode ser um caminho para a saída do negócio.
Não conheço as estatísticas sobre isso, mas posso lhe dizer que as empresas estão sob uma pressão tremenda e muitas vezes recebem conselhos divergentes quando são atingidas pelo Ransomwaer. A pressão comercial é óbvia - a empresa precisa voltar a ficar on-line o mais rápido possível. Então a pergunta é: "Podemos fazer isso em um prazo aceitável sem pagar resgate?" É um cálculo bastante simples. O conselho divergente é mais problemático - o governo dos EUA e o FBI estão dizendo às empresas que nunca paguem resgate, mas suas seguradoras podem estar dizendo-lhes que paguem, porque será mais barato para todos do que passar por um esforço dispendioso de remediação. E agora o governo está ameaçando com multas se as empresas pagarem a um ameaçador que está sob sanções econômicas. Esta é uma abordagem simplista de uma situação complexa - todos nós gostaríamos de tomar o caminho moral elevado, mas se o bem-estar de sua empresa estiver em jogo, o caminho elevado também pode ser um caminho para a saída do negócio.
Quais são os primeiros passos que as empresas devem tomar quando são atingidas por um Ransomware?
Primeiro, não devem entrar em pânico - há uma saída. E essa saída começa com a verificação das reivindicações dos atores da ameaça - eles realmente roubaram seus dados? Existem 'sites da vergonha' na deep web que os sindicatos de Ransomware usam para alertar as empresas sobre uma divulgação iminente de seus dados. Se um ator ameaçador alega ter roubado seus dados além de instalar um Ransomware, há a possibilidade de que eles coloquem em um desses sites de vergonha. Além disso, boas empresas de inteligência de ameaças serão capazes de validar a reputação do ator ameaçador, e até mesmo envolvê-los para pedir provas de que eles têm os dados. É por isso que o monitoramento da deep web e a inteligência de ameaças é uma parte indispensável do processo de resolução.
Primeiro, não devem entrar em pânico - há uma saída. E essa saída começa com a verificação das reivindicações dos atores da ameaça - eles realmente roubaram seus dados? Existem 'sites da vergonha' na deep web que os sindicatos de Ransomware usam para alertar as empresas sobre uma divulgação iminente de seus dados. Se um ator ameaçador alega ter roubado seus dados além de instalar um Ransomware, há a possibilidade de que eles coloquem em um desses sites de vergonha. Além disso, boas empresas de inteligência de ameaças serão capazes de validar a reputação do ator ameaçador, e até mesmo envolvê-los para pedir provas de que eles têm os dados. É por isso que o monitoramento da deep web e a inteligência de ameaças é uma parte indispensável do processo de resolução.
Presumivelmente, estas não são habilidades que a maioria das empresas deveriam ter?
Isso mesmo - estas são habilidades especializadas. Quando você está envolvido em grandes litígios, você contrata um escritório de advocacia especializado para representá-lo. A mesma dinâmica se aplica aqui - as empresas precisam da ajuda de pessoas que já "viram este filme antes" e podem apertar todos os botões certos para validar a ameaça. Uma vez feito isso, então a vítima pode tomar uma decisão bem fundada sobre como proceder - se devem pagar o resgate, ou fazer auto remediação. Tudo se resume a arriscar - pode até ser que uma empresa tenha os recursos para limpar a situação de Ransomware em um período de tempo aceitável, e ter os dados liberados não causará danos significativos. Mas para avaliar efetivamente o risco geral, é fundamental saber com quem você está lidando. É aí que a inteligência da ameaça é indispensável.
Isso mesmo - estas são habilidades especializadas. Quando você está envolvido em grandes litígios, você contrata um escritório de advocacia especializado para representá-lo. A mesma dinâmica se aplica aqui - as empresas precisam da ajuda de pessoas que já "viram este filme antes" e podem apertar todos os botões certos para validar a ameaça. Uma vez feito isso, então a vítima pode tomar uma decisão bem fundada sobre como proceder - se devem pagar o resgate, ou fazer auto remediação. Tudo se resume a arriscar - pode até ser que uma empresa tenha os recursos para limpar a situação de Ransomware em um período de tempo aceitável, e ter os dados liberados não causará danos significativos. Mas para avaliar efetivamente o risco geral, é fundamental saber com quem você está lidando. É aí que a inteligência da ameaça é indispensável.
E se uma empresa decide pagar o resgate, como eles devem se contatar com o ator?
Esta é uma área onde muitas empresas caem, devido ao que mencionei anteriormente - pensando que esta é apenas uma questão de segurança cibernética. Esta é uma crise corporativa - portanto, é preciso um bom negociador de crise para contatar o ator ameaçador. Essa pessoa provavelmente não é seu CISO, ou seu CIO, ou seu CFO ou qualquer outro executivo. Se você estiver sendo mantido refém em um banco por um criminoso, você quer que o primeiro policial no local lidere as negociações? Ou você prefere que um negociador de crise do FBI assuma o comando? Obviamente, é o último. Não é diferente com o Ransomware - há um milhão de maneiras pelas quais as negociações de Ransomware podem voar fora dos trilhos. Além da preocupação de "pagar demais" que todos têm, você pode enfurecer o ator do Ransomware para que ele cause ainda mais danos à sua empresa. Estas situações precisam ser tratadas adequadamente por profissionais experientes que não só podem negociar com os atores ameaçadores, mas também validar suas ameaças e que estão cumprindo sua parte do acordo (eles estão realmente destruindo os dados roubados como parte do acordo, ou estão mentindo? Serão realmente capazes de decifrar seus dados ou não?). A maioria das empresas não tem negociadores de crise, muito menos aqueles que têm um controle sobre a teia escura e a exposição geral de risco da empresa. Este nível de especialização geralmente só pode ser encontrado em especialistas de terceiros.
Esta é uma área onde muitas empresas caem, devido ao que mencionei anteriormente - pensando que esta é apenas uma questão de segurança cibernética. Esta é uma crise corporativa - portanto, é preciso um bom negociador de crise para contatar o ator ameaçador. Essa pessoa provavelmente não é seu CISO, ou seu CIO, ou seu CFO ou qualquer outro executivo. Se você estiver sendo mantido refém em um banco por um criminoso, você quer que o primeiro policial no local lidere as negociações? Ou você prefere que um negociador de crise do FBI assuma o comando? Obviamente, é o último. Não é diferente com o Ransomware - há um milhão de maneiras pelas quais as negociações de Ransomware podem voar fora dos trilhos. Além da preocupação de "pagar demais" que todos têm, você pode enfurecer o ator do Ransomware para que ele cause ainda mais danos à sua empresa. Estas situações precisam ser tratadas adequadamente por profissionais experientes que não só podem negociar com os atores ameaçadores, mas também validar suas ameaças e que estão cumprindo sua parte do acordo (eles estão realmente destruindo os dados roubados como parte do acordo, ou estão mentindo? Serão realmente capazes de decifrar seus dados ou não?). A maioria das empresas não tem negociadores de crise, muito menos aqueles que têm um controle sobre a teia escura e a exposição geral de risco da empresa. Este nível de especialização geralmente só pode ser encontrado em especialistas de terceiros.
Resumindo, no que mais as empresas deveriam pensar quando forem atingidas pelo Ransomware?
Os ataques de Ransomware não vão desaparecer tão cedo porque é dinheiro fácil para os atores da ameaça. Portanto, é imperativo que as empresas de todos os tamanhos levem esta ameaça tão a sério quanto fazem quanto aos outros grandes riscos comerciais. Não é suficiente apenas resolver um incidente de violação de dados; as empresas também precisam se comunicar com todas as partes interessadas relevantes para evitar coisas como violações de regulamentos, exposição legal e danos às relações com os clientes. A melhor coisa que qualquer empresa pode fazer é identificar agora seu especialista em resposta a um resgate terceirizado, para que saibam a quem ligar se forem atacados. E, esse especialista também deve ser capaz de ajudá-los a incorporar os ataques de Ransomware em seus planos corporativos de resposta a crises. As empresas que se preparam com antecedência desta maneira podem melhorar drasticamente a probabilidade de ter um resultado bem sucedido.
Os ataques de Ransomware não vão desaparecer tão cedo porque é dinheiro fácil para os atores da ameaça. Portanto, é imperativo que as empresas de todos os tamanhos levem esta ameaça tão a sério quanto fazem quanto aos outros grandes riscos comerciais. Não é suficiente apenas resolver um incidente de violação de dados; as empresas também precisam se comunicar com todas as partes interessadas relevantes para evitar coisas como violações de regulamentos, exposição legal e danos às relações com os clientes. A melhor coisa que qualquer empresa pode fazer é identificar agora seu especialista em resposta a um resgate terceirizado, para que saibam a quem ligar se forem atacados. E, esse especialista também deve ser capaz de ajudá-los a incorporar os ataques de Ransomware em seus planos corporativos de resposta a crises. As empresas que se preparam com antecedência desta maneira podem melhorar drasticamente a probabilidade de ter um resultado bem sucedido.
Minha Conclusão
A realidade do que acontece no Brasil de modo geral em relação ao cuidado com a segurança de dados é peculiar, pelo menos no que tenho notado ao longo dos meus 30 anos (+/-) trabalhando nesta área, é que, a grande maioria dos empresários e governantes não dá a real importância ao perigo dos ataques cibernéticos, até que sofram as consequências de um! E infelizmente isso é fato recorrente e envolve todas as áreas comerciais e governamentais.
Já conheci empresas de grande porte que não possuem nem ao menos uma política clara de uso e acesso à internet e meios de comunicação em suas redes, e com isso, encontrei acessos a sites escusos, mídias sociais, uso de arquivos e e-mails pessoais em computadores corporativos, o que aumenta consideravelmente o risco de ataques por vírus e sequestro de dados, e o principal problema, ao meu ver, é que não existe preocupação REAL nenhuma em se conscientizar aos usuários e colaboradores com relação aos verdadeiros perigos da internet. É preciso haver uma forte operação dentro de todo o meio corporativo, independente do tamanho de sua empresa, de que o uso dos computadores, internet e mídias de trabalho não podem ser tratados com descaso. Não se pode ter uma empresa que movimenta qualquer quantidade de e-mails, notas fiscais eletrônicas, documentos sigilosos e outras demandas via internet sem investir em segurança da informação, com políticas rígidas e eficientes de backup e proteção, programas de conscientização que alcance todos os profissionais e colaboradores da empresa ou órgão público.
Não se pode imaginar que o computador é inteligente o suficiente para se livrar de ameaças automaticamente. É claro que existem antivírus, firewalls, proxys e muitos outros mecanismos de proteção, mas na minha opinião, o melhor escudo contra danos e perda de dados é o backup seguro e garantir que todos os profissionais da sua empresa saibam como usar com segurança todas as FERRAMENTAS e mídias oferecidas para agilizar o trabalho, e garantir que os profissionais de T.I. estejam sempre aprendendo, sejam remunerados adequadamente e sejam ouvidos com atenção no que diz respeito às questões de segurança das suas informações.
Ou seja, sempre invista em segurança no seu T.I., garanta um parque de hardware eficiente, atualizado e seguro, ofereça sempre oportunidades de treinamentos para melhorar os conhecimentos dos seus profissionais para assim, garantir uma maior capacidade de manter seus equipamentos e as informações da sua empresa e dos seus clientes sempre o mais seguro possível.
