As histórias sobre os incidentes de segurança quase sempre começam pelo meio. O momento em que se é abordado por um assaltante, ou quando aparecem os sintomas de um ciberataque, é posterior ao início das movimentações do bandido. Mesmo nos casos em que sua capacidade de defesa funciona, e não se paga o “prêmio” para o criminoso, a recuperação sempre implica custos, além dos riscos operacionais e de reputação.
Segundo Paulo Martins, diretor de segurança da informação de soluções digitais da Embratel, há uma “falsa premissa” de que só paga o resgate quem é negligente com backup. “De forma geral, se o backup está íntegro, se consegue retomar a operação. Mas quanto tempo demora para recuperar? Cobre o que? Enfim, tudo tem de ser considerado também”, advertiu.
Domingo Montanaro, perito em cibersegurança e cofundador da Ventura ERM, contou que, em uma companhia com mais de 3 mil servidores, o backup era confiável e, quando houve um incidente, os diretores foram dormir tranquilos. “Mas, quando souberam que levaria 17 dias para a recuperação das operações, pagaram ao criminoso”, disse. Os especialistas participam do Futurecom 2023.
Embora a operação do terminal portuário nunca possa ser interrompida, e seja visada pelos delinquentes, Fabiana Morgante de Alencar, gerente de TI da Brasil Terminal Portuário, informou que há uma decisão prévia, consensual no conselho da companhia, de não ceder em caso de ataques de ransomware.
Diante da decisão corporativa, o monitoramento dos logs é rigoroso, para detectar mais rapidamente as ameaças. “Recursos como imutabilidade do backup (para o ransomware não conseguir criptografar) são fundamentais, assim como o treinamento para funcionários de todas as áreas. Com tudo isso, há ainda um seguro para cobrir eventuais perdas”, revelou. “É um desafio manter a segurança como prioridade em meio à pressão pelas entregas”, reconheceu.
Montanaro contou que, tipicamente, quando o resgate é alto, na grandeza de milhões, a chave é entregue pelo bandido. Quando o valor é relativamente baixo, até US$ 5 mil, em metade dos casos o “acordo” é cumprido e, nos demais, o pedido vai aumentando. Davi Teófilo, assessor do conselho-diretor da ANPD (Autoridade Nacional de Proteção de Dados), acrescentou que quando se paga o resgate, a tendência é a organização virar alvo recorrente.
Pessimismo pragmático
Os planos na prevenção de perdas por desastres e outros incidentes, que já eram fundamentais para a continuidade dos negócios, agora são muito mais relevantes, segundo Martins, da Embratel. Ele destacou a importância de pensar em proteção de dados e alta disponibilidade, e as premissas precisam ser traduzidas em planejamento e testes. “As configurações já devem estar prontas para serem ativadas o mais rápido possível”, recomendou.
Luíza Sarno, diretora de Tecnologia, Finanças e Operações da Alumnitech, advertiu que ter as configurações prontas no esquema de contingenciamento não deve significar replicar o ambiente de produção. “Se uma casa foi invadida e há outra igual, o ladrão já sabe onde fica a janela e quais são as trancas vulneráveis”, comparou. “Uma das práticas mais eficazes é recuperar só os dados e refazer tudo, inclusive as credenciais”, completou.
Mesmo que a empresa decida que vai pagar, tem de haver planejamento e simulações. É pouco provável que o CFO tenha uma carteira de bitcoins para o resgate, e também não se sabe como negociar com chantagista. Menos ainda sobre como lançar esse desembolso no balanço.
Montanaro contou ainda que já há fraudadores explorando as vítimas, com a oferta de notas fiscais frias para justificar o pagamento de resgate. Martins acrescentou que, na melhor das hipóteses, de entrega da chave de descriptografia pelo chantagista, a confiabilidade e integridade dos dados não são garantidas. “Se voltar, vai voltar ruim. Se for um ataque à base de dados, no mínimo vai voltar tudo dessincronizado”, concluiu.
