Infelizmente, é muito comum que profissionais do setor e c-levels se desesperem durante uma invasão, um vazamento de dados ou uma infecção por ransomware. Porém, algumas atitudes impensadas podem causar dores de cabeça ainda maiores.
Pergunte para qualquer especialista renomado da área de segurança cibernética e ele lhe confirmará: infelizmente, a realidade é que toda empresa, mais cedo ou mais tarde, será vítima de um incidente cibernético. Não importa se você investiu horrores em soluções proativas, montou uma equipe de analistas altamente habilidosos e respeitou as melhores práticas e frameworks do mercado. O crime cibernético é algo que evoluiu tão rápido e de formas tão inimagináveis que é natural acabar caindo em uma armadilha montada pelos meliantes virtuais — que, aliás, estão cada vez mais unidos e organizados.
É fácil encontrar dicas e orientações sobre o que fazer nos momentos de incêndio. Há uma série de playbooks que podem ser adotados e servem como um verdadeiro “guia” que deve ser seguido para resolver situações de tensão da forma mais apropriada e rápida possível. Porém, nem toda empresa se lembra de ter um plano eficaz de resposta a incidentes, algo que faz toda a diferença na hora de tomar decisões críticas durante esse tipo de episódio. Além disso, mesmo aquelas que possuem um plano bem-escrito podem ser tomadas pelo desespero e desrespeitá-lo em prol de decisões tomadas no calor do momento.
Sendo assim, aqui vai uma lista de coisas que você não deve fazer caso seja vítima de um incidente cibernético. Sabemos que é uma situação tensa, mas respire fundo e não aja sem pensar nas consequências!
1) Não improvise uma solução
Como citamos anteriormente, é comum que as equipes de segurança da informação tenham um playbook — ou seja, um manual que lista ações a serem tomadas na incidência de um ataque cibernético. Porém, proporcionalmente, muitas empresas não contam com tal guia, e, às vezes, até mesmo aquelas que o possuem esquecem de mantê-lo atualizado com os novos riscos e ameaças que surgem diariamente. No fim das contas, quando o incêndio se inicia, o plano de resposta acaba sendo totalmente ignorado e ações improvisadas são adotadas para resolver o problema o mais rápido possível.
Esse tiro pode sair pela culatra. E se o backup que você pretende recuperar causar uma perda permanente de dados críticos? E se o downtime para a recuperação for maior do que outra medida de remediação? E se pagar os operadores do ransomware não lhe der a tão sonhada chave de decriptação? A dica aqui é manter toda a equipe calma e, se necessário, acionar ajuda externa que auxiliará a analisar a situação com sangue frio, orientando-os passo-a-passo sobre o que fazer.
2) Não esconda o incidente
Trata-se de algo comum no mundo inteiro, mas ainda mais frequente no Brasil. Nosso mercado de cibersegurança desenvolveu uma cultura que enxerga o ato de ser vítima de um incidente de segurança como um motivo de chacota. Para não “passar vergonha”, é comum que as diretorias tentem, ao máximo, esconder um vazamento de dados ou um ataque cibernético — não apenas do público, mas até mesmo de seus próprios colaboradores, que muitas vezes se vêem incapazes de trabalhar (por uma instabilidade em aplicações críticas, por exemplo) sem nenhuma explicação sobre o ocorrido.
É essencial manter uma boa comunicação interior e exterior. Oriente todos os funcionários sobre o que está acontecendo, explicando o que eles devem falar ou não para terceiros. Jamais esconda ou diminua a extensão de um incidente cibernético para a mídia, parceiros e acionistas — esse posicionamento, além de ser ainda mais prejudicial à imagem da companhia, pode causar conflitos posteriores com órgãos regulatórios e legislações de proteção de dados pessoais. É aquela velha história: mentira tem perna curta.
3) Não dramatize o incidente
Da mesma forma que é importante manter um canal de comunicação aberto com clientes, jornalistas, parceiros e acionistas, também é crucial medir bem as palavras durante tais diálogos. É comum encontrar empresas que, com o objetivo de passar uma mensagem de que o incidente sofrido estava aquém de qualquer possibilidade de evasão, utilize termos como “ataque altamente sofisticado” ou “ato de terrorismo”. Será mesmo? Ou será que tudo não passou de um servidor na nuvem que estava configurado incorretamente? Não foi apenas um funcionário que caiu em uma campanha de phishing?
Fazer alegações falsas, errôneas ou ilusórias pode trazer muitas consequências negativas no futuro. Investigações serão feitas posteriormente e a verdade virá à tona, fazendo com que sua equipe de comunicação pareça mentirosa — o que consequentemente abala ainda mais a sua reputação. Além disso, caso você possua um seguro cibernético, é melhor pensar duas vezes antes de dizer que um ataque foi um “ato de terrorismo”, pois muitas apólices não cobrem mais incidentes realizados por atores maliciosos patrocinados por governos estrangeiros, por exemplo.
4) Não interaja com os criminosos
Esta dica é específica para quem acaba de sofrer um ataque de ransomware. As notas de sequestro deixadas pelos meliantes orientam as vítimas a entrar em contato para negociar o pagamento do resgate, e, no desespero, muitas companhias decidem interagir com o ator malicioso. Esse é um erro cabal, especialmente se ninguém da sua equipe de segurança da informação possui experiência com esse tipo de crime. Saiba que existem agências e profissionais especializados em negociar com operadores de ransomware. Pagar um resgate nunca é uma boa opção, mas, caso pretenda ir por esse caminho mesmo assim, o melhor a se fazer é contar com tal ajuda qualificada.
5) Não notifique agências reguladoras imediatamente
Esta dica pode parecer ir contra a segunda orientação, mas explicaremos. É errado manter-se calado em relação a um incidente cibernético; porém, quando falamos sobre notificações formais às agências reguladoras e outros órgãos, saiba que normalmente há um prazo previsto em lei para que tal notificação aconteça. Esse prazo não foi criado à toa: utilize-o para realizar uma profunda avaliação preliminar a respeito do ocorrido, entendendo a extensão do ataque, danos sofridos e perigos que ele representa aos usuários finais. Quanto mais informações a respeito do incidente você tiver em mãos, mais profissional será a imagem de sua empresa perante as autoridades e o mercado em geral.
6) Não assuma que acabou
Removeu um malware de um endpoint? Apagou um arquivo malicioso? Atualizou um software que possuía uma vulnerabilidade? Muito bom, mas não pense que seu trabalho acabou apenas porque o incidente foi resolvido. A resolução é apenas o primeiro passo: agora, é essencial investir em uma longa investigação para entender o porquê do ataque ter acontecido, como os invasores conseguiram fazer o estrago e o que deve ser feito para evitar que a mesma coisa ocorra na semana que vem. Caso haja um playbook ou plano de resposta, é claro, estes devem ser atualizados com tal conhecimento obtido.
Uma longa auditoria pós-incidente também é importante para garantir que seu ecossistema computacional esteja livre de ameaças avançadas persistentes (APT). Lembre-se, alguns grupos de criminosos cibernéticos adotam estratégias altamente complexas para atacar sistemas e se manter infiltrados por lá durante meses. Aquilo que pareceu uma simples infecção por um malware pode ter sido apenas o primeiro passo de uma campanha bem mais elaborada de um inimigo de elite.
7) Não deixe de compartilhar conhecimento
Pelo mesmo motivo do segundo item desta lista, infelizmente, vivemos uma realidade de mercado na qual as empresas ainda têm medo e vergonha de compartilhar conhecimento e inteligência sobre ameaças cibernéticas. Esse relacionamento “fechado” entre profissionais do setor é altamente prejudicial: lembre-se que estamos todos lutando contra um inimigo em comum. Trocar informações sobre atores maliciosos, tal como suas táticas, técnicas e procedimentos, é algo que pode ajudar todo o ecossistema de segurança da informação a se manter mais bem preparado para novas ameaças. Todo mundo ajuda e todo mundo fica mais seguro.