Recentemente, muitas notícias, em grandes canais de comunicação, estão alertando e apresentando diversas empresas que foram impactadas pelos malwares do tipo Ransom (resgate), que criptografa os arquivos da empresa e solicita um valor a ser pago para o resgate. Gostaria, neste artigo, de apresentar alguns pontos de reflexão sobre o tema.
De forma bem didática, existe uma confusão quanto a forma de infecção deste malware. O primeiro ponto é que a maioria das empresas afetadas não foram “invadidas” no sentido que algum Cracker realizou um ataque direcionado à aquela empresa para criptografar os dados.
- É utilizado o conceito de invasão, dentro da área de Segurança da Informação, quando uma empresa sofre um ataque planejado especificamente para aquela empresa, ou seja, o Cracker ou grupo de Crackers, estuda a empresa antes, realiza diversos levantamentos e direcionada um ataque específico para explorar alguma vulnerabilidade tecnológica ou não. Quando escrevo “tecnológica ou não” é porque o ataque pode ter sido originado por Engenharia Social.
A diferença é que nestes casos de invasão, o Cracker está buscando o acesso naquela empresa alvo. Já os malwares Ransom e qualquer outro tipo demalware, trojan ou vírus são distribuídos, na sua grande maioria, de forma aleatória para milhares ou milhões de contas de e-mail de forma automática e utilizando as técnicas de Phishing (e-mail falso). Maiores detalhes dos conceitos de Phishing, acessar o artigo “Engenharia Social”.
Após está breve introdução entre as diferenças, gostaria de contribuir com alguns posicionamentos.
Boa parte das empresas e prefeituras impactas por este malware e que foram entrevistadas nos noticiários demonstraram baixo nível de maturidade em relação à Segurança da Informação. Se vocês, caros leitores, conhecem alguma empresa nesta situação de total indisponibilidade, analisem as seguintes perguntas:
- Existe na organização firewall controlando o tráfego de dados entre a empresa e o ambiente externo?
- Antivírus corporativo no ambiente, instalado em todos os equipamentos e atualizado?
- Restrição de categorias ou sites para navegação na Internet?
- AntiSpam eficiente no ambiente?
- Sistema de backup corporativo? Com estrutura física e lógica para garantir a integridade dos backups? O backup é feito de forma automática pelo software?
- Política de Segurança da Informação implementada de forma eficiente dentro da empresa? Todos os funcionários tiveram treinamento? Campanhas de conscientização?
- Normas específicas formalizadas para utilizar o e-mail corporativo? A Internet? O celular?
- Quais foram os últimos investimentos realizados em Segurança da Informação?
Enfim, poderia elencar várias outras perguntas, mas o grande objetivo é contextualizarmos o cenário atual das empresas em relação a Segurança da Informação. Afinal, se a informação é um dos bens mais valiosos e críticos, dentro de qualquer empresa, prefeitura, escola, governo, por que não a proteger?
O ponto chave é que nós, seres humanos, não fomos educados a viver nesta era do conhecimento e do compartilhamento de informações. Não fomos educados, pelo simples fato de que na época dos nossos pais não existiam whatsapp, twitter, linkedin, facebook, entre outros. Não criamos a cultura conhecida de “comportamento seguro”. Kevin Mitnick informou no seu livro que 40% do investimento em Segurança da Informação deveria ser destinado ao treinamento de funcionários e campanhas de conscientização, justamente porque o elo mais fraco da corrente é o ser humano.
Este comportamento seguro, entre eles, criar senhas complexas, realizar a troca periodicamente, não compartilhar a senha, detectar quando um e-mail é Phishing, não repassar uma informação interna para terceiros sem antes validar a origem do solicitante, entre outros, só é criado nas pessoas através da conscientização. A mudança de cultura em qualquer ambiente só ocorre se a pessoa entender que aquilo faz sentido para ela.
Hoje em dia, as empresas não podem mais trabalhar somente de forma reativa quando o assunto é Segurança da Informação, visto que um incidente de Segurança da Informação poderá impactar toda a organização e os impactos serão em todas as vertentes (financeiro, imagem, reputação, credibilidade, contratos, obrigações legais e fiscais, entre outros).
Vale reforçar que o apetite pelo risco, ou seja, a decisão de aceitar ou mitigar os riscos envolvidos, deve ser tomada pela alta administração das organizações. Cabe a nós profissionais da área, apresentar estes riscos através de uma abordagem clara e estruturada.
Caso sua empresa esteja passando por este contratempo, existem praticamente duas formas de restabelecer a operação:
- Pagar o “resgate” das informações. Esta seria, teoricamente, a forma mais rápida para a continuidade do negócio, porém existe um risco iminente do Cracker receber o dinheiro e simplesmente não enviar a chave de decriptografia.
- O segundo cenário é realizar a restauração das informações através do último backup íntegro. O tempo para restabelecer 100% a continuidade do negócio seria maior se comparado com a primeira alternativa, porém mais seguro.
Para finalizar o artigo, o principal objetivo foi apresentar que, através de um planejamento estruturado de Segurança da Informação, com investimentos dentro do orçamento das empresas (indiferente do tamanho e setor de atuação), irá mitigar estes riscos relacionados à Segurança da Informação.
Caso tenham alguma dúvida, fiquem à vontade para entrar em contato!
Obrigado!
[Crédito da Imagem: Dados Criptografados – ShutterStock]