O ransomware é um tipo de malware, isto é, um software malicioso, como um vírus ou um “cavalo de troia”. A característica específica de um ataque de ransomware está no fato de que o criminoso invade o sistema da vítima, criptografa seus dados tornando-os inacessíveis, e em seguida exige um resgate (“ransom”, em inglês) em troca da senha que permitirá recuperar esses dados. O resgate geralmente é pedido na forma de bitcoins, tornando quase impossível rastrear o beneficiário do pagamento.
Os casos de ransomware têm crescido exponencialmente, registrando alta de 148% apenas no último ano, e o fenômeno já alcança empresas de todos os tipos e portes, e não apenas as que lidam com grandes volumes de dados. Estima-se que o custo global da recuperação de ataques de ransomware em 2021 será de US$ 20 bilhões. Como sintetizou Marta Schuh, “não vivenciamos hoje apenas a pandemia do coronavírus, enfrentamos também uma epidemia digital”.
A falta de higiene cibernética parece ter, de fato, relação com essa explosão de casos. O “phishing” via e-mail ainda está entre os três maiores vetores de ataques de ransomware. Por esse método, a vítima recebe um e-mail com um link ou anexo que, quando aberto, instala um malware em seu computador e, em seguida, contamina toda a rede da empresa. Esse e-mail não vem, necessariamente, de uma conta falsa. Muitas vezes, a mensagem parte de uma conta legítima à qual os criminosos tiveram acesso, o que dificulta a identificação do golpe.
Ocorre que, durante a pandemia, muitas empresas precisaram se conectar com novos parceiros de uma hora para outra, o que aumentou as oportunidades para o phishing. O tema veio à tona em um dos polls realizados ao longo do webinar, no qual os espectadores foram questionados sobre avaliação do risco cibernético voltada aos fornecedores de suas próprias empresas. Na ocasião, 43% responderam que avaliam a segurança de todos os parceiros com acesso a dados sensíveis. Outros 40% disseram que ainda não observam esse quesito, fato que ilustra a necessidade de avanço no combate aos ataques digitais.
Conforme explicou Walmir Freitas, “o verdadeiro desastre não é propriamente a infecção por um ransomware, mas sua consequência: a paralisação do negócio por dias”. O levantamento referente ao último trimestre de 2020 estimou que empresas vítimas desse tipo de ataque precisaram ficar, em média, 21 dias com suas atividades paralisadas.
O processo de recuperação da rede após um ataque cibernético é complexo, podendo acarretar prejuízos significativos para uma organização. Portanto, além de investir em segurança e treinamento para evitar esse tipo de crime, as empresas precisam estar bem preparadas para reagir prontamente a um eventual ataque cibernético.
Qual deve ser a primeira ação de uma companhia após a constatação de um incidente de ransomware? Quase 60% dos participantes do webinar responderam, corretamente, que é preciso acionar um plano de resposta. Marcos Bruno esmiuçou a questão, elencando quinze pontos obrigatórios para qualquer plano eficiente de resposta.
Entre as boas práticas, Bruno destaca a necessidade de identificar a raiz do incidente para impedir futuros ataques similares. Também é fundamental preservar as evidências durante a recuperação dos servidores da empresa. Caso contrário, segundo o especialista, torna-se impossível investigar o incidente ou responsabilizar culpados. “Um bom plano de resposta se preocupa com a elaboração de um relatório forense”, reforça.
Acima de tudo, é preciso identificar se houve vazamento de dados e, em caso afirmativo, de quais dados. Só assim pode-se compreender a gravidade do incidente e, em consonância com a Lei Geral de Proteção de Dados (LGPD), avaliar a necessidade de notificar clientes, informar investidores, elaborar notas para a imprensa e, inclusive, acionar autoridades policiais.
Outro ponto debatido no encontro foi sobre qual entidade externa deve ser a primeira contatada em caso de um ataque de ransomware – seguradora, advogados ou parceiros de negócios? A resposta para essa pergunta depende muito da seriedade do incidente.
Marcos Bruno enfatizou que um plano de reação a incidentes não visa prioritariamente defender a empresa, mas sim “defender aqueles que podem ter sido afetados pelo incidente, sejam eles pessoas físicas ou jurídicas”. Aliás, dada a proliferação dos casos recentes de ransomware, atingindo não somente a companhias privadas, mas também órgãos públicos, a qualidade dessa reação é o fator mais decisivo para preservar a imagem de uma empresa.
Ao final do encontro, os especialistas comentaram recomendações básicas para aumentar a segurança digital de uma empresa. Dicas como manter um backup atualizado, segregar sistemas de forma a impedir que um único malware acesse todo o banco de dados, treinar colaboradores para minimizar o risco do phishing, ou ainda manter um plano atualizado de resposta a incidentes foram elencadas pelo painel como providências que reduzem o risco de ataques virtuais.
O encontro foi primeiro em uma série de três webinars educativos promovidos pela Kroll. Os eventos estarão centrados no tema dos riscos cibernéticos para o universo corporativo.