Cinco dicas essenciais para lidar com ransomware

Você deve ter percebido que ataques de ransomware e incidentes de segurança da informação, como vazamentos de dados pessoais, têm crescido vertiginosamente e ganhado espaço frequente nos meios de comunicação. A cada semana que passa, um ou mais eventos dessa natureza se tornam pautas de matérias de jornais, revistas, rádio e televisão.

Listo, abaixo, cinco dicas essenciais para organizações que acabaram de sofrer um ataque cibernético ou incidente de segurança, ou para organizações que desejam se preparar melhor para quando tiverem que enfrentar situações dessa natureza.

Não se engane com aquele discurso de que "isso nunca acontecerá com a nossa empresa". Um incidente de segurança não é uma questão de "se", é uma questão de "quando".

1) Time is of the essence
Para uma resposta adequada a um ataque de ransomware ou um incidente de segurança, todo segundo conta. Quanto mais o tempo passa sem que determinadas condutas sejam tomadas, mais difícil se torna resolver o problema com efetividade. Time is money. Time is of the essence.

Não é incomum receber ligações de clientes dizendo que tiverem um incidente há uns 30 dias e que não acharam que era nada relevante, de modo que até aquele momento pouca coisa tinha sido feita além de uma aferição inicial pelo próprio time de SI da organização, mas que agora o evento tinha sido noticiado em algum blog e algumas pessoas do time começaram a ficar preocupadas.

Há duas razões centrais pelas quais o tempo urge em casos como esse:

1) Os prazos para o envio de notificações a terceiros (como a Autoridade Nacional de Proteção de Dados) são geralmente curtos, de pouco mais de alguns dias, e a demora na comunicação pode ser considerada como agravante de eventual violação às normas vigentes ou como justificativa para a adoção de medidas mais enérgicas por respectivos terceiros;

2) Em ataques de ransomware, os atacantes normalmente pressionam suas vítimas com gatilhos de urgência, como "se você não pagar o resgate em dois dias, o preço dobrará" ou "se você não entrar em contato conosco até amanhã, vazaremos uma parte dos dados que obtivemos da sua organização em nosso blog".

Em qualquer um desses cenários, cada segundo perdido significa, na prática, custos maiores para a reparação do problema.

Por isso, tão logo um ataque de ransomware (ou um incidente) seja detectado, é fundamental informar à diretoria (e ao conselho de administração, quando aplicável) acerca do evento, bem como acionar assessores externos que auxiliarão a organização durante a resposta ao evento.

2) Tenha ajuda externa
Não importa o tamanho da sua organização, nem a proficiência dos seus times internos: quando um ataque de ransomware acontece é essencial contar com suporte de assessores externos, tanto jurídicos quanto técnicos.

Isso porque, exceto na hipótese de a sua organização já ter passado por um incidente anteriormente, os assessores externos terão mais experiência prática na vivência de eventos desse tipo. E experiência, nessa hora, conta muito.

Imagine o seguinte cenário: você é um oftalmologista renomado. Caso você sinta dores súbitas e intensas na região torácica, você se automedicará ou procurará um cardiologista? A resposta parece óbvia. Por mais que você também seja médico, é importante contar com a expertise de um terceiro, com especialidade naquele tema específico e vivência na resolução daquele problema.

Além disso, a verdade é que as equipes internas das organizações estão no olho do furacão em situações de crise. São tantas providências que precisam ser tomadas que os times geralmente ficam perdidos, estão esgotados em razão da enorme pressão do incidente e dificilmente terão a cabeça fria para tomar decisões críticas. No calor do momento, uma escolha ruim como "deixa que eu mesmo falo com o atacante", pode por tudo a perder.

Mais do que isso, o suporte de consultores externos garante maior independência para as conclusões que serão necessárias durante a resposta ao incidente. Em especial, a investigação forense do evento é uma das etapas cruciais para a adequada solução da situação e que, caso seja conduzida internamente, pode ser cercada de questionamentos sobre a sua imparcialidade. Em muitos cenários, a equipe interna da organização sequer sabe o que procurar durante a investigação do ataque, deixando passar elementos que seriam facilmente percebidos por terceiros especializados na condução de investigações forenses.

Sim, existe um custo adicional na contratação de assessores externos, que possivelmente será significativo. Ainda assim, esse custo é normalmente muito inferior aos prejuízos que podem ser ocasionados quando a organização decide resolver a situação "com suas próprias mãos".

Outro aspecto relevante é já ter mapeado preventivamente quais serão os consultores externos a serem acionados em caso de um ataque de ransomware ou um incidente de segurança. Perder tempo fazendo uma concorrência para a contratação ou passando pela burocracia de procurement durante o incidente resulta, inevitavelmente, em perda de eficiência na resposta.

Se você ainda não sabe para quais assessores técnicos e jurídicos ligará quando um ataque de ransomware for anunciado, aconselho fortemente que você pare de ler este texto agora mesmo e resolva esse ponto.

3) O início não é o começo
Engana-se quem acha que um ataque de ransomware tem início quando os arquivos são criptografados e um dos colaboradores da organização encontra uma nota de resgate com informações sobre como recuperar o acesso aos dados.

Em geral, o ataque começa muito antes desse momento "inicial" de detecção. Em alguns casos que trabalhei, foram encontradas evidências que demonstravam que os atacantes já tinham obtido acesso às redes de uma organização diversos meses antes de criptografarem os arquivos.

Nos ataques que envolvem exfiltração de dados, esse aspecto é ainda mais comum. Os atacantes ficam semanas ou meses buscando formas de obter acesso a um número maior de informações ou a dados mais relevantes, utilizando técnicas de movimentação lateral e de escalação de privilégios.

Depois de obtidos privilégios de administrador de sistemas, as transferências externas são realizadas aos poucos, em volumes que não chamem atenção e que tenham condições de passar despercebidos, por estarem dentro da média da volumetria de dados que são trafegados da organização para endereços externos rotineiramente.

Para que um ataque possa ser adequadamente investigado, é fundamental que a organização guarde logs de forma apropriada e por períodos razoáveis. A adoção de um Siem pode ser medida extremamente benéfica nesse aspecto.

Portanto, limitar a investigação do incidente ao dia do anúncio do ataque, ou somente a alguns dias antes dessa data, é imprudente e pode levar a conclusões erradas.

4) 'Se não notificarmos, não acontecerá nada'
É óbvio que nenhuma organização gosta de notificar à Autoridade Nacional de Proteção de Dados ou a outros órgãos reguladores acerca da ocorrência de um incidente de segurança ou de um ataque de ransomware.

A notificação, naturalmente, resultará na instauração de um processo administrativo no âmbito da ANPD, no qual provavelmente será necessário fornecer informações e documentos que forem solicitados pela Autoridade e que, posteriormente, poderá culminar na lavratura de um auto de infração.

Ainda assim, imaginar que é melhor não notificar, mesmo quando presentes os requisitos para tanto, previstos no artigo 48 da LGPD, é mera ilusão.

Nos tempos atuais, é raro que um ataque de ransomware não seja noticiado em algum meio de comunicação, seja em grandes jornais, seja em blogs especializados. A partir do momento em que o ataque se torna público, tem sido praxe que a ANPD envie um ofício à organização afetada, questionando sobre o ataque e pedindo explicações sobre as razões pelas quais o incidente não foi notificado à Autoridade.

Nesses cenários, perde-se a possibilidade de se argumentar que a organização atuou de boa-fé e com espírito de cooperação, aspectos atenuantes a eventual sanção que seja aplicada, estipulados nos incisos do §1º do artigo 52 da LGPD.

Pelo contrário, a ausência de cooperação e de boa-fé do infrator são critérios que certamente serão levados em consideração pela Autoridade Nacional de Proteção de Dados e por outros órgãos reguladores quando da avaliação do caso concreto e da decisão acerca da imposição de uma sanção.

Portanto, quando for constatado que os requisitos do artigo 48 da LGPD estão preenchidos, deixar de comunicar à ANPD e aos titulares de dados envolvidos só provocará maiores prejuízos à organização.

Vale lembrar que não são somente a ANPD e os titulares que normalmente precisam ser comunicados acerca de eventual incidente de segurança, inclusive ataques de ransomware. Muitos dos contratos que a sua organização firma com terceiros possivelmente contêm cláusulas de proteção de dados que impõem obrigações de comunicação de incidentes de segurança em prazos exíguos, sob pena de possível rescisão contratual.

5) Documentar, documentar, documentar
Nos casos em que a decisão da organização for a de não comunicar à ANPD e aos titulares acerca do evento, por entender que não foi identificado risco ou dano relevante aos titulares, é fundamental que respectiva decisão seja documentada, incluindo o racional que levou até a decisão.

Em razão do princípio da responsabilização e prestação de contas previsto no artigo 6º, X, da LGPD, é dever da organização adotar medidas para demonstrar sua conformidade com a legislação.

Nesse sentido, não basta deixar de comunicar o ataque sob a premissa de que não havia risco ou dano relevante aos titulares. É de rigor documentar que a organização refletiu seriamente sobre o tema, avaliando as características do ataque e os riscos relacionados, tomando uma decisão ponderada acerca do evento e da desnecessidade de comunicação à ANPD e aos titulares.

Caso o incidente chegue ao conhecimento da ANPD, certamente a Autoridade cobrará explicações sobre a razão pela qual não foi comunicada anteriormente, exigindo que sejam apresentados registros documentais acerca da decisão que foi tomada e dos motivos que embasaram respectiva decisão.

A sugestão de produzir documentação não serve somente para a decisão acerca de comunicar ou não o evento à Autoridade Nacional de Proteção de Dados. Todas as decisões relevantes que forem tomadas em relação ao evento (como realizar um boletim de ocorrência ou realizar ou não o pagamento de um pedido de resgate) também deveriam ser documentadas, especialmente quando a organização for uma companhia aberta, cujos diretores e membros do conselho de administração precisem comprovar que tomaram uma decisão desinteressada, refletida e informada, no melhor interesse da companhia e de seus acionistas.

Para finalizar: pense no pior cenário
Um ataque de ransomware, nos dias de hoje, está muito longe de se limitar a criptografar os arquivos de uma organização, impedindo que eles sejam acessados sem a chave criptográfica, que somente é entregue mediante o pagamento de um resgate.

Via de regra, os ataques atuais envolvem várias formas de extorsão distintas. Tem sido comum que antes de criptografar os arquivos, os criminosos façam cópias de todos (ou de boa parte) dos arquivos que tenham conseguido acessar, e que ameacem vazar ou vender essas informações na dark web caso o pagamento do resgate não seja realizado.

Outras formas de extorsão cada vez mais comum são ameaçar acionar a imprensa, para que o evento ganhe cobertura, ou ameaçar entrar em contato com parceiros comerciais, fornecedores e clientes, tudo no sentido de aumentar a pressão na vítima para que o resgate seja pago.

Por isso, antes que você seja vítima de um ataque de ransomware, é crucial fazer um exercício mental e imaginar qual seria o pior cenário para a sua organização caso um ataque acontecesse na data de hoje?

Considere as seguintes variáveis, entre tantas outras que podem existir a depender do caso concreto: 1) se todos os nossos arquivos forem criptografados, nós temos backups recentes, que tenham sido testados, e que certamente não seriam afetados por estarem segregados, que nos possibilite recuperar os arquivos criptografados?; 2) caso existam backups funcionais, quanto tempo nós levaríamos para restaurar todos os nossos sistemas e dispositivos? Nós temos condições de sobreviver caso não tenhamos condições de operar durante esse período?; 3) caso os dados que nós temos armazenados sejam vazados, qual seria o impacto para a nossa operação?; 4) o que causa maior impacto na nossa organização: não conseguir recuperar todos os dados que tínhamos em razão do ataque ou ter informações vazadas/vendidas?

Pensar no pior cenário ajuda a, desde já, visualizar quais são as condutas que devem ser tomadas como precaução, antes mesmo que um ataque aconteça e a elaborar planos para o futuro. De nada adianta pensar nesse assunto só depois que o ataque ocorreu, quando já é tarde demais para remediar algumas fragilidades e as decisões se tornam menos flexíveis.

Além das dicas indicadas acima, há diversos outros pontos também fundamentais para a resposta adequada a um ataque de ransomware ou a um incidente de segurança, mas esses ficarão para um próximo artigo.