Fonte: Opice Blum, Bruno e Vainzof Advogados Associados
Em uma carta aberta enviada a executivos e líderes empresariais, a Casa Branca pede às empresas que tomem mais cuidado com ataques de ransomware. O documento menciona aumento desses ataques no mundo inteiro e alerta que nenhuma empresa está a salvo de sofrê-los.
Ainda segundo a carta, após os recentes episódios nos EUA, na Irlanda e na Alemanha, além de outros tantos ao redor do mundo, a constatação é que empresas que veem ransomware como uma ameaça às suas operações de negócios, em vez de apenas risco de “roubo” de dados, tendem a se recuperar de forma mais eficaz e rápida de um ataque.
Para isso, a Casa Branca recomenda que os executivos convoquem equipes de liderança para discutir ameaças de ransomware e analisar a postura de segurança corporativa, bem como os planos de continuidade do negócio, para garantir que possam restaurar rapidamente as operações.
O documento afirma, ainda, que o fortalecimento do país contra ameaças cibernéticas é uma das prioridades do presidente Joe Biden, enfatizando que o setor privado precisa somar esforços.
O que fazer para se proteger?
a) Manter backup off-line e protegido por encriptação;
b) Testar os backups com regularidade;
c) Ter plano de resposta a incidentes devidamente aprovado e treinado, que também contemple um plano de comunicação e notificação, especialmente envolvendo a ANPD (Autoridade Nacional de Proteção de Dados) e, quando cabível, o titular de dados;
d) Desenvolver um checklist de ações com medidas para correção de vulnerabilidades técnicas, treinamento e conscientização, bem como revisão dos riscos e das medidas mitigadoras junto a parceiros e prestadores de serviços. Incluir no checklist a implementação de boas práticas de segurança da informação, tais como regras para uso de senhas mais fortes; política e restrição de acesso; segmentação de rede para separar unidades de negócios; dentre outras.
A carta divulgada pela Casa Branca também enumera seis formas de uma empresa se precaver de ataques de ransomware:
- Implementação das cinco melhores práticas da Ordem Executiva do Presidente. O documento, assinado em maio por Joe Biden, define um padrão a ser seguido por todas as empresas que oferecem soluções de segurança ao governo;
- Realização de backup regular de dados. As empresas precisam se certificar de que os backups são testados regularmente e conectados à rede de negócios. Além disso, devem manter os backups off-line, como alternativa à restauração do sistema, em caso de ataque;
- Atualização e correção imediatas. Isso vale para melhorar a segurança dos sistemas, aplicativos e firmware;
- Simulação do plano de resposta a incidentes. Os testes servem para mostrar o nível de segurança, apontando, por exemplo, o tempo que a empresa é capaz de sustentar suas operações de negócios sem acesso a determinados sistemas;
- Verificação do trabalho da equipe de segurança. É necessário fazer testes para saber se a empresa é capaz de se defender de um ataque sofisticado;
- Segmentação das redes. É importante que as funções de negócios corporativos e operações de manufatura/produção sejam feitas em redes distintas, tendo ainda a opção de acesso filtrado e limitado à internet.
Vetores de infecção
Os ataques de ransomware acontecem, principalmente, por meio de “lacunas” no sistema das empresas, sendo necessária uma constante varredura para identificar e solucionar as vulnerabilidades. Outro ponto importante que deve ser observado é a configuração da área de trabalho remoto, uma vez que os criminosos obtêm geralmente acesso inicial por meio de uma rede exposta e mal protegida.
No caso do phishing, é recomendado à empresa, além de adotar filtros no gateway de e-mail, implementar, para os usuários, um programa de conscientização e treinamento voltado para segurança cibernética, a fim de mostrar como identificar e relatar atividades suspeitas ou incidentes.
Outro vetor de infecção de ransomware é o malware precursor, devendo a empresa se certificar de que a assinatura do software antivírus e antimalware esteja válida; usar a lista de permissões do diretório do aplicativo em todos os ativos para garantir que apenas o software autorizado possa ser executado; e considerar a implementação de um sistema de detecção de intrusão (IDS).
Por fim, é possível que os ataques de ransomware se efetivem a partir de terceiros e provedores de serviços gerenciados. Por isso, a orientação é que as empresas implementem uma gestão de risco para o controle do uso da rede por terceiros.
Detecção e análise
Após a certificação de que o sistema sofreu ataque de ransomware, são recomendadas as ações abaixo, de acordo com guia elaborado pela Agência de Segurança Cibernética e Infraestrutura (CISA), dos Estados Unidos.
- Determinar os sistemas afetados e isolar todos eles imediatamente;
- Desligar os dispositivos de rede somente nos casos em que não for possível desconectá-los;
- Fazer uma triagem de sistemas impactados para restauração e recuperação;
- Conversar com a equipe para desenvolver e documentar uma compreensão inicial do que ocorreu com base em análise inicial;
- Permitir que as equipes internas e externas, além das partes interessadas, tenham uma compreensão do que pode ser feito para mitigar, responder e se recuperar do incidente.
No entanto, se nada disso resolver o problema, a empresa deverá, ainda segundo a CISA, consultar as autoridades federais dos EUA, sobre possíveis decifradores disponíveis para casos norte-americanos.
Uma vez que o ambiente tenha sido totalmente limpo e reconstruído, é necessário que a empresa redefina suas senhas para todos os sistemas afetados, levando em consideração quaisquer vulnerabilidades existentes, o que pode incluir a aplicação de patches; atualização de software; e outras medidas de segurança e precaução não tomadas anteriormente.
Para mais informações, nossas equipes permanecem à disposição.
