Cibercrimes – Até onde estamos inseguros?

Você está visualizando atualmente Cibercrimes – Até onde estamos inseguros?
(Imagem: Pixabay)

Por Anna Bastos

Não é de hoje que assistimos as invasões de hackers aos sistemas empresariais, todavia, ultimamente os ataques têm gerado maior preocupação e consideráveis prejuízos.

O exemplo mais recente é o da TV Record, que teve seu sistema invadido duas vezes em menos de uma semana. A emissora paulista teve seu sistema comprometido por um ransomware no último dia 08 de outubro e poucos dias depois o evento se repetiu com a utilização do vírus “BlackCat”. A ação afetou a programação e obrigou a empresa a adotar mudanças inesperadas, como a substituição de um telejornal no ar.

Segundo o site Tecmundo, antes do segundo ataque, a equipe de tecnologia da informação da Rede Record conseguiu recuperar os arquivos comprometidos por meio de um “espelho”, ou seja, a companhia possivelmente contou com um backup que permitiu reaver as informações que foram trancadas pelo ransomware.

Segundo fontes do meio jornalístico, o grupo criminoso solicitou o pagamento de aproximadamente R$ 25 milhões de reais, para encerrar a ação contra a emissora, sob a ameaça de que, caso o valor não fosse pago, os dados confidenciais da companhia seriam divulgados online, além de, ataques “DDoS” seriam lançados contra a infraestrutura da emissora.

A empresa não se pronunciou  oficialmente, mas estaria trabalhando com especialistas e a polícia para solucionar o caso.

Outro exemplo, não muito distante, de ataque por ransomware, teve como alvo a JBS. Em junho do ano passado, o CEO da empresa nos EUA, André Nogueira, admitiu que o grupo líder em carnes pagou resgate de U$ 11 milhões em Bitcoins, para ter de volta seu sistema que havia sido sequestrado pelos hackers naquele momento.

Embora esse tipo de ataque digital em uma emissora de TV aberta no Brasil seja inédito, grandes companhias de todo o mundo vêm reforçando a segurança digital para evitar esses incidentes.

E é aí o ponto mais importante:  Por onde começar? O que é mais importante observar e como agir? 

Plano de Resposta a Incidentes

Toda organização está suscetível a sofrer incidentes de segurança, seja por vazamentos de dados, erros operacionais, falhas humanas, ataques criminosos, dentre outros.

Não podemos esquecer também que a Pandemia da Covid 19 intensificou o trabalho remoto, com isso, houve o aumento do trabalho com máquinas locais em casa, que certamente trouxe novos cuidados a serem tomados, tais como controle de acesso aos sistemas coorporativos ou o controle de acesso à links suspeitos, principalmente quando a máquina é compartilhada com outros membros da casa.

E não apenas isso, nas próprias empresas, muitas vezes falhas relacionadas a todo o sistema operacional passam despercebidas, principalmente com relação à engenharia social, ou seja, informações que não poderiam ser vazadas acabam chegando para “terceiros”, facilitando o acesso de quem planeja um sequestro de dados.

Com o aumento da digitalização, a quantidade de ataques aumentou, de acordo com a empresa de segurança digital Kaspersky, durante a pandemia ocorreram mais do que o dobro de tentativas de ataques cibernéticos em comparação ao ano de 2019, considerados os dados até o mês de novembro de 2021. 

Segundo informações de outra organização de cibersegurança, a Apura Cyber Intelligence, ao menos 69 companhias brasileiras foram alvo de ataques de vazamento e sequestro de dados no primeiro semestre de 2021.

Pois bem, da mesma forma que os crimes aumentam, os esforços de segurança precisam ser intensificados, principalmente em cumprimento à Lei Geral de Proteção de Dados (LGPD).

Entre as exigências da Lei, está a de que o agente de tratamento de dados adote medidas de segurança, técnicas e administrativas que garantam a privacidade e segurança dos dados na ocorrência de qualquer incidente de segurança.

Uma dessas medidas é o Plano de resposta a incidentes (IRP), que possibilita a organização afetada agir rapidamente diante de uma situação adversa, minimizando riscos e prejuízos, tais como danos à reputação, sanções administrativas e até ações judiciais. O objetivo é prevenir, identificar e eliminar as ameaças cibernéticas, garantindo que ações de recuperação sejam tomadas o mais rápido possível, a fim de, minimizar eventuais danos ao negócio.

Segundo o profissional de TI, especialista em Cibersegurança, Marcus Paolo Sabino, é importante saber o que é um incidente, o que permite agir mais rápido quando ele for real – sendo que por incidente entende-se “qualquer situação que viole os três pilares da segurança da informação, são eles: a confidencialidade, a integridade e a disponibilidade da informação. Podemos citar como exemplos de incidentes de segurança o vazamento ou roubo de dados após invasão intencional; o acesso a dados por pessoas não autorizadas; a exposição de dados pessoais em sites, comunicados ou redes sociais (de forma acidental ou proposital); a perda de dados ocasionado por queda de energia, raios e outras catástrofes naturais; a alteração indevida de dados”, explica o especialista.

Assim, o Plano de Resposta a Incidentes é o documento formal que reúne as ferramentas e procedimentos que a empresa deve adotar para resolver problemas de segurança que possam surgir.

Importante ainda cumprir todas as fases do Plano:

1 – Prevenção – como estar preparado diante de um incidente;

2 – Análise e Contenção – levantamento das informações sobre o incidente e combatê-lo;

3 – Medidas Pós-Incidente – restabelecer ao estado anterior ao incidente e definir o que fazer para que os mesmos erros não ocorram novamente.

Cada uma dessas fases exige atenção máxima para não deixar passar nada despercebido, assim é primordial que o Plano de Resposta a Incidentes estabeleça previamente quem serão os membros da equipe de resposta, bem como as responsabilidades de cada um.

Quem gerencia os incidentes e coordena as ações que a empresa terá que tomar para identificar, detectar, analisar, conter e responder as ocorrências enquanto acontecem, ou após terem ocorrido.

O que nos leva à primeira fase, que deverá conter ações de prevenção à incidentes, tais como, capacitação do grupo com o conhecimento técnico para que cada um saiba como agir no momento oportuno e as tarefas atribuídas à medida que uma crise acontece.

Também é fundamental que todos os colaboradores recebam treinamento para que tenham ao menos uma compreensão básica sobre os procedimentos de segurança e como relatar um incidente suspeito.

Na segunda fase passamos à análise do incidente que compreende a detecção da violação de dados e a verificação do máximo de informações sobre o evento, a questão é desvendar: como ocorreu; quando; quem e como descobriu; quais sistemas e dados foram afetados; se possui correlação com outro incidente; os impactos.

Levantadas as informações será necessário classificar a criticidade do incidente e caso sejam identificados riscos altos aos titulares de dados, será preciso informar a ANPD e os titulares acerca da violação de dados pessoais.

Ainda na segunda fase ocorre a “contenção” em si do incidente, as ações para prontamente interromper a violação e limitar a extensão do ataque, envolvendo tarefas de curto e longo prazo.

A terceira fase concentra o foco nas medidas pós-incidente, em recuperar todos os sistemas e dados afetados e restabelecer o estado anterior ao incidente.

São necessários testes que vão garantir que o sistema retorne à normalidade, entre as ações que vão garantir os testes estão: Instalar os patches e atualizações nos sistemas de segurança, roteadores e firewalls; reinstalar sistemas operacionais de máquinas afetadas; alterar as senhas de usuários e administradores locais dos equipamentos afetados.

Essa fase se concentra na remoção completa da vulnerabilidade e nas providências necessárias para evitar que o problema se repita. É a revisão das permissões de acesso, a correção dos sistemas afetados até a completa restauração.

Relatório final do incidente – é o documento com todos os detalhes do incidente, das consequências e ações tomadas e como foi o processo de recuperação, incluindo os resultados da investigação; tempo de contenção e erradicação do incidente; se ainda existem potenciais vulnerabilidades; se é recomendada alguma ação mitigatória; se haverá necessidade de novos hardwares ou softwares; se serão necessários treinamentos; mudança de política e do próprio plano de resposta a incidentes e, por fim, o impacto financeiro, reputacional e operacional que o evento tenha causado.

Se faz necessário verificar quais efeitos o incidente causou e todos na companhia precisam ter o seguinte pensamento: “será que aprendemos a lição?” É fazer a análise crítica e avaliar se ainda é necessária mais alguma intervenção.

Em suma, o que vimos no exemplo da TV Record é apenas um entre tantos, e, sem pessimismo, os que ainda estão por vir,  por isso é seguro afirmar que todo cuidado é pouco, não somos o país com o maior número de ataques ou de vazamento de dados – atualmente ocupamos o 12º lugar ( segundo dados da empresa especializada em privacidade SurfShark).

O levantamento mostrou que, no início deste ano, dados diversos de 286 mil brasileiros ficaram expostos por meio de suas informações na internet. E não nos enganemos, os dados reforçam a lógica de que a fragilidade dessa exposição de dados de pessoas físicas alcançou o ambiente corporativo.

Falha humana ou técnica, o importante é a proteção dos dados, e aqui não se trata apenas de dados pessoais, mas sim de todas as informações que compõem o sistema de funcionamento da organização.

Investir em gestão e controle de acessos na empresa, em soluções tecnológicas e sistemas de segurança de dados,  seguir à risca a LGPD e investir em conscientizar e treinar colaboradores significa reduzir os riscos de ocorrência dos cibercrimes.

⠀⠀⠀⠀⠀⠀⠀⠀

Anna Bastos, Advogada – Direito Internacional e Compliance.

Deixe um comentário