O que fazer caso sua empresa sofra um ataque cibernético?

É esse plano de ação que vai orientar todo o passo a passo no momento em que um ataque é identificado, para que a resposta seja a mais rápida possível. “Uma vez que um ataque acontece, e estamos falando principalmente de ataques de ransomware, o que é imprescindível? Restabelecer a operação o quanto antes. Sem um plano, a empresa demora muito mais a se restabelecer, acumulando problemas financeiros, reputacionais e de infraestrutura”, diz Vanessa Fonseca, diretora da área de Security Consulting da Accenture.

“Quanto custa seu ambiente parado?”, provoca Leidivino Natal, CEO da Stefanini Rafael, sobre a pergunta que a liderança deve se fazer para esquadrinhar um plano de segurança adequado para o próprio negócio.

A seguir, listamos as recomendações dos especialistas sobre os itens fundamentais que precisam fazer parte desse plano.

1. Antes de tudo, desconectar

A primeira ação ao se detectar um ataque em curso é cortar totalmente o acesso de todas as máquinas à internet, inclusive dispositivos como impressoras e aparelhos conectados à Internet das Coisas. “Isso para evitar o comando e controle do atacante no sistema. Mas não é recomendável desligar as máquinas, porque o passo seguinte à contenção do ataque é realizar a análise forense e buscar os rastros, que podem se perder quando se desligam os equipamentos”, diz Vanessa.

2. Quem declara o ataque?

Um plano de resposta já traz a definição de quem é o profissional encarregado de declarar o incidente, de colocar o plano em prática e de ser a maior autoridade durante sua execução, fazendo, inclusive, a interlocução com a alta gestão. “É o CISO (Chief Information Security Officer)? É o CIO (Chief Information Officer)? O CRO (Chief Risk Officer)? É como em caso de incêndio: você precisa saber de antemão quem são os brigadistas”, diz Vanessa. Para estruturas organizacionais mais enxutas, também é recomendado contar com bons fornecedores de tecnologia a quem se possa recorrer para responder a um incidente – hoje há muitas empresas especializadas em analisar, mitigar e restabelecer a operação após um ataque.

3. Salas de guerra

Uma vez declarado o incidente, essa pessoa também vai formar as salas de guerra responsáveis por fazer a contenção do ataque, a correção das vulnerabilidades, a análise forense e o restabelecimento dos sistemas. Essas equipes multidisciplinares são, geralmente, formadas por profissionais internos, de consultorias, das empresas de tecnologia que atendem a empresa e até de operadoras de seguro cibernético.

Uma das salas é a executiva, com profissionais das áreas de negócio envolvidas na resposta aos stakeholders, como, por exemplo, o jurídico, a comunicação e o DPO (Data Protection Officer). São eles que vão gerir a resposta às agências reguladoras, quando for o caso, à Autoridade Nacional de Proteção de Dados (saiba mais sobre os impactos da LGPD na cibersegurança), ao mercado e aos consumidores.

Outra sala é formada pelos “hackers do bem”, especialistas técnicos que atuam tecnicamente para interromper o ataque, pesquisar rastros, mapear o impacto nas aplicações e na infraestrutura, fechar os acessos e restabelecer os sistemas. “É fazer a sanitização: fechar os buracos e garantir que as paredes estão de volta no lugar”, diz Vanessa.

Uma terceira sala se dedica à análise forense, usando técnicas para investigar os rastros e ajudar a desenhar o plano pós-ataque a ser apresentado à alta gestão, ou seja, no que é preciso investir para que o mesmo ataque não aconteça novamente. “Quem conhece hacker é hacker. Precisamos deles para analisar os caminhos que o atacante fez e fechar tudo antes de subir o ambiente, senão ele vai atacar de novo”, explica Natal.

Essa configuração de salas de guerra pode variar conforme a definição feita no plano de resposta, mas é importante avaliar as especialidades. “Uma sala analisa a anatomia do ataque; outra, os danos nos ambientes afetados; e outra faz o plano de recuperação”, sugere Natal. “O time que restabelece o sistema não é o mesmo que está fazendo a investigação, e o time que olha os números dos ativos não pode ser o mesmo que está procurando os caminhos dos ataques”, recomenda. Todas as equipes se comunicam em checkpoints regulares.

4. Priorização

Essas salas de guerra vão trabalhar com base em uma priorização pré-definida. “Qual é a aplicação mais importante? Qual é a regra a ser seguida? Isso precisa estar previsto no plano, senão as lideranças todas batem à porta, cada uma com sua prioridade”, alerta Vanessa. Vale citar que é nesse contexto que ficam expostos os problemas relacionados à política de cópias de segurança. Afinal, é nesse momento que um gestor pode precisar decidir entre pagar um resgate ou perder vários dias de informações – em função de um intervalo muito grande entre os backups ou de falhas no processo, por exemplo.

5. Turnos de trabalho

A resposta a um incidente pode levar semanas, até meses. Por isso, é importante definir turnos de trabalho dos profissionais envolvidos. “Não se pode subestimar o ataque e presumir que tudo vai se resolver em um ou dois dias”, aconselha Vanessa. Pular etapas e pressionar a equipe a colocar os ambientes para funcionar rapidamente também pode não ser uma boa ideia. Afinal, acelerar o processo pode trazer fragilidades e deixar, mais uma vez, as portas abertas para novos ataques.

6. Suporte psicológico

Esse item não é uma regra geral, mas Natal relata que algumas consultorias oferecem suporte psicológico para o time de segurança durante o plano de resposta a incidente. “É preciso entender e cuidar da saúde mental dessas pessoas nesse momento, porque a pressão aumenta absurdamente”, diz.

7. E o resgate?

Algumas consultorias fazem o apoio na comunicação e negociação do pedido de resgate com os atacantes. Mas a recomendação geral é não fazer o pagamento. “Não há garantia de que o atacante vai devolver o ambiente, nem de que já não está vendendo seus dados na dark web. Se você sabe que pode restabelecer o ambiente, você não precisa pagar e alimentar a indústria por trás desses ataques”, diz Natal.

No caso de dupla extorsão, também é possível envolver as autoridades. “Se há extorsão, o melhor é envolver a polícia e as delegacias de assuntos eletrônicos, que podem participar da negociação e orientar, além de apoiar a análise forense junto com a equipe de investigação”, complementa.

Especial Cibersegurança

Promover conhecimento e compartilhar boas práticas para ajudar as organizações a reduzirem os riscos relacionados à segurança é o objetivo deste especial “Cibersegurança”, produzido com o apoio da Microsoft e que contará com dezenas de reportagens, vídeos e podcasts sobre o tema.

Na reportagem 7 passos para manter sua empresa em segurança, compartilhamos boas práticas para detectar e remediar atividades suspeitas antes que se tornem um incidente. Além disso, também mostramos, neste material, como uma abordagem integrada e de a ponta a ponta, conduzida por uma equipe de segurança mais preditiva, proativa e preventiva, pode contribuir para operações de segurança mais eficientes.