Qual a pior hora para planejar-se contra um ataque? Depois de ser atacado

Imagine a seguinte situação: sua organização foi atingida por um catastrófico ataque de ransomware e a maioria dos sistemas de dados críticos que sua empresa precisa para funcionar – no nível mais básico – está off-line

ransomware-triade temproario

Kevin Magee (*)

Então, o CEO da empresa recebe um pedido de resgate, exigindo dinheiro. Se pagamento nenhum for efetuado, o ataque continuará indefinitivamente e a companhia poderá nunca recuperar o acesso a muitas (ou todas) as informações comprometidas.

Em decorrência a esse caso, o presidente convoca uma reunião de emergência do conselho de administração.

Presidente do conselho: “Apresento uma moção para instruir nosso CFO a transferir US$3,4 milhões em bitcoins, visando facilitar o pagamento do resgate para um usurpador desconhecido ou a organização criminosa que tomou o controle dos nossos sistemas críticos e paralisou completamente o funcionamento da companhia. Porém, não há garantias de que essa transferência de dinheiro nos permitirá reverter o dano”.

Alguém gostaria de apoiar essa moção?

Certamente, eu não gostaria.

Longe da ficção
Acredita que esse tipo de situação se limita apenas à ficção? Considere que, no início de 2016, o hospital Hollywood Presbyterian Medical Center, em Los Angeles, foi atacado por um malware que desligou o acesso de toda organização à e-mails, prontuários digitais, e alguns dispositivos médicos conectados à internet -- por aproximadamente duas semanas. Há quem diga que os hackers originalmente exigiram US$ 3,4 bilhões; e o hospital pagou, eventualmente, 40 bitcoins (aproximadamente US$16.9 mil) para ter os sistemas restaurados.

Apesar da situação que descrevi no início do texto ser ficcional, não é inconcebível que poderia acontecer com sua organização. Voltando ao início do texto, vamos dividir os tópicos do que este conselho ficcional de diretores precisa lidar:
1. Uma invasão catastrófica acaba de ocorrer e a organização está completamente quebrada. Emoções estão a flor da pele, na fronteira do pânico, e nenhum dos presentes jamais esteve em qualquer contexto ou experiência que pode ser aplicada para compreender a situação (e muito menos fornecer orientação estratégica e boa governança). Este é o pior estado possível para tomar uma decisão crítica sem algum tipo de plano em vigor para orientar o processo.
2. Ainda é possível transferir US$ 3,4 milhões em bitcoins? Quais os riscos associados a cumprir essa exigência? A organização conta com esse montante de dinheiro disponível imediatamente, caso decida pagar o resgate? Quais os efeitos da perda desses fundos a longo prazo na organização? Danos na credibilidade do consumidor? Diminuição de confiança em Wall Street? Possíveis processos?
3. O pagamento de resgate está dentro da lei?
4. Como alguém pode ter certeza que as pessoas exigindo resgate são de fato os responsáveis pelo ataque?
5. O que aconteceria se a organização pagasse o resgate e os cibercriminosos ainda não consertassem o problema? Pior ainda: se exigirem mais dinheiro?
Como poderia esse conselho, bem como o CEO e CFO ficcionais, possivelmente responder todas essas questões sob os ofuscantes holofotes midiáticos?
A resposta é que eles não podem e nem fariam.
E mesmo se a moção passasse, como exatamente poderia esses executivos implementar as diretrizes da diretoria?

Do pior para o melhor
Embora não haja maneiras de se preparar para cada cenário possível de ciberataque, o fato é que o pior momento para planejar uma resposta a uma violação de segurança é depois do ocorrido.
Com isso em mente, e sabendo que qualquer plano que desenvolvido possivelmente não vai sobreviver ao primeiro contato com um ataque no mundo real, ainda há uma série de coisas que você pode fazer para preparar sua organização. Para começar, é possível desenvolver um plano de resposta a incidentes hoje, enquanto há tempo para racionalmente pensar e testá-lo.

Existem poucas coisas a considerar quando desenvolver esse plano de contingência:
1. Treinar colaboradores: quando um empregado descobre uma violação, quem deve ser informado e quais as medidas imediatas? Lembre-se, nem todos os ataques são tão dramáticos como o exemplo descrito acima, e poderiam ser ignorados ou superestimados sem uma direção clara. As pessoas precisam ser treinadas em como reconhecer uma ocorrência ruim e direcionadas sobre quem falar e o que fazer nesses casos. O que poderia incluir também a segurança de ninguém “matará o mensageiro”, e que relatar um incidente não resultará em repercussões ou humilhações na internet.
2. Junte um time de contingência: quando o ataque é identificado, é importante ter um empregado devidamente preparado para acessar e implementar uma resposta coordenada. Essa equipe deve incluir representantes de todas as áreas da organização, e não apenas do departamento de TI -- como a equipe de Relações Públicas, Recursos Humanos, Gerenciamento de Fábrica, e entre outros. E lembre-se: o conselho de administração precisará dar suporte na coordenação e implementação dessa resposta.
3. Prepare um manual de crise: Esse documento deve conter um plano de notificação, uma relação de pessoas e instruções claras sobre o que deve ocorrer depois que um ataque é identificado. Também deve incluir os contatos legais, como representantes da Lei. Quem exatamente os empregados poderiam chamar? Qual a informação necessária para lidar com a situação? Essas discussões devem ocorrer antecipadamente e serem bem documentadas. Isso porquê pode acontecer de, enquanto os funcionários respondem ao incidente e tentam recuperar arquivos, eles podem inadvertidamente destruir provas que a polícia precisa para capturar o invasor. Como as equipes devem agir para atenuar o problema de imediato, sem inibir uma futura investigação criminal?
4. Listar os serviços de contingência como prioridade para uma violação: O melhor momento para negociar tarifas competitivas com fornecedores terceirizados de serviços de contingência de cibersegurança não é enquanto as informações da empresa estão sendo mantidas para resgate. É preciso tempo para desenvolver esses relacionamentos, estabelecer acordos legais e processos de aquisição relacionados a esses serviços. Depois de uma organização ter sido hackeada, não é o melhor momento para executar uma RFP.
5. Aplicar testes de rotina: Estabelecer um treinamento de preparação e cenários de prática com a equipe de contingência ajuda a identificar lacunas nos planos e na postura geral de segurança de uma organização. Isso deve incluir todos os níveis da organização, até o conselho de administração.
Embora não seja possível preparar-se para todas e quaisquer ameaças potenciais, ter um plano no lugar e rotineiramente testá-lo contra novos cenários (antes que o pior aconteça) é a sua melhor chance para evitar ou atenuar um ciberataque de outra forma devastador.

(*) É Regional Sales Director – Canada da Gigamon.

Cursos voltados para geeks e amantes de cultura nerd

Está acontecendo essa semana, em São Paulo, a Campus Party, o maior evento de tecnologia do país, que une jovens geeks em um festival de Inovação, Criatividade, Ciência, Empreendedorismo e Universo Digital. No evento, diversos tópicos relacionados à internet são tratados, inclusive, cursos online. O time brasileiro da Udemy, um marketplace global de aprendizado e ensino, selecionou alguns cursos que podem ajudar aqueles que querem aprender mais sobre tecnologia a entender o universo digital.

Criatividade:
A fotografia sempre foi uma das mais importantes formas de representação de arte. Com o desenvolvimento de equipamentos tecnológicos, é possível criar e capturar imagens nunca antes vistas. No passado eram necessárias câmeras profissionais, mas com a evolução de dispositivos móveis, é possível criar imagens incríveis de diversas maneiras. A Udemy possui um curso online de fotografia que ensina as pessoas como registrar imagens e vendê-las para aumentar sua renda como freelancer, sem importar se você está usando um smartphone ou uma câmera dslr com técnicas fantásticas. Para saber mais sobre como melhorar sua técnica fotográfica, adquirir clientes e ganhar mais dinheiro, acesse o link: https://www.udemy.com/photography-masterclass-your-complete-guide-to-photography/

Inovação:
Grandes empresas precisam de funcionários que protejam a segurança do sistema. Entender a importância de um Ethical Hacker profissional no mercado de trabalho é muito importante. É um estudante ou profissional de TI e quer começar seu negócio ou melhorar seu conhecimento de Ethical Hacking? Curioso sobre como fazer PenTests? Você quer aprender de uma vez por todas com um instrutor mestre em Sistemas da Informação (autor de 9 livros no Brasil)? Então acesse o link do curso Fundamentos de Ethical Hacking na Udemy e saiba mais: https://www.udemy.com/fundamentos-de-ethical-hacking/

Entretenimento Digital:
O Curso Completo do Desenvolvedor Android está entre os mais bem avaliados da Udemy. Tem muitas ideias para criar apps mas não sabe por onde começar? Ou está tentando iniciar uma carreira em desenvolvimento de aplicações em Java para Android? Esse curso ensina, de forma prática e em apenas 6 semanas, tudo que você precisa aprender para começar a desenvolver aplicações. O material é totalmente orientado por projetos e o aprendizado é baseado na criação de novos apps. Para saber como se inscrever e começar a aprender, acesse o link: https://www.udemy.com/curso-completo-do-desenvolvedor-android/

Ciência:
A certificação da ITIL® Foundation é a mais cresce a cada ano. Muitas vagas oferecidas para o mercado de TI pedem o certificado como pré-requisito em processos seletivos, e se você quer se destacar no mercado de trabalho e mostrar que você tem o conhecimento científico necessário, esse curso é uma opção excelente. Para garantir sua vaga e obter mais informações, acesse o site: https://www.udemy.com/preparatorio-para-certificacao-itil-foundation/

Pagamentos móveis: ...e quando a bateria acaba na hora do pagamento?

Ernesto Haikewitsch (*)

Não há dúvida de que, nos próximos anos, o smartphone irá cada vez mais substituir as carteiras convencionais, permitindo que compras e pagamentos de transportes públicos possam ser ainda mais fáceis e seguros, ao mesmo tempo que melhora a experiência bancária

Entretanto, enquanto isso ainda não é uma realidade, precisamos garantir que as carteiras móveis sejam realmente convenientes e aceitas em todos os lugares. O crescimento dos serviços móveis permitiu que usuários comecem a usar seus celulares para pagamento de transporte público, mas podemos ter problemas quando a bateria acaba durante o trajeto. Em Londres, por exemplo, alguns passageiros tiveram que pagar pesadas multas quando seus celulares “apagaram”, pois os sistemas do metrô londrino consideraram suas viagens como incompletas, gerando multas de quase 80 libras. Afinal, seus usuários não conseguiam provar o pagamento através do celular!
Por sorte, pelo menos um provedor de pagamentos móveis começou a tratar o problema, através de uma solução inovadora. O Vodafone Wallet já é um dos líderes em carteiras móveis NFC, apoiando pagamentos sem contato. Em parceria com a PayPal, está lançando um método de pagamento que sequer requer que o celular esteja ligado. É muito simples: tal qual um cartão bancário sem contato, o cartão NFC SIM no celular armazena, de forma segura, suas credenciais de pagamento e está conectado, de forma igualmente segura, ao chip NFC e à antena do celular, significando que ele pode ser utilizado para pagamentos mesmo quando o celular esteja desligado ou sem bateria. É, atualmente, o único serviço de pagamento móvel que oferece esta solução.
Enquanto o indicador de nível de bateria na tela do celular ainda é motivo máximo de stress e novas tecnologias ainda não solucionam este problema, as precauções no dia-a-dia permanecem as mesmas: ativar o “modo de pouca energia” no celular, ter sempre em mãos um (ou mais) carregador portátil e, claro, trazer o cabo e a tomada do celular (lembre-se de nossas tomadas – tropicais – de três pinos quando viajar ao exterior).
De qualquer forma, o mais relevante ainda é a segurança do pagamento móvel através do NFC, tão seguro quanto o pagamento com um cartão bancário com chip, do qual já estamos completamente ambientados. Esse tipo de pagamento reutiliza os mesmos mecanismos de segurança lógica e física de cartões com contato e oferece camadas adicionais de segurança endossadas pela maioria dos sistemas de redes de pagamentos. As principais características de segurança móvel NFC são os elementos seguros que armazenam a aplicação e dados confidenciais, certificados pelas autoridades de serviços financeiros. Além disso, as plataformas de gerenciamento remoto podem bloquear instantaneamente todas as aplicações móveis, da mesma forma que os cartões bancários podem ser bloqueados a qualquer momento, por solicitação do usuário.
A digitalização da carteira traz inúmeros benefícios, permitindo a seus usuários armazenar credenciais, informações de compra e programas de lealdade em um único e mais seguro local: o celular.

(*) É Diretor de Marketing para a América Latina, Gemalto.

 
 
 
 
Outras Matérias sobre Tecnologia

 

Mais Lidas