Corporativa

4 Lições e 7 Perguntas sobre o Ataque de Ransomware

Lições a tomar com o ataque WannaCry

Em todo o mundo, centenas de milhares de usuários de computadores foram surpreendidos com uma tela vermelha exigindo, em letras vermelhas, um pagamento de até US$ 600 em bitcoins para seu desbloqueio.

Essas pessoas haviam sido vítimas do vírus Ransomware WannaCry, que bloqueou mais de 200.000 computadores em mais de 150 países no dia 12 de maio de 2017.

Apesar do vírus WannaCry inicial ter sido parcialmente removido após alguns dias, a extensão total do dano permanece um mistério. Além disso, existe um temor que uma segunda onda do vírus ransomware possa estar a caminho.

“As características de worm do vírus WannaCry e sua alta capacidade de propagação em toda uma organização torna esse ransomware particularmente perigoso”, explica Ed Stroz, Co-Presidente da Stroz Friedberg, uma Empresa Aon.

“O malware se espalha a partir do computador infectado buscando informações de outros computadores e sistemas em rede e através da internet, infectando as máquinas conectadas, através da mesma vulnerabilidade, tudo isso sem interferência do usuário.

“Basicamente, basta apenas um usuário infectado na rede para colocar toda a organização em risco.”

Um fato que pode explicar a velocidade e relativo sucesso do vírus WannaCry é a natureza intrincada e Bizantina das redes modernas.

“Um dos desafios em ambiente de rede é sua alta complexidade”, afirma Jim Trainor, Vice-Presidente Sênior da Aon Risk Solutions e ex-Diretor Assistente da Divisão de Informática do FBI em Washington, DC.

“Alguns códigos maliciosos se aproveitam e exploram a infraestrutura tanto de dentro quanto de fora dos Estados Unidos. Diversos grupos que conduzem essas atividades criminosas não residem nos EUA. Isso torna o desafio ainda mais difícil para o governo e para as empresas, uma vez que os autores não residem nos locais em que operam.”

 

Com o risco cibernético em ascensão e com uma crescente preocupação com a interrupção dos negócios, quais as principais lições que as organizações podem aprender com o incidente WannaCry?

ANÁLISE

Lição 1: A Real Ameaça do Ransomware não é o Resgate em Si Embora algumas empresas tenham tido o impulso de pagar os US$300 para desbloquear suas máquinas, isso poderia não apenas estimular novos ataques mas também tornar suas apólices de seguro sem valor. Além disso, os riscos financeiros se espalham com uma amplitude que vai além do próprio resgate.

“Está sendo dada muita atenção apenas no valor do resgate”, afirma Kevin Kalinich, Líder de Global Practice, da divisão Network Risk/ Cyber Insurance da Aon. “A questão é mais sobre o impacto financeiro da interrupção do negócio e os custos com a recuperação dos sistemas. A cobertura contra extorsão cibernética não significa necessariamente uma cobertura contra interrupção dos negócios e despesas extra – trata-se de categorias separadas.”

 A empresa de modelagem de risco cibernético da Costa Oeste, a Cyence, estimou o custo médio individual do resgate dos ataques de sexta-feira em US$300, e o custo financeiro total decorrente da interrupção dos negócios em US$ 4 bi. A U.S. Cyber Consequences Unit, um instituto de pesquisa sem fins lucrativos que assessora governos e empresas sobre custos de ataques cibernéticos, estimou perdas totais mais modestas, de até US$ 1 bi.

“Para um hospital que recusa pacientes, ou para uma empresa de entregas mundiais impedida de enviar um pacote ou para uma empresa de telecomunicações da Espanha, Rússia ou China, o impacto financeiro da interrupção do negócio é muito maior do que o resgate de US$300”, afirmou Kalinich à Reuters.

Com muito mais em jogo do que algumas centenas de dólares, as organizações precisam levar essa questão do ransomware muito mais a sério. Com os ataques de ransomware tornando-se mais comuns – até 300% em 2016, com uma média de 4.000 ataques por dia apenas nos EUA, de acordo com o Departamento de Justiça dos EUA – a ameaça está aumentando.

 

Lição 2:  Compreender as Coberturas das Apólices de Seguro Uma apólice de seguro típica contra ataques cibernéticos protege as empresas contra a extorsão, incluindo ataques de ransomware. Porém, de modo bastante preocupante, a maioria das organizações fora dos EUA ainda não possui essa cobertura.

Aproximadamente nove entre 10 apólices contra ataques cibernéticos no mundo estão nos EUA – em parte devido à maior aptidão para litígios nos Estados Unidos e à violação das leis de notificação, impondo maior responsabilidade às organizações. O futuro Regulamento Geral de Proteção de Dados da União Europeia (GDPR), a ser implementado em Maio de 2018, provavelmente aumentará a disseminação da cobertura contra ataques cibernéticos na Europa – ainda assim, as seguradoras da UE ainda estão atrasadas.

A apólice também pode cobrir outros custos associados a um ataque cibernético, incluindo o custo de notificação daqueles cujos dados foram violados, com a contratação de uma agência de Relações Públicas para tratar dos danos à reputação e para o monitoramento de crédito para os órgãos afetados, bem como possíveis ações legais.

“Interrupção dos negócios, custos especializados, perda de produtividade e potencial responsabilidade de terceiros também podem ser cobertos por essas apólices”, afirma Kalinich.

 Atualmente, no entanto, a maioria das empresas fora dos EUA não possui essa proteção – o que pode ser uma excelente razão para minimizar o impacto e o custo de uma ocorrência, bem como uma fonte de suporte e expertise na medida em que as seguradoras avaliam com seus clientes os modos de mitigação do risco cibernético.

Lição 3: Pensar de Forma Holística a Cobertura do Seguro Contra Ataque Cibernético

O seguro não significa uma solução para qualquer risco, sendo essencial que os segurados compreendam as limitações de suas apólices. Muitas apólices oferecem uma franquia superior a US$ 300, assim, o próprio pagamento do resgate do WannaCry não seria coberto.

Mesmo havendo garantias de cobertura adequadas, é importante que os segurados compreendam suas limitações.

“Se o pagamento do resgate cibernético estiver coberto pela seguradora, esta deverá ser notificada antes do pagamento, caso contrário, o resgate poderá será excluído da cobertura. Algumas apólices também exigem que o segurado entre em contato com as autoridades competentes antes de pagar o resgate”, explica Kalinich.

“Mesmo se o pagamento do ransomware estiver abaixo da franquia, se a cláusula de “Notificação” ou “Cooperação” exigir a participação da seguradora, a cobertura será anulada com o pagamento do resgate.”

Muitas seguradoras também aplicam a restrição “falha de patch”, como a Chubb. Isso significa que, se uma falha nas defesas de um sistema for identificada e um software “patch” (emenda) for utilizado para cobrir essa vulnerabilidade, e uma organização não a instalou, toda e qualquer cobertura contra os danos seria perdida.

A vulnerabilidade que permitiu o ataque WannaCry foi identificada e um patch da Microsoft foi implementado em março de 2017. As organizações que não atualizaram seus sistemas com esse patch poderiam ter suas coberturas anuladas nesse caso. Além disso, as organizações que fazem uso de software “pirata”, fato mais comum na Rússia e na Ásia, também poderão ter sua cobertura anulada.

Compreender a extensão de sua cobertura significa pensar sobre o seguro de forma holística, e não como uma solução somente pontual. “Analise sua cobertura de modo global, e de modo individual”, recomenda Kalinich. “Avaliar todas as vulnerabilidades e opções de transferência de risco de forma conjunta é a melhor maneira de garantir a cobertura total.”

Lição 4: Elaborar as Melhores Respostas Contra Violações

Além das implicações financeiras e das limitações do seguro, o ataque do vírus WannaCry obrigou as organizações a tomar uma série de decisões difíceis. Entre elas: pagar o resgate ou não; como avaliar a situação de forma abrangente e corrigir os danos; quem deve participar desse processo e quais ações podem ser necessárias para atender as leis locais.

É importante lembrar que as ações que as empresas tomam em resposta a tais ataques de ransomware podem ter consequências duradouras, sejam financeiras, legais ou de reputação.

Apesar do ímpeto de agir imediatamente em resposta a ameaças como o WannaCry, é recomendável aos segurados que compreendam e atendam a cláusula de cooperação da seguradora (que exige que o segurado trabalhe em parceria com a seguradora) e com os termos de notificação (que descrevem a comunicação entre a seguradora e o segurado em caso de perda) de suas apólices, para garantir o direito à cobertura.

“Mesmo que o pagamento do resgate esteja no limite para o valor coberto pelo seguro, a cláusula de cooperação exige que o segurado envolva a seguradora em decisões que possam afetar os termos do seguro”, explica Kalinich.

Além de saber como proceder com as seguradoras, é importante que as organizações criem processos que ajudem a lidar com incidentes em tempo real.

A preparação antecipada de um plano interno de resposta a incidentes com foco em ataques cibernéticos está diretamente relacionada a um menor custo total.

Um sistema de backup adequado permite que as organizações continuem a operar, mesmo após uma ocorrência com malware.

“No que diz respeito à proteção dos negócios, sempre é possível melhorar e reduzir o perfil de risco”, afirma Trainor. “Apesar de não ser possível eliminar completamente um risco, é possível tornar-se um alvo desafiante para os programas maliciosos.”

A execução periódica de simulações de segurança, com a designação de uma equipe de emergência – selecionada para avaliar as condições de execução da organização – pode auxiliar a melhorar a tomada de decisão executiva, a comunicação e a conscientização e responsabilidade corporativa, sem exposição a uma ameaça real.

Desenvolver esse tipo de resiliência nas organizações é essencial, pois ataques cibernéticos, como o WannaCry, estão se tornando mais comuns.


7 Questões Relacionadas ao Vírus WannaCry

Especialistas da assessoria de risco cibernético da Aon, Stroz Friedberg, elaboraram uma série de questões que as organizações devem se perguntar para que possam avaliar suas vulnerabilidades e se prepararem contra ataques cibernéticos:

  • Quando foi a última vez que a empresa analisou o programa de gerenciamento de patches? Como estão seus planos de recuperação de desastres e continuidade de negócios?
  • Você consegue identificar onde estão armazenados seus dados críticos de missão e se backups periódicos estão sendo realizados?
  • Sua apólice de seguro oferece cobertura contra ataques cibernéticos? Você tomou as medidas necessárias para garantir o direito de acionar a seguradora na eventualidade de sua empresa ser afetada?
  • Você já divulgou aos seus funcionários as últimas técnicas de phishing e engenharia social?
  • Existe um plano de resposta a incidentes e, caso positivo, foi testado recentemente para que todos saibam o que fazer em caso de ataque?
  • Os controles técnicos e processuais necessários estão em vigor e funcionando corretamente?
  • Sua atitude de segurança foi recentemente avaliada e, caso positivo, você participou dos resultados?

 

PONTOS DE DISCUSSÃO

“Na medida em que os crimes cibernéticos se tornam cada vez mais sofisticados, simplesmente não há maneira dos clientes se protegerem contra ameaças, a menos que atualizem seus sistemas. Caso não o façam, seria como se combatessem problemas do presente com ferramentas do passado. O ataque ocorrido foi um duro lembrete que os princípios básicos da tecnologia da informação, tais como manter os computadores atualizados e protegidos, ainda são de grande responsabilidade para todos, e que deve ser acompanhado de perto pelas esferas superiores.” – Brad Smith, Presidente e Chefe Jurídico da Microsoft

“O alcance global [do malware WannaCry] não possui precedentes. A contagem mais recente é de mais de 200.000 vítimas em pelo menos 150 países, e entre elas muitas empresas, incluindo grandes corporações … Estamos diante de uma ameaça crescente, e os números ainda podem aumentar. Conduzimos aproximadamente 200 operações

mundiais a cada ano contra os ataques cibernéticos a cada ano, e nunca vimos nada parecido.” – Rob Wainright, Diretor da Europol

Rafael Mota

*Tech/creator do Inteligência Móvel (IM) * Nerd/geek (Pete Mineiro ⛏ da Cavalaria Geek). * r.mota@inteligenciamovel.com.br