Recentemente muitas notícias em grandes canais de comunicação estão alertando e apresentando diversas empresas que foram impactadas pelos malwares do tipo Ransom (resgate), que criptografam os arquivos das empresas e solicitam um valor a ser pago para o resgate. Gostaria, neste artigo, de apresentar alguns pontos de reflexão sobre o tema.
De forma bem didática, existe uma confusão quanto a forma de infecção deste malware. O primeiro ponto é que a maioria das empresas afetadas não foram “invadidas” no sentido que algum Cracker realizou um ataque direcionado à aquela empresa para criptografar os dados.
É utilizado o conceito de invasão, dentro da área de Segurança da Informação, quando uma empresa sofre um ataque planejado especificamente para aquela empresa, ou seja, o Cracker ou grupo de Crackers, estuda a empresa antes, realiza diversos levantamentos e direcionada um ataque específico para explorar alguma vulnerabilidade tecnológica ou não. Quando escrevo “tecnológica ou não” é porque o ataque pode ter sido originado por Engenharia Social.
A diferença é que nestes casos de invasão, o Cracker está buscando o acesso naquela empresa alvo. Já os malwares Ransom, e qualquer outro tipo demalware, trojan ou vírus são distribuídos, na sua grande maioria, de forma aleatória para milhares ou milhões de contas de e-mail de forma automática e utilizando as técnicas de Phishing (e-mail falso). Maiores detalhes dos conceitos de Phishing, acessar o artigo “Engenharia Social”.
Após está breve introdução entre as diferenças, gostaria de contribuir com alguns posicionamentos.
Boa parte das empresas e prefeituras impactas por este malware e que foram entrevistadas nos noticiários demonstraram baixo nível de maturidade em relação à Segurança da Informação. Se vocês, caros leitores, conhecem alguma empresa nesta situação de total indisponibilidade, analisem as seguintes perguntas:
- Existe na organização firewall controlando o tráfego de dados entre a empresa e o ambiente externo?
- Antivírus corporativo no ambiente, instalado em todos os equipamentos e atualizado?
- Restrição de categorias ou sites para navegação na Internet?
- AntiSpam eficiente no ambiente?
- Sistema de backup corporativo? Com estrutura física e lógica para garantir a integridade dos backups? O backup é feito de forma automática pelo software?
- Política de Segurança da Informação implementada de forma eficiente dentro da empresa? Todos os funcionários tiveram treinamento? Campanhas de conscientização?
- Normas específicas formalizadas para utilizar o e-mail corporativo? A Internet? O celular?
- Quais foram os últimos investimentos realizados em Segurança da Informação?
Enfim, poderia elencar várias outras perguntas, mas o grande objetivo é contextualizarmos o cenário atual das empresas em relação a Segurança da Informação. Afinal, se a informação é um dos bens mais valiosos e críticos, dentro de qualquer empresa, prefeitura, escola, governo, por que não a proteger?
O ponto chave é que nós, seres humanos, não fomos educados a viver nesta era do conhecimento e do compartilhamento de informações. Não fomos educados, pelo simples fato de que na época dos nossos pais não existiam Whatsapp, Twitter, Linkedin, Facebook, entre outros. Não criamos a cultura conhecida de “comportamento seguro”. Kevin Mitnick informou no seu livro que 40% do investimento em Segurança da Informação deveria ser destinado ao treinamento de funcionários e campanhas de conscientização, justamente porque o elo mais fraco da corrente é o ser humano.
Este comportamento seguro, entre eles, criar senhas complexas, realizar a troca periodicamente, não compartilhar a senha, detectar quando um e-mail é Phishing, não repassar uma informação interna para terceiros sem antes validar a origem do solicitante, entre outros, só é criado nas pessoas através da conscientização. A mudança de cultura em qualquer ambiente só ocorre se a pessoa entender que aquilo faz sentido para ela.
Hoje em dia, as empresas não podem mais trabalhar somente de forma reativa quando o assunto é Segurança da Informação, visto que um incidente poderá impactar toda a organização e os impactos serão em todas as vertentes (financeiro, imagem, reputação, credibilidade, contratos, obrigações legais e fiscais, entre outros).
Vale reforçar que o apetite pelo risco, ou seja, a decisão de aceitar ou mitigar os riscos envolvidos, deve ser tomada pela alta administração das organizações. Cabe a nós profissionais da área, apresentar estes riscos através de uma abordagem clara e estruturada.
Caso sua empresa esteja passando por este contratempo, existem praticamente duas formas de restabelecer a operação:
- Pagar o “resgate” das informações. Esta seria, teoricamente, a forma mais rápida para a continuidade do negócio, porém, existe um risco iminente do Cracker receber o dinheiro e simplesmente não enviar a chave de decriptografia.
- O segundo cenário é realizar a restauração das informações através do último backup íntegro. O tempo para restabelecer 100% a continuidade do negócio seria maior se comparado com a primeira alternativa, porém, mais seguro.
Para finalizar o artigo, o principal objetivo foi apresentar que, através de um planejamento estruturado de Segurança da Informação, com investimentos dentro do orçamento das empresas (indiferente do tamanho e setor de atuação), irá mitigar estes riscos relacionados à Segurança da Informação.
Caso tenham alguma dúvida, fiquem à vontade para entrar em contato!
Obrigado!
5 Comentários
Nós ultimo tempos tem se falado muito sobre o criptowall como age e das vitimas
hoje em grupo que trata de rede no face
um colega compartilhou esse link sobre uma ferramenta do Kaspersky será que é verdade
link do site
https://noransom.kaspersky.com/
O assunto segurança da informação é realmente bastante extenso…vale lembrar que o backup pra maior segurança deverá ser feito diariamente(ou até varias vezes ao dia) em mais de uma mídia, ex.: ftp e hd externo. E sendo em um hd externo este não deverá estar conectado o tempo todo na máquina pois corre-se o risco de ser infectado também.
Outro ponto é a respeito do pagamento de resgate, que se for feito estará alimentando este tipo de prática criminosa….é claro que talvez o não pagamento pode gerar um prejuízo bem maior para a empresa.
Por fim, alguns usuários mal sabem escrever e enviar e-mail, quem dirá saber se é ou não algo malicioso… 🙁
Parabéns pelo texto Gustavo. Hoje em dia, com a massificação da Internet através dos smartphones, esta ameaça fica mais evidente.
No entanto, para nós profissionais da área de TI, esta matéria veiculada pela TV foi um tanto quanto trivial. Se pegarmos as 10 últimas matérias sobre o assunto, vai falar sobre os mesmos sintomas e recomenda as mesmas coisas. Será que os usuários continuam com o mesmo comportamento de risco? Com certeza!
Enquanto assistia à matéria, pensei: “Não acredito que pessoas continuam clicando cegamente, executando anexos desconhecidos, sem antivirus, sem firewall… Lá vamos nós novamente”.
Enfim… Creio que não seja por falta de conhecimento das pessoas pois todos sabem que existem virus e invasão pela Internet, mas acredito que falta CONSCIENTIZAÇÃO. Infelizmente muitas pessoas e empresas são reativas ao invés de serem preventivas.
Parabéns pela matéria escreveria do mesmo jeito. Realmente a midia de massa errou nesta e conheço profissional que acabou sendo demitido por que dono da empresa assistiu a matéria e disse que a empresa havia sido invadida.
Ótima matéria. Pena que no Brasil são poucas empresas e poucos Técnicos em informática que preferem trabalham de forma Proativa em vez da habitual Reativa.