Incidentes de segurança: uma preparação diferente

E que, inclusive, alguns sistemas já nem sequer respondem pelo nome ou pelo IP previamente conhecido. “Liga, por favor, de imediato ao responsável pela equipa de operações de Segurança”, pede o diretor de IT ao seu responsável de operações, sabendo que este iria de imediato também entrar em contato com o responsável máximo da segurança da organização. 30 minutos depois, e após vários novos alertas e chamadas, todos estes protagonistas já estavam reunidos nas instalações do IT da organização a acompanharem o desenrolar destes acontecimentos altamente suspeitos.

Às 4h50, a decisão que nenhum dos responsáveis reunidos (IT e Segurança) queria tomar teve de ser concretizada, ligar aos principais elementos da administração da organização para lhes comunicar que a mesma estava sob um ataque de malware, muito provavelmente uma qualquer variante de ransomware, e que já não era possível fazer contenção dos danos. Novas, e mais gravosas, decisões teriam de ser tomadas e era necessário que a administração da organização estivesse desde já envolvida. Desde logo era necessário analisar as várias alternativas existentes para pedir ajuda especializada para situações tão críticas como a que se estava a atravessar.

Às 5h40 da manhã iniciaram-se os contatos com as duas empresas sugeridas pelo diretor de segurança que poderiam ajudar a organização na tentativa de mitigar, ou pelo menos minimizar, o impacto da situação. 20 minutos depois toda a administração já estava reunida na sala de crise em conjunto com os responsáveis anteriormente já reunidos, e vários contatos já estavam a ser realizados para convocar os vários elementos previstos no plano de resposta a incidentes da organização, como era o caso dos diretores de RH, de Marketing e Comunicação, assim como o de Legal. Às 6h30, já com todo o gabinete de crise presente, o ambiente era tenso e sentia-se algum desconforto na maioria dos presentes devido à sensação de incapacidade e descontrolo que quase todos apresentavam. O responsável de segurança aparentava ser o elemento mais em controlo e tentava gerir as sensibilidades dos restantes ao mesmo tempo que recebia as primeiras indicações de atuação por parte da empresa entretanto escolhida para apoiar a sua organização. Não desligar sistemas e tentar garantir que o menor número de colaboradores da organização tentassem fazer a sua autenticação ao início do dia, eram as primeiras indicações que os especialistas lhe estavam a aconselhar através da chamada telefónica. Uma hora e meio depois, 3 elementos da empresa especialista já estariam nas instalações da organização para os auxiliar e liderar os processos de análise, contenção e recuperação em conjunto com as equipas técnicas de IT e Segurança.

Em paralelo, várias questões eram colocadas aos elementos do Gabinete de Crise:

• Como comunicar com os colaboradores da organização, informando-os da situação, transmitindo a informação o mais verdadeira possível, mas ao mesmo tempo sem alarmar desnecessariamente esses mesmos colaboradores?
• Que tipo de comunicação deveria ser, desde já, passada aos elementos da Comunicação Social que, entretanto, já tinha sido alertada para a indisponibilidade de alguns serviços na Internet da organização e tentava obter as primeiras respostas por parte da organização?
• Que comunicação se deveria começar a preparar perante a autoridade de controlo para a proteção de dados pessoais? E se existia outro tipo de comunicação que se devia preparar para alguma outra entidade ou autoridade nacional, perante as quais a organização poderia estar obrigada?
• Que tipo de comunicação se deveria preparar para enviar aos parceiros e fornecedores da organização para que pudessem iniciar também algumas atividades de análise dos seus sistemas, os quais poderiam também ter sido contaminados pelo mesmo agente malicioso que estava a provocar o caos atual?
• Que comunicação se deveria colocar online, nos sistemas ainda disponíveis e que não tinham sido afetados, para alertar os clientes sobre o sucedido e solicitar a sua compreensão perante o sucedido?

"Be prepared"

O cenário que se acabou de descrever, de forma bastante simplificada, poderia acontecer a qualquer organização que tem o seu negócio, ou parte dele, dependente de sistemas informáticos e serviços online. Grande parte delas não está preparada para responder às questões que o Gabinete de Crise desta organização fictícia tinha perante ao início da manhã daquele fatídico dia. Mas, olhando a esta distância, creio que muitos dos que me leem pensam “obviamente que tenho a resposta para todas estas questões e saberia, num curto espaço de tempo, endereçá-las todas.”. Contudo, e mais do que as nossas opiniões, e conhecimentos, pessoais devemos garantir que as nossas organizações estão preparadas para este tipo de eventos críticos e que, principalmente, os principais “atores” das nossas organizações sabem o seu papel e as suas responsabilidades.

Tudo deverá começar pela elaboração, ou adaptação, de um processo de gestão de incidentes específico para ataques via malware, mais concretamente por ransomware. A identificação (ou até contratação) prévia de uma, ou mais, empresa especialista deverá ser outra das fases de preparação para este tipo de eventos. Garantir que se perde o menor tempo possível para se tomar decisões que podem já estar previamente estudadas e previstas, é um dos primeiros passos para se reduzir ao máximo o impacto que estes eventos trazem às organizações. Contudo, muitas outras devem ser consideradas, tais como:

• Preparar os colaboradores para a forma de atuar perante estes eventos, tanto interna como perante elementos externos às organizações;
• Preparar templates de comunicação para reportar estes eventos à comunicação social;
• Conhecer todas as responsabilidades regulatórias e de report perante autoridades de controlo e de regulação;
• Ter uma lista atualizada com contatos das principais autoridades policiais, judiciárias e centros nacionais de segurança nas geografias onde as organizações operam;
• Garantir um inventário atualizado dos principais parceiros e fornecedores que tenham sistemas interligados ou que possam contaminar, ou ser contaminados, com malware;
• Garantir a capacidade de colocar online sistemas alternativos repondo os serviços indisponíveis ou, como alternativa mínima, disponibilizar um site com informação sobre a indisponibilidade dos serviços afetados;
• Ter sempre atualizada a lista de contatos internos de todos os elementos que deverão participar, ou contribuir, para o Gabinete de Crise.

Estar preparado, e treinado, deveria ser a principal preocupação das organizações no que diz respeito à sua resposta perante eventos de segurança. A tecnologia é crítica para a segurança, mas preparar as pessoas e ter processos definidos é o início de uma resposta atempada e eficaz perante este tipo de eventos.