Globalmente, estima-se que os vazamentos de dados custem mais de US$ 4,2 milhões por incidente atualmente. E eles estão acontecendo em uma escala sem precedentes à medida que as organizações desenvolvem sua infraestrutura digital e, sem querer, expandem a superfície de ataque corporativa. Nos EUA, por exemplo, o número de vazamentos relatadas no terceiro trimestre de 2021 já havia excedido o número de todo o ano de 2020. A organização média leva tempo demais para encontrar e conter vazamentos de dados - estima-se que, atualmente, sejam 287 dias.
No entanto, quando os alarmes disparam, o que acontece em seguida? A presença de agentes de ransomware, um precursor cada vez mais comum dos vazamentos de dados modernos, complicará ainda mais a situação. Veja a seguir como agir após um vazamento.
Mantenha a calma
É provável que um vazamento de dados seja uma das situações mais estressantes em que sua organização possa se encontrar, especialmente se o incidente tiver sido causado por ameaças como o ransomware que criptografaram sistemas importantes e exigem pagamentos. Entretanto, respostas impulsivas podem causar mais danos do que benefícios. Embora seja obviamente importante fazer com que a empresa volte a operar, é fundamental trabalhar de forma metódica. Você precisará executar o plano de resposta a incidentes e entender o alcance do incidente antes de tomar qualquer medida importante.
Siga seu plano de resposta a incidentes
Considerando que não se trata de "quando", mas "se" sua organização sofrer um vazamento de dados hoje, um plano de resposta a incidentes é uma prática recomendada essencial de cibersegurança. Isso exigirá um planejamento avançado, talvez seguindo a orientação de instituições como o National Institute of Standards and Technology (NIST) dos EUA ou o National Cyber Security Centre (NCSC) do Reino Unido. Quando um vazamento de dados for detectado, uma equipe pré-designada de resposta a incidentes, composta por partes interessadas de toda a empresa, deverá trabalhar nos processos passo a passo. É uma boa ideia testar esses planos periodicamente para que todos estejam preparados e o próprio documento esteja atualizado.
Avalie o grau de abrangência do vazamento
Uma das primeiras etapas críticas após qualquer incidente grave de segurança é entender o grau de impacto sofrido pela empresa. Essas informações irão dar as ações subsequentes, como notificação e correção. Idealmente, você precisará saber como os bandidos entraram e qual é o "raio de ação" do ataque - quais sistemas eles tocaram, quais dados foram comprometidos e se eles ainda estão dentro da rede. É nesse ponto que os especialistas em forense terceirizados são frequentemente convocados.
Envolva o setor jurídico
Após uma violação, você precisa saber qual é a situação da organização. Quais são as responsabilidades que você tem? Quais órgãos reguladores precisam ser informados? Você deveria estar negociando com os invasores para ganhar mais tempo? Quando os clientes e/ou parceiros devem ser informados? A assessoria jurídica interna é o primeiro ponto de contato nesse caso. Mas também pode ser necessário recorrer a especialistas na área de resposta a incidentes cibernéticos. É nesse ponto que os detalhes forenses sobre o que realmente aconteceu são vitais, para que esses especialistas possam tomar as decisões mais bem informadas.
Saiba quando, como e quem notificar
De acordo com os termos da Lei Geral de Proteção de Dados (LGPD) no Brasil, a notificação à Autoridade Nacional de Proteção de Dados (ANPD) deve ocorrer sem demora indevida, após a descoberta de uma violação de dados pessoais. No entanto, a LGPD não estabelece um prazo específico, como os 72 horas do GDPR, para a notificação. A legislação brasileira enfatiza a necessidade de notificar a ANPD e as partes afetadas o mais rápido possível, levando em consideração as circunstâncias específicas da violação.
O entendimento do escopo da violação de dados é fundamental. Se não for possível determinar a quantidade de dados obtidos ou como os agentes de ameaça tiveram acesso, é prudente agir com cautela ao notificar a ANPD, assumindo o pior cenário possível. A LGPD não fornece diretrizes específicas nesse sentido, mas a ANPD pode emitir orientações adicionais sobre o assunto.
Informe as autoridades policiais
Aconteça o que acontecer com o órgão regulador, você provavelmente precisará contar com o apoio das autoridades policiais, especialmente se os responsáveis pelas ameaças ainda estiverem dentro da sua rede. Faz sentido envolvê-las o mais rápido possível. No caso de ransomware, por exemplo, eles podem colocá-lo em contato com provedores de segurança e outros terceiros que oferecem chaves de descriptografia e ferramentas de atenuação.
Informe seus clientes, parceiros e funcionários
Esse é outro item óbvio da lista pós-violação. Entretanto, mais uma vez, o número de clientes/funcionários/parceiros que você precisa informar, o que dizer a eles e quando dependerá dos detalhes do incidente e do que foi roubado. Considere primeiro fazer uma declaração de posse dizendo que a organização está ciente de um incidente e que está investigando. No entanto, os boatos prosperam no vácuo, portanto, você precisará acompanhar isso com mais detalhes logo em seguida. As equipes de TI, RP e jurídica devem trabalhar em conjunto nesse caso.
Inicie a recuperação e a correção
Depois que o escopo do ataque estiver claro e as equipes de resposta a incidentes/forense estiverem confiantes de que os responsáveis pela ameaça não têm mais acesso, é hora de colocar tudo em funcionamento novamente. Isso pode significar a restauração de sistemas a partir de backup, recriação de imagens de máquinas comprometidas, aplicação de patches nos endpoints afetados e redefinição de senhas.
Crie proteção para ataques futuros
Os responsáveis pelas ameaças geralmente compartilham conhecimento no submundo do crime cibernético. Eles também estão cada vez mais voltando a comprometer as organizações vítimas várias vezes, especialmente com ransomware. Isso faz com que seja mais importante do que nunca usar as informações obtidas com as ferramentas de detecção e resposta a ameaças e forenses para garantir que os caminhos usados pelos atacantes na primeira vez não possam ser explorados novamente em ataques futuros. Isso pode significar melhorias no gerenciamento de patches e senhas, melhor treinamento de conscientização de segurança, implementação de autenticação multifator (MFA) ou mudanças mais complexas nas pessoas, nos processos e na tecnologia.
Aprenda com a experiência
A peça final do quebra-cabeça da resposta a incidentes é aprender com a experiência. Parte disso é criar proteção para o futuro, como mencionado acima. Mas você também pode estudar com base no exemplo de outras pessoas. A história dos vazamentos de dados está repleta de casos de alto nível de resposta ruim a incidentes. Em um caso bem divulgado, a conta corporativa do Twitter de uma empresa que sofreu uma violação tweetou um link de phishing quatro vezes, confundindo-o com o site de resposta à violação da empresa. Em outro, uma grande empresa de telecomunicações do Reino Unido foi duramente criticada por divulgar informações conflitantes.
Considerações finais
Aconteça o que acontecer, os clientes esperam cada vez mais que as organizações com as quais fazem negócios sofram incidentes de segurança. É a sua reação que determinará se eles ficarão ou sairão - e quais serão os danos financeiros e à reputação.