Já falamos sobre ransomware diversas vezes, mas para aqueles que acompanham o cenário de segurança, talvez seja perceptível que as notícias sobre essa ameaça não são tão frequentes quanto eram há algum tempo.
Esse declínio pode ser atribuído a vários fatores, mas o ponto que considero mais relevante abordar é que a maioria das pessoas, inclusive profissionais de áreas relacionadas à tecnologia, como redes e segurança, avalia os custos de um ataque de ransomware como sendo exclusivamente relacionados ao pagamento do resgate, e isso está longe da verdade.
Esse tipo de ameaça é uma das principais fontes de obtenção de recursos por parte dos criminosos e o mundo olha com muita cautela para essa questão, mesmo que as informações que circulam na mídia não sejam tão frequentes.
As empresas que concentram seus esforços na análise do cenário de segurança como um todo, como a Cybersecurity Ventures, publicam regularmente informações sobre essa ameaça e os prejuízos financeiros que ela pode causar, e a estimativa apresentada por elas mostra que os prejuízos causados pelo ransomware em todo o mundo ultrapassarão US$ 42 bilhões até 2024.
No mínimo, isso indica que, com ou sem divulgação de notícias, a ameaça é real, presente e iminente. Ver claramente onde os custos associados a ela podem estar vinculados nos permite direcionar de forma mais adequada os esforços para analisar quaisquer incidentes causados por ela.
Análise ambiental
O primeiro custo que quero apresentar está relacionado à análise ambiental, que pode ser feita pela equipe de incidentes de segurança ou distribuída por áreas técnicas, como TI, redes e segurança.
Essa avaliação nos permite entender o que aconteceu para que o ransomware infectasse o ambiente e, o mais importante, remediar as vulnerabilidades para que não haja reinfecção.
Essa etapa do processo leva tempo, mesmo que seja realizada por equipes especializadas e treinadas para lidar com esse tipo de incidente, e isso acaba gerando custos.
Equipes de TI
A recuperação de incidentes de ransomware é bastante complexa e exige muito, muito esforço, que recai principalmente sobre as equipes de Tecnologia da Informação (TI). Um dos custos usuais, relacionados a esse esforço, é a substituição de profissionais, pois quem trabalha para manter o ambiente muitas vezes fica sobrecarregado e opta por não continuar trabalhando no ambiente ou até mesmo é responsabilizado injustamente e acaba sendo demitido.
Um investimento que certamente ajudaria as empresas a superar esse momento de crise seria a contratação de ajuda externa para aliviar a sobrecarga dos profissionais ambientais permanentes. Além de trazer mais clareza às atividades, ajuda a garantir que nenhum profissional fique sobrecarregado e acabe exercendo suas funções de forma inadequada.
Seguros
O seguro contra ameaças digitais está se tornando cada vez mais comum e muitas empresas já fazem uso desse serviço para ajudá-las financeiramente em caso de contaminação, mas há aspectos que considero importantes: além do valor pago pelo abono mensal do seguro, se ocorrer um sinistro, a empresa deve pagar a franquia, se julgar necessário. Além disso, vale a pena observar que o valor coberto pelo seguro pode ser menor do que o valor do resgate exigido pelos criminosos.
Relatórios de incidentes
Delegar a tarefa de relatar incidentes a autoridades e clientes de áreas que não estão acostumadas a fazer isso pode levar a vários problemas. Ao elaborar um plano de resposta a incidentes, é necessário formar uma equipe interna capaz de lidar com essas necessidades ou contratar consultores especializados para realizar a comunicação em nome da empresa.
Suporte jurídico
Vários resultados podem ser desencadeados após um incidente, bem como após a comunicação ao público. Para ajudar com todas as questões jurídicas envolvidas no processo, vale a pena ter um suporte jurídico como parte dos custos, de preferência com experiência direta em incidentes de ransomware ou, pelo menos, com experiência em casos relacionados a incidentes de segurança.
Ransomware
A segurança de um ambiente deve ser tratada como um investimento, ou seja, a liberação de recursos deve ser usada para evitar incidentes e melhorar a segurança do ambiente como um todo, e não como um custo, como é o caso do ransomware. O ransomware é uma das principais formas encontradas pelos criminosos para financiar ataques, portanto, o pagamento do resgate permite que os atacantes continuem realizando suas atividades ilegais. Embora recomendemos enfaticamente que o valor nunca seja pago, sabemos que algumas empresas estão desesperadas para recuperar os dados sequestrados e acabam atendendo às exigências dos criminosos.
Para os ambientes que seguem esse caminho, convido a uma reflexão que pode ajudar a orientar as prioridades futuras: se 50% do pedido de resgate fosse investido em segurança preventiva, o ataque ainda teria ocorrido?
Conclusão
Existem alguns outros custos que não listei acima, como multas aplicadas por órgãos reguladores que atuam no país onde a empresa opera, como a Lei Geral de Proteção de Dados (LGPD) no Brasil, a Regulamento Geral sobre a Proteção de Dados (GDPR) na Europa; perda de produtividade devido à impossibilidade de operar equipamentos; e até mesmo custos mais difíceis de mensurar, como os danos causados à imagem e à reputação da empresa.
Acreditamos que uma postura de segurança sólida começa com o investimento adequado e a aplicação de camadas de segurança em todo o ambiente, o que ajuda a evitar todos os tipos de ataques digitais, não apenas o ransomware. Seja para preparar as equipes de TI ou para negociar com os tomadores de decisões de negócios, compreender o verdadeiro custo associado a um ataque de ransomware será útil para obter um ambiente maduro e mais bem preparado.