Imagina ser avisado no início do dia que a empresa está completamente fora do ar. Nos grupos de mensagens os colaboradores comentam que "o sistema caiu". Em poucos minutos, o diagnóstico: um ciberataque, mas não um ciberataque qualquer, o temido ransomware. Todos os dados foram criptografados e, com isso, nenhuma aplicação se encontra funcional. É exigido um resgate de valor exorbitante e sem nenhuma garantia de retorno. Não há com quem falar, não há negociação, apenas uma chave para transferir criptomoeda. Mesmo que o resgate seja pago não há garantia de recuperação dos dados. E, obviamente, não há um SAC para abrir uma reclamação.
Essa história de terror foi vivenciada por inúmeras organizações no mundo todo. O estudo Fast Facts mais recente mostra que o Brasil saltou do quarto país que mais sofre ataques de ransomware no mundo para a segunda posição em 2022. Isso mostra que mais investimentos precisam ser feitos por aqui.
Há toda uma subcategoria dentro da Tecnologia da Informação dedicada a isso: a Segurança da Informação. É um ecossistema de fabricantes de tecnologia, frameworks, profissionais – escassos e altamente valorizados – e linguagem próprios. Nas empresas, também costumam haver áreas e orçamentos distintos: o CIO, responsável pela TI e o CISO, responsável pela Segurança. Mas o bordão repetido em todas as conferências de TI dos últimos anos é que as empresas não devem se preparar para o caso de serem atacadas, mas para quando o serão.
No contexto de ciber resiliência, o CIO e o CISO precisam trabalhar juntos. Se precisamos nos preparar para um ataque que irá furar as diversas camadas da Segurança da Informação, como a Infraestrutura de TI pode garantir um retorno às atividades o mais rápido possível? O framework de cibersegurança do NIST, que embasa a maioria das discussões deste ecossistema, tem agora aparecido nos slides das conversas com o CIO. Duas subáreas da TI são chave na função Recuperar (RC) do framework: armazenamento e backup.
No armazenamento, tecnologias de detecção de ataque já estão disponíveis. O storage percebe o ransomware através de comportamento: taxa de alteração de dados acima do usual ou mesmo eficiência de compressão abaixo do comum – já que dado criptografado não comprime bem. Com isso, alertas são gerados e cópias instantâneas limpas podem ser recuperadas –dentro do próprio equipamento e com alta velocidade.
Caso necessário resgatar os dados do backup, é importante garantir uma cópia íntegra. Se o ransomware tiver acesso aos dados de backup, irá criptografá-los e assim a recuperação se torna impossível. Há diversas tecnologias disponíveis para manter um backup inacessível ao malware, sendo a imutabilidade a mais difundida no momento. Estratégias híbridas de implantação, com armazenamento em objetos, nuvem e fita são usualmente utilizadas.
O caminho a seguir não é uma escolha técnica, é uma necessidade de negócio. Aliar custo da solução ao tempo de retorno, último ponto de retorno e sistemas mínimos necessários para a organização funcionar são informações base de um bom plano de Continuidade de Negócios, que precisa ter um mapa de riscos atualizado e camadas de proteção. Neste número grande de estratégias disponíveis, só há uma verdade: não existe bala de prata. Quem estiver oferecendo um produto mágico, que basta comprar e estará 100% protegido contra ransomware, está vendendo algo que não existe. Talvez não prata, mas ouro de tolo.
Thiago Farah, diretor de BU Core Digital Platform da Lanlink.