Os ataques de ransomware – nos quais os hackers tentam assumir o controle e reter o acesso aos dados operacionais ou pessoais de um alvo até que uma taxa seja paga – são uma ameaça crescente para as empresas. Para mitigar essa ameaça, é vital que as empresas tenham um plano de gerenciamento de crise para ser executado em caso de ataque e limitar a extensão de qualquer dano.
Ransomware – uma grande ameaça à segurança cibernética
O ransomware continua a representar uma grande ameaça à segurança cibernética para as empresas. De acordo com o 2023 da IBM Custo de um relatório de violação de dados (opens a new window), o custo médio global de um ataque de ransomware foi de US$ 4,45 milhões, um aumento de 15% ao longo de 3 anos. Os ataques de ransomware representaram quase um quarto (24%) de todas as violações de segurança cibernética contra empresas.
A análise do portfólio da Lockton London Cyber fornece mais evidências da ameaça enfrentada pelas empresas. Entre as últimas 10 reclamações de ransomware observadas, a maior incorrida foi de aproximadamente US$ 53 milhões. Outros incluíram uma reivindicação de US$ 17 milhões envolvendo um grande varejista e uma reivindicação de US$ 6 milhões que afeta uma organização de saúde. Em todos os três casos acima, o pagamento do resgate representou aproximadamente 25% do custo real incorrido. Fornecedores de energia e instituições financeiras também estiveram entre as reivindicações mais recentes, indicando a grande variedade de negócios visados por cibercriminosos.
As vítimas de um ataque de ransomware podem, ou não, decidir pagar um resgate. A estratégia aqui provavelmente dependerá de fatores, incluindo a extensão do ataque, a viabilidade de operações comerciais contínuas, o tamanho do pedido de resgate e o acesso ao seguro cibernético/suporte de resposta a crises.
Antes de qualquer decisão de pagar um atacante, as empresas devem obter aconselhamento jurídico (opens a new window) de um advogado de violação, que também as aconselharia a notificar às autoridades policiais. As empresas também devem buscar aconselhamento técnico de negociadores de ransomware, que se especializam em lidar com eventos de ransomware em nome dos clientes. Seus serviços incluem: engajamento com o agente da ameaça para verificar se eles são criminosos "confiáveis"; verificação da prova de que os agentes da ameaça têm acesso ao que alegam ter; negociação do resgate em si (normalmente em torno de 20%); e facilitação do pagamento do resgate, caso a empresa decida pagar. Eles mantêm um registro de toda a comunicação com o agente da ameaça, caso o cliente exija isso como prova.
Se as empresas tiverem apólices cibernéticas, elas devem notificar suas seguradoras e obter seu consentimento por escrito para pagar o resgate, desde que exijam cobertura de seguro para isso.
Criação de um plano de gestão de crises
Dado o impacto devastador do ransomware, é essencial que as empresas estabeleçam um plano abrangente de gerenciamento de crise a ser executado no caso de um ataque. Isso normalmente inclui:
Controles preventivos – por exemplo, adotando as soluções de hardware e software relevantes; realização de avaliações de risco; criação de backups de dados; treinar os funcionários para entender os riscos de ransomware e identificar possíveis ataques;
Controles de detecção – por exemplo, determinar os sistemas afetados e isolá-los do restante da rede; colocar a rede offline; informar a equipe sobre o ataque e as ações para conter a propagação; informar clientes relevantes, parceiros de negócios e outras partes interessadas relevantes sobre um ataque; capturar conteúdo de memória volátil de dispositivos afetados para ajudar a determinar a sequência de eventos que levam ao ataque;
Controles corretivos – por exemplo, alertar os principais parceiros para ajudar na estratégia e na negociação de resgate; relatar o ataque às partes relevantes, incluindo parceiros de seguros e autoridades policiais; implantação de ferramentas de descriptografia quando necessário; limpar e reconstruir sistemas, incluindo redefinir senhas e verificar se os backups não estão infectados.
Para ser mais eficaz, qualquer plano de gestão de crises deve ser testado de stress através de exercícios simulados de incidentes e de mesa.
Proteção de seguro cibernético
Embora um plano de gerenciamento de crise possa reduzir a probabilidade e a gravidade de qualquer ataque de ransomware, ele não pode oferecer proteção completa. Para fornecer uma camada adicional de segurança, as empresas podem considerar a contratação de um seguro cibernético.
As políticas cibernéticas podem incluir:
Suporte pré-incidente – incluindo acesso a conhecimentos especializados em segurança cibernética e serviços de inteligência de ameaças, avaliações de vulnerabilidades de TI, treinamento da equipe sobre segurança cibernética e ajuda com o gerenciamento de senhas;
Custos de violação de segurança e privacidade – incluindo custos de notificação de clientes de uma violação cibernética, tratamento de consultas, aconselhamento de relações públicas, custos forenses de TI e reclamações de violação de privacidade e custos legais associados;
Suporte pós-incidente – incluindo avaliações de sistemas, identificação da origem de qualquer violação, aconselhamento sobre requisitos legais e regulatórios e paisagismo e restauração de dados;
Interrupção de negócios – incluindo cobertura para perda de receita durante o período de interrupção, incluindo se isso for causado por custos crescentes de realização de negócios após o incidente;
Extorsão cibernética – incluindo o reembolso do valor do resgate exigido pelo invasor, bem como quaisquer taxas de consultor para supervisionar a negociação e transferência de fundos para resolver o pedido de resgate;
Danos a ativos digitais – incluindo perda, corrupção ou alteração de dados, bem como o uso indevido de programas e sistemas de computador.