Ser vítima não é o mesmo que ser incompetente, pense nisso ao lidar com ransomware
25 de agosto de 2021Vale mais a pena encarar o problema de frente, se assumindo como vítima com a consciência limpa de que ser vítima não é o mesmo que ser incompentente
Por Carlos Cabral
A Estônia é hoje o país mais digital do mundo, com 99% dos seus serviços operando totalmente online, exceto casamentos, divórcios e negócios imobiliários que ainda são feitos na base na interação face a face por um motivo bastante óbvio: em meios digitais, não é possível saber se uma pessoa está sendo forçada a se casar, se divorciar ou negociar um imóvel.
É inspirador, mas tudo o que o país fez para chegar até aqui é fruto de muito trabalho e de um grande ataque.
No começo de 2007, as autoridades do país decidiram mover uma estátua em memória ao exército vermelho por sua luta contra o nazismo de uma parte central da capital Talín para um cemitério de monumentos distante da cidade.
Houve protestos reunindo simpatizantes da era soviética e grupos que defendem a ideia de que a presença do exército vermelho não teria sido a libertação do nazismo, mas sim o fim de um regime de opressão e o começo de outro, nas mãos do socialismo soviético.
Entre os dias 26 e 27 de abril daquele ano, 156 pessoas foram feridas, uma morreu e mais de mil outras foram presas.
Na esteira dos acontecimentos, houve uma série de ataques, supostamente atribuídos à Rússia, baseados em desinformação e sabotagem que comprometeram o sistema financeiro, o governo e a imprensa estoniana. Esse evento é considerado por especialistas como a primeira ocorrência publicamente documentada de guerra cibernética.
Após o incidente, a comunidade internacional, por meio do Centro de Excelência em Defesa Cibernética Cooperativa da OTAN formou grupos de trabalho para enfrentar ameaças como estas e foram criados os Manuais de Talín com políticas importantes para a cibersegurança, bem como as bases para que a Estônia ocupasse a posição de liderança tecnológica que tem hoje.
Mas para que isso acontecesse, foi preciso ao país reconhecer a sua condição de vítima.
Contrariamente, para muitas empresas, a condição de vítima de ciberataque é um tabu.
Há uma aura de julgamento no ar que associa as vítimas de ataques cibernéticos a fracassados ou incompetentes e que força as pessoas a tentarem esconder tudo sobre o ataque.
Obviamente há profissionais incompetentes e fracassados em todos os lugares, mas entendo que depois de quase dois anos dessa onda de ataques de double extortion, já deve ter ficado evidente a diversos setores da economia que estamos lidando com um problema de maior complexidade e que basta uma pequena brecha para tudo desmoronar.
As quadrilhas que executam estes ataques são profissionais que se adaptam às condições de cada alvo, possuindo recursos e estrutura para tomar o controle da maioria das empresas.
Sobretudo quando elas compartilham pouca informação sobre os incidentes entre si, o que muitas vezes não é feito por receio de se submeter ao julgamento e às penalidades do mercado que, da boca pra fora, atribui parte da culpa à vítima enquanto se desespera cobrando soluções prontas quando acontece um ataque cujo alvo é uma empresa de destaque.
Os que julgam a segurança dos outros exclusivamente com base na imprensa, frequentemente o fazem se baseando em uma condição ideal de proteção, como se todas as empresas já tivessem a faca e o queijo na mão e só não executaram o corte porque seriam incompetentes.
Não estamos na Estônia. Temos grandes talentos, geralmente formados no suor do autodidatismo, mas eles ainda são minoria.
Não ensinamos computação na escola pública, não patrocinamos adequadamente a pesquisa científica em cibersegurança, a maioria das nossas empresas não contam com orçamento abundante para treinar as pessoas ou implementar processos e tecnologias de ponta para se proteger e em muitos casos há uma alternância frequente entre cobrir a cabeça os pés com o único cobertor remendado à disposição.
Isso sem contar o fato de que não temos sequer uma década de paz entre as forças políticas e econômicas do país, de modo que fica difícil planejar a longo prazo. Sem esse tipo de planejamento não há investimento e sem investir a única garantia que temos é que o ciclo se repetirá. Ou seja, que passaremos a maior parte do tempo só com faca e ou só com o queijo.
A cada incidente relevante que acontece, surgem várias pessoas dizendo o que as empresas deveriam fazer, seja na intenção de ajudar ou de vender.
Muitas dessas listas de recomendações são corretas e deveriam ser seguidas, mas talvez seja igualmente importante mudar essa associação mental de que toda vítima foi incompentente.
Os acontecimentos dos últimos anos nos ensinam que, em primeiro lugar, já passou o tempo em que as empresas poderiam se dar ao luxo de esconder um ataque do mercado.
Nesse aspecto, vale mais a pena encarar o problema de frente, se assumindo como vítima com a consciência limpa de que ser vítima não é o mesmo que ser incompentente e lidando com os seus stakeholders com transparência.
Em segundo lugar, é preciso que os executivos das empresas sejam instados a pensar nos benefícios do compartilhamento seguro de indicadores com entidades de seus círculos de confiança.
Não falo somente dos tradicionais IOCs, mas sim de outros detalhes técnicos que permitam que a vítima de hoje colabore com o alvo de amanhã e ela mesma não se torne novamente alvo do ataque de depois de amanhã.
Não se trata de um ingênuo chamado à união, mas sim de uma ação estratégica para o benefício mútuo. Métodos, ferramentas e instituições isentas para orientar a filtragem e disseminação destes dados já existem há décadas, basta decidir fazer parte.
A espada de Dâmocles e o roubo de 600 milhões de dólares da Poly Network
Série de estudos detalha ataques recentes da ciberespionagem Chinesa – Por Carlos Cabral
BlackMatter: nova gangue surge em meio a especulações sobre retorno do REvil e do Darkside
Você quer acompanhar nosso conteúdo? Então siga nossa página no LinkedIn!