Ataques cibernéticos: Sejamos paranoicos sim, mas de maneira organizada!

Experiência e conhecimento ajudam a identificar riscos de segurança, de forma que estes possam ser adequadamente analisados, avaliados e tratados.

Nos últimos meses, dois grandes ataques cibernéticos praticamente pararam grande parte dos computadores no mundo. O maior deles, no dia 12 de maio, atingiu mais 150 países. Quando bem-sucedido, o software criptografava o conteúdo do computador afetado e demandava um resgate de cerca de US$ 300 em bitcoins por máquina, isto em 27 línguas diferentes, segundo o US-CERT, grupo criado no ano 2000 nos Estados Unidos para avaliar ameaças e responder a ataques relativos à cibersegurança na esfera federal civil. Em 27 de junho, um novo malware nomeado como Petya (PetWrap), que negava totalmente o acesso ao sistema atacando o setor de boot dos discos rígidos nos dispositivos infectados, deixou os gestores das empresas preocupados novamente.

Depois dos ataques, muitos se perguntavam: teria sido possível prever estes problemas? O que é necessário para evitar que ataques como estes continuem a acontecer? As principais orientações comentadas por especialistas já foram divulgadas: ter uma cópia de segurança (backup) atualizada dos dados e manter o sistema operacional dos computadores atualizado. De fato, os computadores atualizados (com sistemas operacionais mais recentes) em tal situação não foram atacados e os demais, para os quais havia backup, puderam ter seus dados restaurados. O risco de novos ataques desta natureza pode ser previsto?

Grosso modo, podemos classificar os riscos como internos e externos a uma organização. Riscos internos são aqueles que têm origem a partir de ação da própria organização, enquanto riscos externos têm origem em eventos que podem ocorrer fora do contexto da organização, por exemplo, riscos de natureza estratégica. Michael Porter, em seu texto o “Modelo das Cinco Forças” que influenciam a estratégia de uma organização, evidenciava, entre outros, a ameaça de produtos substitutos. O risco de ver o seu negócio prejudicado por produtos substitutos pode ser previsto?

Por outro lado, tudo é risco? Tudo pode acontecer? Como se diz na linguagem popular, há que separar o joio do trigo. No contexto de uma organização, pensar em riscos é pensar no que pode acontecer no futuro e que pode ajudar ou atrapalhar a organização, em um de seus projetos ou em um de seus processos de trabalho, a atingir os seus objetivos. Outro ditado popular é aquele que diz que o cadeado na janela só aparece depois que um ladrão conseguiu passar por ela para executar um roubo. Tomar providências para buscar evitar que novo evento negativo de mesma natureza ocorra no futuro é necessário, mas por que não investir recursos (pessoas, tempo e dinheiro) para tentar identificar e evitar que tais eventos aconteçam ou, caso não seja possível evitá-los, minimizar a chance que eles ocorram (probabilidade) ou os seus efeitos (impacto)?

Um aspecto importante para a identificação de riscos é a utilização de experiência e de conhecimento. Como todos sabemos, crianças são curiosas e elas não têm ideia dos riscos que correm, pois não têm experiência ou conhecimento para avaliar as possíveis consequências de seus comportamentos e ações. O mesmo pode ocorrer nas organizações. Você é capaz de refletir, com autoridade, a respeito de riscos de operação de uma refinaria, riscos de entrada em um novo mercado, risco de expansão de negócios para outros países, riscos de imagem, riscos comerciais, riscos de operações financeiras com derivativos e riscos de TI?

No caso desses recentes ataques cibernéticos, os profissionais de TI que acompanham regularmente assuntos relativos à segurança poderiam facilmente prevê-los. Os componentes destes ataques foram noticiados e descritos. No WannaCry, por exemplo, os softwares que solicitam resgate estão ativos pelo menos desde 2012. No início de 2016, tais softwares conseguiram criptografar com sucesso computadores de hospitais e de outras unidades de saúde nos Estados Unidos, na Nova Zelândia e na Alemanha. A propagação de tais softwares naquela época ocorreu por meio de e-mail e de servidores de web vulneráveis (US-CERT TA16-091A). O ataque utilizou uma falha existente em sistemas operacionais Windows que foi detectada e comunicada em março deste ano (US-CERT TA17-132A).

Riscos que podem afetar a estratégia de uma empresa também podem ser previstos por profissionais que têm experiência e conhecimento na sua área de atuação.

É preciso prestar atenção nos chamados “paranoicos” que identificam ameaças. Tomemos como exemplo o ataque de 11 de setembro de 2001 às torres gêmeas do World Trade Center em Nova Iorque. O chefe de segurança deste centro, John Patrick O’Neill, falecido no ataque, era um ex-agente do FBI, com experiência em contraterrorismo, que havia trabalhado na investigação do ataque de 1993 ao mesmo centro (uma bomba explodiu na garagem) e a outros, e que insistia que a Al Qaeda era uma ameaça para os EUA. Paranoico? Certamente não, mas sim alguém que utilizava a sua experiência para identificar riscos.

Experiência e conhecimento ajudam a identificar riscos, de forma que estes possam ser adequadamente analisados, avaliados e tratados. A identificação de riscos precisa ser uma atividade permanente e regular, executada de forma disciplinada e criteriosa. Portanto, fique atento. Certifique-se que há experiência e conhecimento nas áreas críticas para o seu negócio, que permitam identificar seus riscos. Querer ficar alheio aos riscos não é uma opção.