Incidentes de segurança: uma preparação diferente

Incidentes de segurança: uma preparação diferente

Às 4 da manhã o responsável pela equipa de Operações de IT liga ao seu diretor para lhe comunicar que algo se passa nos principais sistemas da organização, as contas de administração dos sistemas não estão a permitir que nenhum dos vários elementos da equipa de Operações consiga autenticar-se nos sistemas

E que, inclusive, alguns sistemas já nem sequer respondem pelo nome ou pelo IP previamente conhecido. “Liga, por favor, de imediato ao responsável pela equipa de operações de Segurança”, pede o diretor de IT ao seu responsável de operações, sabendo que este iria de imediato também entrar em contato com o responsável máximo da segurança da organização. 30 minutos depois, e após vários novos alertas e chamadas, todos estes protagonistas já estavam reunidos nas instalações do IT da organização a acompanharem o desenrolar destes acontecimentos altamente suspeitos.

Às 4h50, a decisão que nenhum dos responsáveis reunidos (IT e Segurança) queria tomar teve de ser concretizada, ligar aos principais elementos da administração da organização para lhes comunicar que a mesma estava sob um ataque de malware, muito provavelmente uma qualquer variante de ransomware, e que já não era possível fazer contenção dos danos. Novas, e mais gravosas, decisões teriam de ser tomadas e era necessário que a administração da organização estivesse desde já envolvida. Desde logo era necessário analisar as várias alternativas existentes para pedir ajuda especializada para situações tão críticas como a que se estava a atravessar.

Às 5h40 da manhã iniciaram-se os contatos com as duas empresas sugeridas pelo diretor de segurança que poderiam ajudar a organização na tentativa de mitigar, ou pelo menos minimizar, o impacto da situação. 20 minutos depois toda a administração já estava reunida na sala de crise em conjunto com os responsáveis anteriormente já reunidos, e vários contatos já estavam a ser realizados para convocar os vários elementos previstos no plano de resposta a incidentes da organização, como era o caso dos diretores de RH, de Marketing e Comunicação, assim como o de Legal. Às 6h30, já com todo o gabinete de crise presente, o ambiente era tenso e sentia-se algum desconforto na maioria dos presentes devido à sensação de incapacidade e descontrolo que quase todos apresentavam. O responsável de segurança aparentava ser o elemento mais em controlo e tentava gerir as sensibilidades dos restantes ao mesmo tempo que recebia as primeiras indicações de atuação por parte da empresa entretanto escolhida para apoiar a sua organização. Não desligar sistemas e tentar garantir que o menor número de colaboradores da organização tentassem fazer a sua autenticação ao início do dia, eram as primeiras indicações que os especialistas lhe estavam a aconselhar através da chamada telefónica. Uma hora e meio depois, 3 elementos da empresa especialista já estariam nas instalações da organização para os auxiliar e liderar os processos de análise, contenção e recuperação em conjunto com as equipas técnicas de IT e Segurança.

Em paralelo, várias questões eram colocadas aos elementos do Gabinete de Crise:

  • Como comunicar com os colaboradores da organização, informando-os da situação, transmitindo a informação o mais verdadeira possível, mas ao mesmo tempo sem alarmar desnecessariamente esses mesmos colaboradores?
  • Que tipo de comunicação deveria ser, desde já, passada aos elementos da Comunicação Social que, entretanto, já tinha sido alertada para a indisponibilidade de alguns serviços na Internet da organização e tentava obter as primeiras respostas por parte da organização?
  • Que comunicação se deveria começar a preparar perante a autoridade de controlo para a proteção de dados pessoais? E se existia outro tipo de comunicação que se devia preparar para alguma outra entidade ou autoridade nacional, perante as quais a organização poderia estar obrigada?
  • Que tipo de comunicação se deveria preparar para enviar aos parceiros e fornecedores da organização para que pudessem iniciar também algumas atividades de análise dos seus sistemas, os quais poderiam também ter sido contaminados pelo mesmo agente malicioso que estava a provocar o caos atual?
  • Que comunicação se deveria colocar online, nos sistemas ainda disponíveis e que não tinham sido afetados, para alertar os clientes sobre o sucedido e solicitar a sua compreensão perante o sucedido?

"Be prepared"

O cenário que se acabou de descrever, de forma bastante simplificada, poderia acontecer a qualquer organização que tem o seu negócio, ou parte dele, dependente de sistemas informáticos e serviços online. Grande parte delas não está preparada para responder às questões que o Gabinete de Crise desta organização fictícia tinha perante ao início da manhã daquele fatídico dia. Mas, olhando a esta distância, creio que muitos dos que me leem pensam “obviamente que tenho a resposta para todas estas questões e saberia, num curto espaço de tempo, endereçá-las todas.”. Contudo, e mais do que as nossas opiniões, e conhecimentos, pessoais devemos garantir que as nossas organizações estão preparadas para este tipo de eventos críticos e que, principalmente, os principais “atores” das nossas organizações sabem o seu papel e as suas responsabilidades.

Tudo deverá começar pela elaboração, ou adaptação, de um processo de gestão de incidentes específico para ataques via malware, mais concretamente por ransomware. A identificação (ou até contratação) prévia de uma, ou mais, empresa especialista deverá ser outra das fases de preparação para este tipo de eventos. Garantir que se perde o menor tempo possível para se tomar decisões que podem já estar previamente estudadas e previstas, é um dos primeiros passos para se reduzir ao máximo o impacto que estes eventos trazem às organizações. Contudo, muitas outras devem ser consideradas, tais como:

  • Preparar os colaboradores para a forma de atuar perante estes eventos, tanto interna como perante elementos externos às organizações;
  • Preparar templates de comunicação para reportar estes eventos à comunicação social;
  • Conhecer todas as responsabilidades regulatórias e de report perante autoridades de controlo e de regulação;
  • Ter uma lista atualizada com contatos das principais autoridades policiais, judiciárias e centros nacionais de segurança nas geografias onde as organizações operam;
  • Garantir um inventário atualizado dos principais parceiros e fornecedores que tenham sistemas interligados ou que possam contaminar, ou ser contaminados, com malware;
  • Garantir a capacidade de colocar online sistemas alternativos repondo os serviços indisponíveis ou, como alternativa mínima, disponibilizar um site com informação sobre a indisponibilidade dos serviços afetados;
  • Ter sempre atualizada a lista de contatos internos de todos os elementos que deverão participar, ou contribuir, para o Gabinete de Crise.

Estar preparado, e treinado, deveria ser a principal preocupação das organizações no que diz respeito à sua resposta perante eventos de segurança. A tecnologia é crítica para a segurança, mas preparar as pessoas e ter processos definidos é o início de uma resposta atempada e eficaz perante este tipo de eventos.

Carlos Silva

Carlos Silva

Diretor de Segurança e Proteção de Dados
Banco CTT

Engenheiro Informático formado no IST, com mestrado em Segurança da Informação pela CMU e FCUL, tem ainda um MBA pelo LisbonMBA, trabalha na área da segurança desde 2002, com um percurso tecnológico na Portugal Telecom e na S21sec. Esteve 4 anos e meio a liderar práticas de cibersegurança em duas consultoras e, desde finais de 2021, é o Diretor de Segurança e Proteção de Dados no Banco CTT

Outros artigos deste autor


REVISTA DIGITAL

IT SECURITY Nº17 Abril 2024

IT SECURITY Nº17 Abril 2024

NEWSLETTER

Receba todas as novidades na sua caixa de correio!

O nosso website usa cookies para garantir uma melhor experiência de utilização.