Pagamento de resgates do ransomware: funciona proibir?

Concebida para “atingir o modelo de negócio que alimenta as atividades dos cibercriminosos”, a política proposta visa desmantelar a estratégia dos ataques de ransomware, reduzindo o incentivo financeiro para este tipo de ataques — uma medida que o Governo espera que aumente a resiliência operacional em todo o setor público, tornando os serviços vitais de que os cidadãos dependem um alvo menos atrativo para os grupos de ransomware. Caso seja aprovada, a nova legislação tornaria o Reino Unido o primeiro país a proibir legalmente o pagamento de resgates por parte do setor público e de entidades reguladas responsáveis por infraestruturas críticas nacionais (CNI).

Embora dirigida sobretudo a organismos públicos e operadores de CNI, a proibição terá implicações significativas também para o setor privado. A introdução deste novo regime de reporte obrigatório de incidentes de ransomware sujeitará as organizações privadas a um mecanismo de supervisão que, embora não proíba os pagamentos, tenderá a desincentivar a sua realização, ao aumentar a responsabilidade. Entretanto, os fornecedores do setor público terão de aguardar para perceber se serão incluídos no âmbito da proibição.

Assumir uma posição

A proposta do Governo britânico está a ser amplamente vista como uma abordagem pioneira a nível mundial no combate aos ataques de ransomware, cortando o fluxo de pagamentos aos criminosos. Num cenário ideal, a proibição de pagamentos deveria ajudar a travar a atuação dos grupos de ransomware que têm como alvo escolas, autarquias e hospitais. Uma vez que o ransomware só funciona se as vítimas pagarem, tornar os pagamentos de resgate “fora de limites” reduziria a atratividade do setor público para atacantes motivados financeiramente.

Esta visão é amplamente apoiada pelo setor privado britânico, que pretende quebrar o ciclo do ransomware e privar este ecossistema do seu sustento. De acordo com a nossa investigação recente, 94% dos líderes empresariais no Reino Unido apoiam a introdução da proibição de pagamentos para entidades públicas e 99% defendem ainda a sua extensão ao setor privado.

Entre os que apoiam a proibição proposta pelo Governo para o setor público, cerca de 33% acredita que tal diminuirá a prevalência de ataques, ao reduzir o incentivo para os atacantes e mais de um terço (34%) considera que levará a um aumento do apoio e da intervenção governamental para proteger a resiliência cibernética.

No entanto, a investigação revela também que a conformidade com a nova legislação do setor privado com uma proibição é incerta. Três quartos (75%) dos líderes empresariais admitiram que, caso a proibição fosse alargada ao setor privado, ainda assim pagariam um resgate se essa fosse a única forma de salvar a sua organização, independentemente da existência de sanções civis ou criminais. Apenas 10% afirmaram com convicção que cumpririam a lei em caso de ataque.

Esta ambivalência evidencia o dilema que as empresas privadas enfrentam. Embora nenhuma organização queira pagar um resgate, muitas consideram não ter outra escolha senão fazê-lo — correndo o risco de sanções criminais — caso a sobrevivência da empresa esteja em causa.

Lei das consequências não intencionais

As medidas propostas pelo Governo britânico, para proibir pagamentos no setor público, podem ter efeitos secundários indesejados. Como as entidades públicas deixarão de representar alvos lucrativos, existe o risco de os atacantes redobrarem os ataques contra o setor privado, redirecionando os ataques para organizações consideradas menos preparadas para se defenderem, como as PMEs ou as organizações sem fins lucrativos.

A experiência devastadora da KNP, uma empresa de logística britânica, com 158 anos de atividade e cerca de 700 colaboradores, ilustra bem este risco. Incapaz de pagar um resgate estimado em milhões, a empresa não teve outra alternativa senão encerrar. Perante a perspetiva de falência, algumas organizações poderão optar por efetuar pagamentos em segredo. Para além de garantir que os pagamentos de resgates permanecem na clandestinidade, esta prática pode expor as empresas a novas formas de extorsão, caso os cibercriminosos ameacem posteriormente divulgar esses pagamentos.

Dado que os ataques de ransomware são praticamente inevitáveis e que a decisão de pagar envolve desafios éticos, legais e práticos, a única forma de as empresas do setor privado se prevenirem é aumentarem o investimento em tecnologias de prevenção, deteção e recuperação rápida, reforçando assim a sua resiliência cibernética.

Abordagem orientada para o negócio: o modelo de viabilidade mínima

Tendo em conta que a recuperação de um ciberataque demora, em média, 24 dias e que 43% das empresas britânicas relatam ter sofrido uma violação ou ataque nos últimos 12 meses, manter os serviços essenciais durante um ciberataque tornou-se absolutamente indispensável, o que significa ter um plano claro e acionável para restaurar sistemas, dados e processos críticos.

A viabilidade mínima, ou “empresa minimamente viável”, é uma abordagem orientada de cima para baixo, pensada no negócio, que permite às organizações priorizar a recuperação das operações nucleares até ser possível alcançar uma recuperação total. Ao proteger os sistemas, ativos, processos e pessoas essenciais para manter os serviços durante um ciberataque, as organizações conseguem continuar a operar em situação de crise e salvaguardar a sua viabilidade a longo prazo.

O desenvolvimento de um plano de viabilidade mínima começa muito antes de um ataque e envolve a identificação do que é verdadeiramente essencial para a continuidade do negócio — isto é, as aplicações e serviços fundamentais que devem permanecer seguros e operacionais em permanência. Normalmente, incluem-se aqui as plataformas de comunicação, como o email e ferramentas de colaboração, os sistemas financeiros e de contacto com clientes, bem como fluxos operacionais centrais.

A integridade e a disponibilidade de dados serão igualmente cruciais para restaurar operações e reduzir o risco de reinfeção. Neste âmbito, backups imutáveis e isolados (“air-gapped”), bem como testes e validações regulares dos pontos de recuperação, são vitais para assegurar a disponibilidade de dados limpos para a restauração.

Por último, uma vez que a resiliência depende tanto das pessoas como da tecnologia, é essencial definir claramente procedimentos de resposta a incidentes e realizar exercícios regulares baseados em cenários. O objetivo é testar a prontidão da organização, avaliar os tempos de resposta das equipas e identificar áreas que precisam de ser reforçadas.

Preparar o futuro

Se for implementada de forma eficaz, a proibição de pagamentos de ransomware poderá de facto reduzir o incentivo financeiro para os atacantes, conforme previsto. Mas, para as organizações que não dispõem de um plano sólido de ciberrecuperação ou dos recursos necessários para recuperar de um ataque, a proibição poderá acarretar riscos existenciais.

Independentemente da posição das organizações relativamente ao valor ou à viabilidade prática de uma proibição, a importância de reforçar as capacidades de proteção e recuperação é inquestionável, sobretudo quando pagar um resgate raramente garante a recuperação e muitas vezes aumenta a probabilidade de voltar a ser alvo. Ao incorporarem princípios de viabilidade mínima nos seus planos de resiliência e estratégias de recuperação, as organizações podem reduzir significativamente o impacto de consequências catastróficas quando um ataque ocorrer. Além disso, terão a capacidade de validar que os seus serviços essenciais podem ser recuperados de forma rápida e segura, caso o pior aconteça.