Cibercrime: Pagar resgate aos hackers é decisão estratégica do negócio

A preparação para lidar com a perda de dados causada por eventos criminosos passa pela simulação de todos os cenários possíveis, inclusive o eventual pagamento de resgates. Esta foi uma das conclusões de painel realizado durante o Futurecom 2023.

A CEO da Alumni Tech e mediadora do painel, Luzia Sarno, lembrou que, de acordo com o Index Mundial, o Brasil está em 24º lugar entre os países com o pior cenário em ciberataques. Os piores são Alemanha, Arábia Saudita e China. Partiu dela a questão que norteou o painel: afinal, uma empresa cujos dados foram roubados deve ou não pagar o resgate exigido?

A gerente de TI da Brasil Terminal Portuário, Fabiana Morgante Alencar, foi categórica. “Há um consenso entre os acionistas e nossa diretoria de não pagar resgates. Faremos o que for necessário para recolocar a operação no ar, mas não pagaremos”, explicou.

Posição semelhante tem o gerente de projetos da ANPD, Davi Teófilo. Ele disse que a agência não tem um posicionamento oficial sobre o tema, mas lembrou que, a partir do momento em que uma empresa paga o resgate, ela se transforma em um alvo recorrente do crime. “Além disso, não há garantia de que os dados serão entregues de volta”, enfatizou.

Mas a questão não é tão simples. Paulo Martins, diretor geral da Claro, diz que a ideia é não pagar, mas para assumir essa posição a empresa precisa ter garantias de que seu backup está íntegro e saber em quanto tempo pode ter seu ambiente de volta. “O ideal é não pagar, mas tudo isso precisa ser tratado antes”, defendeu.

A questão, como destacou Luzia, não tem uma resposta binária. O perito em segurança e CEO da Ventura EMR, Domingo Montanaro, lembrou que, na prática do dia a dia, há situações distintas. Em situações em que os cibercriminosos pedem mais de R$ 1 milhão de resgate, na maioria dos casos os dados são revertidos. “Isso não quer dizer que tudo volta a funcionar imediatamente, porque há um trabalho tremendo de sincronização, mas essas gangues organizadas costumam cumprir a palavra” afirmou.

No caso de quadrilhas menores, cujos valores de resgate ficam na casa dos milhares de Reais, em cerca da metade dos casos os dados não são devolvidos. “Nestes casos, eles costumam tentar aumentar os ganhos, pedindo mais dinheiro a cada novo contato”, explicou. O executivo também jogou por terra a premissa de que quem tem backup não deve pagar, citando o exemplo de uma empresa que decidiu pagar o resgate porque o restore de seu backup duraria 17 dias.

Prevenção e simulação

O fato é que as empresas devem estar preparadas para todas as situações que envolvam um potencial cibercrime. Teófilo, da ANPD, defendeu que elas devem construir uma estrutura de governança para isso, envolvendo todas as áreas. “Juntos, todos precisam pensar friamente no que fazer antes da ocorrência, definindo políticas e processos internos para lidar com incidentes de segurança”, disse.

Para Fabiana, da Brasil Terminal Portuário, esse planejamento deve levar em conta o grau de severidade de cada potencial ataque e as ações e atividades previstas em cada um dos casos. “Esse planejamento deve ser feito, revisado e treinado periodicamente, puxado pelo board da companhia”, diz. Martins, da Claro, concordou e afirmou que, em um ambiente já preparado e testado, a recuperação de dados é muito mais fácil.

Um ponto defendido por Montanaro, da Ventura, foi a simulação de todos os cenários envolvidos em um potencial cibercrime. Ele citou o exemplo de uma simulação de pagamento de resgate em que a empresa não tinha criptomoedas e nem processos rápidos de aquisição de altos valores. “As empresas não estão levando em conta a complexidade do processo de pagamento: como obter o dinheiro, como colocar no balanço, como comunicar ao mercado”, disse, lembrando que mesmo as que decidem pagar levam ao menos uma semana para entender como fazer isso.

Daí a necessidade de simulações e da montagem de uma matriz de risco. Martins, da Claro, ressaltou que um caminho efetivo é o uso do framework NIST, que traz fases importantes como conhecer o ambiente, seus níveis de proteção, necessidade de monitoramento, ações de contenção e de recuperação de dados. “O framework permite pensar em cada um destes pontos, mas é preciso que o board participe, porque senão será um grande projeto rejeitado pelo valor. Isso é fundamental para se montar uma matriz de risco”, afirmou.

Nessa entrevista ao Convergência Digital, o security strategist e sócio da Ventura ERM, Alexandre Prata, comentou  sobre o status do mercado brasileiro em relação aos ciberataques, o grau de maturidade das empresas brasileiras e como elas podem se preparar para enfrentar um eventual cibercrime.