Após 158 anos de história, tendo sobrevivido a duas guerras mundiais e algumas crises financeiras, a KPN Logistics Group, renomada empresa de logística britânica, declarou falência após um ataque de Ransomware reivindicado pelo grupo Akira. Não foram as mudanças tecnológicas ou desenvolvimentos da indústria que fizeram com que isso ocorresse, mas uma senha fraca explorada por hackers, o que acende um alerta sobre possíveis fragilidades existentes em empresas ao redor do mundo.
No caso sob comento, foi possível verificar que o grupo Akira, que possuía em sua mira os sistemas utilizados pela KPN Logistics, encontrou uma credencial de usuário que não exigia a autenticação de múltiplos fatores – algo amplamente adotado por usuários de WhatsApp, por exemplo, para evitar o sequestro de suas contas. Após realizarem um exercício de tentativa e erro, os atacantes descobriram a senha do usuário, o que possibilitou o acesso à toda infraestrutura digital da empresa.
Uma vez com acesso ao sistema da empresa, o grupo atacante criptografou todos os dados indispensáveis às operações da KPN Logistics, tais como dados comerciais e rotas de transportes, o que fez com que praticamente toda a frota da empresa ficasse parada. Ademais, os hackers, para assegurar a efetividade do ataque, localizaram e destruíram os backups e sistemas de recuperação de desastres da empresa. O resgate exigido foi de € 5.000.000,00 (cinco milhões de euros). Relatos apontam que, em questão de semanas, a KPN entrou em insolvência civil e cerca de 700 funcionários foram demitidos.
Apesar de o foco de ataques desta natureza ser, em parte, operacional, é quase certo que eles vão de encontro a dados pessoais, de funcionários, parceiros comerciais, fornecedores etc., armazenados em sistemas que são alvos em potencial. Desta forma, ainda que uma empresa possua seguro contra ataques cibernéticos, atue em conformidade com a legislação aplicável e as melhores práticas de mercado, como era o caso da KPN, a criação de uma cultura de proteção de dados e o trabalho para enraizar procedimentos relacionados é indispensável para evitar eventos desta natureza.
Muito além das obrigações advindas da Lei nº 13.709/2018 (“LGPD”), que dispõe que as empresas devem adotar medidas técnicas e administrativas aptas a proteger os dados pessoais, observar os princípios de prevenção, segurança e responsabilização, manter governança e boas práticas e comunicar a Autoridade Nacional de Proteção de Dados (ANPD), assim como os titulares em casos de incidentes de segurança, os pilares tecnologia, processos, contratos e pessoas devem estar alinhados para fins preventivos.
A prevenção possui ponto de partida com a identidade e o acesso. Para tanto, algumas boas práticas que podem ser citadas são a exigência, não apenas recomendação, de autenticação multifator em e-mail, adotar o uso de VPN e monitorar acessos remotos. Somado a isto está a abolição da reutilização de senhas e bloqueio de senhas consideradas fracas (aquelas que não contam com caracteres especiais, letras maiúsculas, minúsculas e números).
Além disso, é essencial fazer uma separação de contas administrativas de contas de uso diário e pessoais, revisar periodicamente perfis e credenciais e armazenar contas de emergência em cofres com controle de acesso e registro de auditoria. No caso em tela, uma senha frágil foi um convite aos hackers, mas este vetor é plenamente evitável se os pilares citados anteriormente estiverem alinhados e a cultura de privacidade for conhecida e praticada por todos os colaboradores.
Este artigo insiste no pilar cultural, pois parte dele a transformação de regramento em hábito e, consequentemente, em reflexos na prevenção de incidentes de segurança. É a partir dela que também é possível viabilizar, na prática, os princípios de prevenção, segurança e responsabilização, apresentados pela LGPD, reduzindo exposição regulatória e custo total de risco, além de gerar confiança de clientes e parceiros.
O fomento desta cultura tem origem no topo das empresas, com as lideranças participando de exercícios, cobrando métricas e utilizando sistemas seguros, mas também pode surgir por fricção baixa nas ferramentas seguras (SSO, autenticação multifator simples, gestor de senhas para todos), por treinamento contínuo e curto com feedback imediato, por um canal de reporte e por reconhecimento de boas práticas e detecções precoces.
Em suma, se a empresa mantiver requisitos de segurança padrões em seus sistemas, backups imutáveis testados, patching disciplinado e pessoas treinadas que reportam rápido, elimina a maioria dos cenários que levam um incidente comum a virar desastre. Os demais aspectos relacionados a este tema são tratados por meio de governança para manter esses fundamentos funcionando diariamente.
Considerando o exposto, reduzir o risco de ransomware exige, dentre outros aspectos, treinamento contínuo e mensurável dos times, due diligence de parceiros com avaliação de conformidade LGPD (e contratos que reflitam o papel e a responsabilização distintos de controladores e operadores), e uma política de resposta a incidentes clara e testada. Some-se a pilares técnicos inegociáveis — autenticação multifator, sistemas de detecção de comportamentos suspeitos, backups imutáveis testados e gerenciamento de acessos, apoiados por governança advinda de um encarregado atuante.
—
Advogado(a) autor(a) do comentário: Pedro Moreno da Cunha Lins, Pedro Zardo Júnior e Cesar Peduti Filho, Peduti Advogados
—
Se quiser saber mais sobre este tema, contate o autor ou o Dr. Cesar Peduti Filho.
If you want to learn more about this topic, contact the author or the managing partner, Dr. Cesar Peduti Filho.
