Por Danielle M. Gardiner, CPA, CFF, e Joseph Lazzarotti, Colaborador: Shiraz Saeed
O Ransomware está entre os tipos mais ofensivos e prejudiciais de ataques cibernéticos que uma organização pode experimentar. Os malfeitores por trás desses ataques usam malware para acessar sistemas e criptografar os dados que encontram, incapacitando organizações e colocando em risco dados pessoais de clientes. Acrescentando insulto ao dano, os criminosos exigem o pagamento de um resgate para liberarem os dados de volta para as mãos da organização.
De acordo com um relatório recente da Trend Micro, 84% das organizações dos EUA sofreram ataques de phishing ou ransomware no último ano. (Phishing é o principal método usado para iniciar um ataque de ransomware.) O grupo de consultoria de segurança Unit 42 estima que o pagamento médio de ransomware foi de US$ 570.000, um aumento de 82% em relação a 2020 e avalia que haja sete ataques de ransomware por hora nos EUA, o que equivale a 65.000 ataques apenas no ano passado, de acordo com a Recorded Future, uma empresa de cibersegurança com sede em Boston.
Companhias de seguros, gerentes de sinistros, contadores forenses, empresas de segurança cibernética e advogados estão entre os socorristas de um ataque de ransomware, ajudando a avaliar as perdas potenciais e a auxiliar a organização vítima em sua recuperação. Uma das primeiras perguntas que uma organização atacada fará é: “Devemos pagar o resgate?”
Reconheça que uma situação de ransomware não é diferente de qualquer outro tipo de negociação. A cada negociação, você deve considerar o que cada parte consideraria uma vitória ou uma derrota e com o que eles vão sair.
Ao decidir pagar um resgate, há algumas perguntas-chave a responder:
O que foi comprometido?
Enfrentar um ataque de ransomware não é a melhor maneira de começar o dia. Em muitos casos, o primeiro funcionário a bater o ponto é recebido com uma tela que fornece um aviso de perda de acesso aos dados e, possivelmente, uma ameaça de exposição desses dados. Dependendo da posição do funcionário na organização, surgirá uma enxurrada de perguntas. O que está acontecendo? Como vou conseguir finalizar o projeto para hoje? Seria apenas o meu computador ou isso afeta outros sistemas? Para quem eu devo ligar? A resposta a uma pergunta, no entanto, é geralmente clara neste momento. Algo foi comprometido.
Contando com a força de seu plano de resposta a incidentes e equipe, a organização agora deve responder à pergunta mais importante – O que foi comprometido?
A resposta a esta pergunta será diferente para cada organização baseada no segmento e no tipo de negócio. O comprometimento dos sistemas de controle avançado de um fabricante poderia ter um impacto devastador nos cronogramas de produção e obrigações contratuais, e potencialmente um impacto significativo da cadeia de suprimentos. A incapacidade de acessar prontuários médicos eletrônicos (EMR) e outros sistemas pode causar riscos significativos ao atendimento a um paciente, incluindo colocar vidas em risco. Em 2021, muitos que vivem na costa leste dos EUA sofreram uma grande interrupção quando o fornecimento de combustível foi prejudicado por um ataque de ransomware aos sistemas da Colonial Pipeline. Um ente público, como uma escola, pode ter ressalvas e limitações mais urgentes pesando na decisão de usar recursos públicos para pagar um resgate.
Nessas situações, a organização precisa tomar decisões rápidas, e não menos importante, medir o impacto do comprometimento em seus negócios contra o preço exigido por um código de descriptografia. Considerado nesta decisão, é claro, está o risco de que o código simplesmente não funcione ou seja insuficiente para resolver o comprometimento crítico dos negócios.
A preparação para tais contingências pode ajudar a facilitar a decisão e o processo de tomada desta decisão, mas entender o escopo amplo dos danos causados influenciará muito na decisão de pagar ou não o resgate.
Quanto nos custará o tempo de inatividade?
Por quanto tempo o negócio será impactado? Qual será o custo de inatividade em termos de perda de receita ou interrupções de vendas? Qual é o custo para a recuperação dos dados sem o resgate? Essas são as perguntas que correm através das mentes dos tomadores de decisão durante a recuperação de um ataque de ransomware.
Com os ataques de ransomware no segmento industrial em ascensão, as empresas precisam identificar o quê está em jogo. Se as operações pararem, qual é o impacto financeiro resultante no lucro líquido da empresa? Haverá danos à reputação, resultando em perdas financeiras futuras? Os clientes encontrarão fornecedores alternativos, resultando em pedidos cancelados devido à incapacidade de cumprir obrigações? Quando as operações são retomadas, o fabricante ainda tem clientes dispostos a suportar a interrupção causada pelo ataque de ransomware?
Um contador forense com experiência em medir perdas de interrupção de negócios e familiaridade com as coberturas de apólices de seguro pode ajudar na identificação de custos potenciais utilizando os dados financeiros disponíveis de uma empresa para quantificar o impacto nas vendas e na consequente perda de receita. Além de identificar as coberturas e limites da apólice de seguro, o contador forense também pode fornecer informações sobre o tipo de apoio necessário para buscar o reembolso da seguradora.
Vários fatores estão envolvidos na decisão de pagar ou não o resgate. Quão críticos são os dados mantidos para resgate às operações e o que é necessário para se recriar tudo isso? Os dados criptografados são críticos para as operações diárias que resultariam em custos significativos para recriar, como os dados dos pacientes de uma unidade de saúde? A vítima do ataque de ransomware mantém backups de dados que podem ser usados para restaurar dados de forma eficiente? Cada organização terá que considerar essas questões em relação à sua situação específica.
As informações pessoais identificáveis individualmente foram impactadas?
As violações de dados podem desencadear obrigações de acordo com as leis de privacidade, bem como obrigações contratuais e éticas. Essas obrigações incluem notificar as pessoas afetadas e órgãos federais e estaduais, bem como fornecer serviços de monitoramento de crédito e resolução para o roubo de identidades.
Entender a natureza dos dados comprometidos é fundamental para entender se essas obrigações serão aplicadas. Se, por exemplo, a criptografia maliciosa atingir apenas arquivos contendo formulários de modelo e relatórios técnicos, o proprietário desses arquivos provavelmente não terá uma obrigação de notificação de violação de acordo com a legislação em vigor.
É claro que a incapacidade de recuperar esses materiais pode levar a uma interrupção significativa no negócio. Nesses casos, a empresa pode decidir pagar o resgate, considerando vários fatores, como o valor da demanda e o impacto no negócio.
Tradicionalmente, os ataques de ransomware criptografam arquivos e exigem um pagamento de resgate em troca de um código de descriptografia. Em uma tendência perturbadora, os criminosos associam criptografia com extração de dados, pedindo resgate também pela “promessa” de se manter a confidencialidade.
Novamente, assumindo que a extração ocorreu ou é razoavelmente provável, a natureza dos dados extraídos afetará a decisão de pagamento, juntamente com a natureza do negócio e outros fatores. Uma empresa de serviços profissionais pode estar muito mais motivada a fazer o que puder para evitar a divulgação de comunicações confidenciais de clientes, em comparação com um vendedor de widgets tentando impedir a divulgação de descrições de produtos e materiais de marketing. Esse vendedor poderia pensar diferente se o conjunto de dados incluísse informação sobre transações de clientes.
A parte 2 desta série examinará as questões em torno dos impactos regulatórios de uma violação, o que o seguro cobrirá ou não e as questões de relações públicas a serem consideradas em torno de um evento de cibersegurança.
Reimpresso com permissão do NU Property Casualty360 © 2022. Qualquer duplicação sem permissão é proibida. Todos os direitos reservados.