Atualmente, estima-se que as fugas de dados custem mais de 3,6 milhões de euros por incidente. E as fugas de dados estão a ocorrer a uma escala sem precedentes à medida que as empresas expandem a sua infraestrutura digital, aumentando o número de possíveis vetores de ataque.
As empresas não estão bem preparadas para isto: em média, demoram cerca de 287 dias a encontrar e conter fugas de dados. A presença de ransomware, um precursor cada vez mais comum neste tipo de incidente, também complica a situação. A ESET compilou uma lista de 10 passos a tomar depois de ser detetada uma fuga de dados.
1. Manter a calma
Uma fuga de dados é provavelmente uma das situações mais stressantes em que uma empresa se pode encontrar, especialmente se o incidente foi causado por ransomware que encriptou ficheiros importantes e está a exigir pagamento de resgate. No entanto, respostas precoces podem causar mais problemas do que resolvem. Embora seja importante voltar a pôr o negócio em marcha o mais rápido possível, agir metodicamente é crucial. É necessário seguir o plano de resposta a incidentes e perceber a extensão dos danos antes de se tomar qualquer grande decisão.
2. Seguir o plano de resposta a incidentes
Uma vez que hoje em dia não é um caso de “se”, mas de “quando” uma empresa será vítima de uma fuga de dados, um plano de resposta a incidentes é uma prática de cibersegurança essencial. Isto requer planeamento com antecedência. Quando uma fuga de dados grave é detetada, uma equipa de resposta pré-designada com representantes de todas as áreas do negócio deve seguir o processo passo-a-passo. É uma boa ideia testar este plano periodicamente para que todos os envolvidos estejam preparados e o processo em si esteja atualizado.
3. Avaliar a extensão da fuga
Um dos primeiros passos mais importantes a tomar em sequência de qualquer grande incidente de segurança é perceber a extensão da fuga de dados na empresa. Esta informação é relevante para ações subsequentes como a notificação e remediação. Idealmente, deve-se determinar como é que os ciberatacantes entraram no sistema e qual a “zona de impacto” do ataque: que sistema foram afetados, que dados foram comprometidos e se os atacantes ainda estão dentro da rede. É aqui que especialistas forenses externos devem ser chamados.
4. Consultar a equipa jurídica
Depois de uma fuga de dados, é preciso saber a situação da empresa. Que responsabilidades tem? Que autoridades devem ser informadas? Deve-se negociar com os atacantes para ganhar tempo? Quando é que os clientes e parceiros devem ser notificados? A equipa jurídica interna deverá ser a primeira a ser consultada, mas também é boa ideia chamar especialistas da área da cibersegurança. É aqui que é vital saber exatamente o que aconteceu, de forma a permitir a estes especialistas tomar decisões informadas.
5. Saber quando, como e quem notificar
Sob os termos do Regulamento Geral sobre a Proteção de Dados, a notificação da autoridade de controlo tem que ser feita até 72 horas depois de uma fuga de dados ser descoberta. No entanto, é importante saber quais são os requisitos mínimos de notificação, uma vez que alguns incidentes podem não o exigir. É aqui que é essencial saber exatamente qual a extensão da fuga de dados, porque caso contrário terá que se assumir o pior na notificação da autoridade de controlo.
6. Informar as autoridades policiais
Independentemente do que acontecer com a autoridade de controlo, provavelmente também será necessário informar as autoridades policiais, especialmente se ainda estiverem ciberatacantes dentro da rede. O ideal é chamá-las o mais rapidamente possível: no caso de ransomware, por exemplo, elas poderão conseguir contactar fornecedores de segurança e outras entidades externas que oferecem chaves de desencriptação e ferramentas de mitigação.
7. Avisar os clientes, parceiros e empregados
O número de clientes/parceiros/empregados que é necessário informar, o que lhes dizer e quando depende tudo dos detalhes do incidente, e do que foi roubado. Inicialmente, deve-se emitir um comunicado dizendo que a empresa está ciente da ocorrência de um incidente e está a investigar. Mas os rumores proliferam no vácuo, pelo que isto deverá ser seguido de outro comunicado com mais detalhes o mais rapidamente possível. As equipas de TI, PR e jurídicas devem trabalhar em conjunto nesta atividade.
8. Começar a recuperação e remediação
Quando a extensão do ataque for conhecida e as equipas forenses e de resposta a incidentes estiverem confiantes que os atacantes já não têm acesso ao sistema, chega a altura de voltar a pôr tudo a funcionar. Isto pode consistir em restaurar backups, reformatar máquinas comprometidas, atualizar dispositivos afetados e recuperar passwords.
9. Desenvolver resiliência contra ataques futuros
Os ciberatacantes frequentemente visam a mesma empresa múltiplas vezes, especialmente com ransomware. Isto faz com que seja mais importante do que nunca usar a informação obtida sobre um incidente para garantir que os vetores de ataque presentes nessa instância não possam voltar a ser explorados no futuro. Esse processo pode traduzir-se em melhor gestão de passwords e atualizações, mais treino de consciencialização de cibersegurança, implementação de autenticação multifatorial ou mudanças mais profundas das pessoas, processos e tecnologias da empresa.
10. Estudar os erros das respostas a incidentes
A peça final do puzzle da resposta a incidentes é aprender com a experiência. Parte disso consiste em desenvolver resiliência contra ataques futuros como descrito acima, mas também se pode estudar o exemplo de outros. A história das fugas de dados está cheia de casos de alto perfil em que houve erros nas respostas aos incidentes. Analisar essas falhas pode ajudar a melhorar o plano de ação de qualquer empresa, mesmo aquelas que têm a sorte de nunca terem sofrido um ciberataque.
Aconteça o que acontecer, as pessoas estão cada vez mais cientes que as empresas com quem negoceiam podem sofrer incidentes de cibersegurança. Como elas reagem a isso é que determina se os clientes se mantêm ou as abandonam – e quais serão os danos financeiros e à sua reputação.
