O Brasil registrou cerca de 103,1 bilhões de tentativas de ataques cibernéticos em 2022.

Esses dados apontados pela pesquisa Global Threat Landscape Report, realizada pela empresa de segurança Fortinet, demonstram que houve um crescimento de 16% nos ataques deste tipo se comparado com o ano anterior. Na América Latina, o Brasil é o segundo país com maior número de tentativas de ataques cibernéticos.

Os números chamam a atenção por si só, mas a preocupação vai além. A detecção preventiva de ataques ransomware, por parte das empresas, caiu de 22% em 2018 para apenas 13% em 2023. Infelizmente, a falta de detecção não indica que a atividade de ransomware esteja diminuindo. Em vez disso, é um sinal de que os ataques se tornaram mais eficientes, mais direcionados com manuais de operação mais sofisticados e rapidamente adaptáveis.

Esse cenário ficará ainda mais desafiador

O Centro Nacional de Segurança Cibernética do Reino Unido (NCSC) tem alertado que a inteligência artificial (IA) deverá intensificar o volume e a sofisticação dos ataques, melhorando técnicas como reconhecimento e engenharia social. Isso resultará em ataques mais eficazes e aumentará a ameaça de ataques ransomware.

Jovens olhando tela de pc

Um incidente cibernético pode resultar em prejuízos extremamente relevantes para uma empresa:

  • Perda e/ou exposição de dados estratégicos ou confidenciais;
  • Perda no valor da marca empresa;
  • Perda de receita;
  • Roubo de propriedade intelectual;
  • Ameaças à vida ou à segurança;
  • Danos à reputação;
  • Perda de clientes;
  • Interrupção nas operações;
  • Sujeição a multas e litígios; e
  • Geração de custos de diversas naturezas para reparação de danos.

Além de todas essas complicações, ainda há uma série de custos atrelados ao ataque, como:

  • Valor para detecção e escalonamento (atividades forenses e investigativas, serviços de avaliação de risco, gerenciamento de crises, comunicação às partes interessadas);
  • Custo de notificação (e-mails, cartas e avisos aos titulares, respostas a requisitos legais, comunicação com reguladores, envolvimento de especialistas externos); e
  • Orçamento de resposta pós-violação (atendimento a titulares e parceiros, despesas jurídicas, descontos em produtos para captação de clientes, multas regulatórias).

Mulher jovem ao computadorDe acordo com o estudo Data Breach Report, realizado pela IBM (2023), o custo médio global de uma violação de dados no último ano foi de US$ 4,45 milhões, um aumento de 15% em 3 anos

A pesquisa aponta, ainda, que o tempo médio de contenção a um ataque foi de 277 dias. Nesse cenário, 51% das organizações estão planejando aumentar os investimentos em segurança como resultado de uma violação.

Mas o investimento em segurança da informação precisa levar em consideração o cenário completo, a fim de maximizar o valor despendido em troca do melhor resultado. Para isso, consolidamos 05 (cinco) recomendações que deverão aumentar agilidade e eficiência de uma empresa quando precisar responder um incidente de segurança, considerando as três principais esferas que atuam em um incidente de grande representatividade: o time de contenção, o time de recuperação e o time de investigação e resposta.

1. Independência do time interno da empresa comprometida

Existe um conflito muito importante que deve ser levado em conta numa resposta a incidente, que é a independência do time interno da empresa comprometida. 

Ainda que os times internos não tenham envolvimento com a causa, é comum que um incidente ocorra por falha de controles ou porque algo não foi feito como deveria.

Assim, devemos considerar o conflito existente quando os profissionais internos suportam uma investigação contra os controles criados ou mantidos por eles próprios.

2. Coordenação das atividades de apuração com aquelas de contenção, erradicação e recuperação

Ainda que os profissionais não estejam envolvidos na causa do incidente – e isso é algo que deve ser considerado – times de TI e Segurança são orientados à garantia do CID: Confidencialidade, Integridade e Disponibilidade.

Por isso, durante um incidente é comum que os times internos priorizem a contenção, erradicação e recuperação, em detrimento das atividades de apuração.

Acontece que atividades de contenção, erradicação e recuperação podem destruir informações relevantes para a apuração de um incidente. Isso não significa que essas atividades devam ser interrompidas, ou que a apuração deve ser feita antes. Mas é importante que as ações aconteçam de forma coordenada.

Veja como exemplo o comprometimento de um servidor de controle de acesso. Para o time interno, é emergencial a recuperação do ambiente por meio de um backup. No entanto, ao mesmo tempo em que isso garante a operação, prejudica a capacidade da empresa entender o que aconteceu. E, para o time de apuração, é essencial entender o que foi feito, como foi feito, quanto foi comprometido, de onde surgiu a vulnerabilidade etc. Somente assim será possível à empresa vítima responder adequadamente aos diversos riscos decorrentes de um incidente cibernético, bem como às suas obrigações contratuais, regulatórias e legais.

3. Contratação prévia de parceiros estratégicos antes do incidente ocorrer

O envolvimento do time de especialistas em ataque precisa ser considerado muito antes da crise acontecer, e os benefícios disso são expressivos. É possível estabelecer, de antemão, contratos com especialistas em tecnologia forense e resposta a incidentes, além de advogados especializados, garantindo não somente a disponibilidade imediata em casos de ataque, mas o atendimento adequado durante um cenário de crise.

Além disso, identificar os possíveis parceiros e negociar preventivamente os contratos de suporte permitem uma economia significativa de recursos, sobretudo se compararmos a uma situação em que a negociação se dá em meio à própria crise, com a urgência e o pânico como pano de fundo e com times internos de segurança da informação já atuando em cima do cenário de crime cibernético, potencialmente comprometendo informações importantes que seriam fundamentais para uma real resolução do problema.

4. Avaliação coordenada dos riscos e impactos jurídicos

Em um panorama em que as empresas possuem cada vez mais responsabilidade legais como a LGPD, obrigações regulatórias, circulares do BACEN, normas de indústrias especificas (como a de Saúde), se torna absolutamente necessária a apuração de um incidente cibernético para a devida resposta ao risco e às regulamentações.

A LGDP e outras leis internacionais de privacidade trouxeram um novo viés para a resposta a incidentes. Por isso, é importante que algumas considerações sejam feitas:

  • há dados pessoais acessados, destruídos, extraídos ou divulgados?
  • é possível determinar os potenciais titulares afetados?
  • quais jurisdições devem ser consideradas?

Essas obrigações e responsabilidades estão cada vez mais incorporadas em contratos comerciais, de parcerias e apólices de seguro. Por isso, a repercussão do incidente nesses instrumentos jurídicos também precisa ser avaliada.

Para tanto, é importante que time técnico e jurídico estabeleçam um entendimento acerca do potencial impacto aos titulares de dados diante do que dizem as leis de privacidade. A solução para isto é que os times especialistas externos sejam envolvidos desde a identificação do incidente como forma de apoiar a empresa a responder com suas obrigações de forma tempestiva e apoiar na minimização de riscos de inconclusividade, riscos de destruição intencional ou não de informações devido o envolvimento de times não especializados, ou orientados a outros objetivos, e aumento de custos decorrentes de um incidente.

5. Simular e treinar

A maioria das empresas possui planos e playbooks de resposta a incidentes, indicando responsáveis, responsabilidades e ações a serem adotadas. No entanto, é crucial treinar e testar a eficácia desses planos para assegurar que funcionem conforme o esperado.

Uma abordagem seria aguardar que um incidente ocorra para identificar possíveis melhorias. Entretanto, nesse cenário, o incidente já teria ocorrido, trazendo consigo todos os riscos e danos mencionados anteriormente. Por isso, a recomendação é simular incidentes potencialmente reais em um ambiente controlado, o que permite testar o conhecimento e a eficácia das ações planejadas.

Através da simulação, torna-se possível ajustar processos e direcionar treinamentos específicos aos responsáveis. Assim, todos ficam seguros e bem preparados sobre o que precisa ser feito, além de quando e como agir, durante a jornada de resposta a incidentes.

Conclusão

Aumentar a agilidade e eficiência nas ações empresariais durante um incidente cibernético é um desafio que deve ser enfrentado imediatamente. As empresas precisam decidir proativamente como lidarão com um incidente de segurança, em vez de simplesmente aguardar que ele ocorra. As 5 recomendações que listamos não abrangem todas as medidas necessárias, mas representam aquelas frequentemente subestimadas por muitas empresas afetadas por incidentes de segurança. Por isso, achamos importante compartilhá-las.

Autores: Everson Probst - Sócio líder de Cybersecurity da Grant Thornton Brasil, e Tiago Neves Furtado - Gestor do time de Proteção de Dados e Resposta a Incidentes da Ópice Blum Advogados.

Como a Grant Thornton Brasil pode ajudar?

Conte com os nossos especialistas para obter mais informações e orientações sobre as medidas que sua organização deve tomar para mitigar riscos e lidar com ameaças digitais.