Por um triz, por um click…

phishing

No momento em que o mundo se vê refém do novo Coronavírus, cibercriminosos não dão trégua e estão extorquindo algumas instituições de saúde ao redor do globo [1]. Pasmem! Em plena pandemia!  A ação criminosa cria um grande embaraço para as instituições de saúde que se veem obrigadas a por em prática a contingência dos processos (não raro por meio de formulários em papel) diante da contaminação dos computadores por ransonware [2] e consequentemente a paralisação dos sistemas hospitalares. A paralização poderá afetar desde algumas estações até sistemas críticos e essenciais por completo, tais como: aqueles que suportam processos primários (o HIS, Hospital Information System); também aqueles sistemas que transportam e armazenam exames por imagem (RIS/PACS), o manuseio de dispensários eletrônicos e outros de igual relevância. O “tamanho do estrago” dependerá do nível de conexão entre esses dispositivos/sistemas e qual tratamento foi dispensado na segmentação lógica da rede. Não havendo segregação [3] o contágio certamente extrapolará os limites e ganhará escala. Podendo ser agravado por fatores como idade do parque, sistema operacional adotado e a atualização dos mesmos. Esses fatores dependem das ações do time da TI, e começa na apresentação do pleito orçamentário.

A contingência certamente durará o tempo escolhido pela organização. O que queremos dizer é que, durante a escolha das medidas que serão empregadas na recuperação, o tempo de retorno desejado deve ser avaliado. Aqui entra em cena uma métrica esquecida por alguns e percebida – de maneira amarga – no momento crítico: o RTO. O Recovery Time Objective está diretamente ligado ao apetite da organização quanto ao tempo que poderá dispor para retornar os processos ao status de normalidade (business as usual). Geralmente, quanto mais primoroso, automatizado e célere o plano, maior o investimento necessário. Cabe a TI apontar a resposta (custo) para o RTO almejado pelo negócio. Isso mesmo, o negócio deve apontar o RTO e não a TI! Por fim, o investimento deve estar em equilíbrio entre o custo das soluções de recuperação e o custo de interrupção das atividades [4]. Uma vez aprovado, a operacionalização do plano no âmbito dos dados, depende da TI.

A Checkpoint, em 16 de abril [5], emitiu um relatório que aborda a questão do malware e as notícias não são boas. Grupos de cibercriminosos não estão se contentando em criptografar (sequestrar) os dados dos hospitais, mas estão realizando a exfiltração desses dados, para torná-los públicos. Isso torna um problema que já era grave, muito pior.

A RISKIQ, em 9 de abril [6], revelou que a maioria dos ataques bem-sucedidos ao setor de saúde, foi desferido contra instituições de pequeno e médio porte (até 500 colaboradores). Também destaca que o ataque contra o setor cresceu 35% no período 2016-2019.  Esse fato aponta para a aposta dos hackers em organização desse porte, uma vez que a análise dos números revela que esse perfil sucumbirá mais facilmente a extorsão, pagando o resgate a fim de evitar impacto nas respectivas operações. Além disso, pesquisadores destacam que os cibercriminosos estão capitalizando as preocupações com o COVID-19, para enganar as instituições de saúde por meio de ataques cibernéticos, principalmente as unidades destinadas ao cuidado e iteração com o paciente. O estudo revela ainda que o valor médio do resgate é US$ 59.000,00. Obviamente, esse valor não considera o custo de recuperação, o tempo de inatividade (que pode levar até 10 dias, segundo o relatório) e a judicialização futura por parte dos pacientes prejudicados.

Em maio de 2019, o Journal of the American Medical Association apresentou uma fotografia do setor de saúde americano com relação ao ataque por phishing, atribuindo como um dos fatores o turn-over e o gap de treinamento em cybersecurity dos recém-chegados nas organizações [7].  Nesse experimento, foram enviados cerca de 3 milhões de e-mails (simulações) para os funcionários de saúde. Com base no experimento, foi constatado que cerca de 422 mil foram abertos, ou seja aproximadamente 14%. O teste expõe a vulnerabilidade do setor a esse tipo de ataque. Não à toa o crescente número de tentativas de ransonware voltadas ao setor, como revelado pela pesquisa da RISKIQ.

Por conta da pandemia o cenário vivenciado hoje pelas empresas é muito mais desafiador. O trabalho remoto se tornou inevitável e então temos dispositivos por todos os lados acessando ativos de informação das organizações. Em um estudo recente, a Kaspersky destaca que ataques destinados a dispositivos móveis aumentaram 124% em março de 2020 quando comparado a fevereiro do mesmo ano [8].

Independentemente do cenário de exceção algumas medidas são importantes e devem ser tomadas pelo time de tecnologia. Bem como deve haver preocupação por parte da direção em subsidiar os investimentos necessários aos controles em camadas [9] que protegerão os dados dos pacientes. Cada um deve fazer sua parte.

Contudo, por mais que soluções “best of breed” sejam adotadas, sempre haverá o risco residual [10] e falhas podem acontecer. O backup enquanto controle aplicado a esse contexto é um bom exemplo disso. É eleito naturalmente como medida de recuperação inclusive no caso de contaminação do ambiente por ransonware. Perceba que se a ameaça estiver latente na rede, contaminando arquivos, fatalmente estará presente no backup e logo que recuperado os problemas retornam. Nesse quesito, o relatório apresentado pela Checkpoint [3] faz menção ao antivírus, IPS e medidas de sanitização de arquivos, todas complementares ao bom, velho e fundamental backup.

De igual modo, o processo de patch management não deve ser subestimado. O incidente que paralisou a NHS já demostrou isso na prática [11].

Independentemente do aparato de segurança aplicado na organização, tudo pode ruir! Basta uma conjunção de fatores simplórios, para que a ameaça se instale, e talvez se multiplique freneticamente pela rede e interrompa a operação. Nesse contexto, o elemento mais eficaz da cadeia será você! Como? Muito simples: ao receber mensagens com ofertas tentadoras, seja de um aplicativo, promoção, liquidação, notícias badaladas do momento, material contextualizado com sua atividade e etc. hesite sempre! Lembre-se, tudo está por um clique! Resista e comunique ao pessoal da tecnologia sobre o e-mail duvidoso que chegou a sua caixa de e-mail. Certamente eles saberão o que fazer!

Cada um deve fazer sua parte: resista a tentação de clicar!

Um abraço,

Alexandre Prata

Como a VA pode ajudar sua organização

É urgente a participação dos colaboradores na construção da cyber defesa da organização. Colaboradores conscientes e sensibilizados quanto ao meios pelo qual o malware se aloja e propaga na organização, formarão a primeira fileira no combate as pragas virtuais. Os colaboradores estão no front! Devem estar preparados! A Ventura Academy pode auxiliá-los nessa missão. Como? Por meio de um portfólio de treinamentos contextualizados com os desafios cotidianos vivenciados pelas organizações.

Por exemplo, um dos setores mais afetados nesse momento, devido ao surto mundial da COVID-19, é o healthcare. A Ventura Academy possui, conteúdo on demand que fortalecerá a postura dos colaboradores quanto a essa cyber ameaça e outras que se manifestam, atualmente, nas organizações de saúde:

Procure-nos para cursos customizados, sob medida para sua organização. Estamos prontos a compreender seus desafios e atendê-los.

Referências:

[1] https://www.bleepingcomputer.com/news/security/ryuk-ransomware-keeps-targeting-hospitals-during-the-pandemic/. Acesso em 28/04/20.

[2] https://www.kaspersky.com.br/resource-center/definitions/what-is-ransomware

[3] Shon Harris, McGraw Hill Professional, 31/01/2010, Pg. 406

[4] Shon Harris, McGraw Hill Professional, 31/01/2010, Pg. 816

[5] https://research.checkpoint.com/2020/ransomware-evolved-double-extortion/. Acesso em 28/04/20.

[6] https://www.riskiq.com/wp-content/uploads/2020/04/Ransomware-in-Health-Sector-Intelligence-Brief-RiskIQ.pdf. Acesso em 28/04/20.

[7] https://jamanetwork.com/journals/jamanetworkopen/fullarticle/2727270. Acesso em 28/04/20.

[8] https://www.kaspersky.com.br/blog/phishing-covid-smartphone-pesquisa/14663/. Acesso em 28/04/20

[9] Official (ISC2), Guide to the CISSP CBK, Adam Gordon, CRC Press, 8/05/2015, Pg. 895

[10] ISO/IEC 2700:2018, Definitions, Pg. 8.

[11] https://www.telegraph.co.uk/technology/2018/10/11/wannacry-cyber-attack-cost-nhs-92m-19000-appointments-cancelled/. Acesso em 28/04/20.

Especialista em Gestão de Segurança da Informação, Gestão de Projetos, MBA em Governança de TI e graduado em Sistemas de Informação. Ao longo da carreira obteve as principais certificações de tecnologia, relacionadas a cyber security (CISSP, CISM e ISO 27001 LA), gestão de serviços de TI e outras da indústria (ITIL Expert, TOGAF, COBIT, ABCP DRII, DevOps e Privacy and Data Protection). Com mais de 25 anos de experiência tem atuado em grandes empresas nacionais e estrangeiras de diversos segmentos, tais como: tintas de segurança para moeda e documentos (SICPA), broadcast (TV Globo) e processamento de bilhetagem eletrônica para mobilidade urbana (RIOCARD) e healthcare. É coautor do livro LGPD – Lei Geral de Proteção de Dados – Manual de Implantação, lançado pela editora Revista dos Tribunais/Thonsom Reuters.