2017-8-16
O ransomware é, hoje, uma das principais ameaças às empresas. O seu objetivo é impedir o acesso do utilizador aos seus ficheiros, a não ser que pague um resgate pela sua libertação. Embora pareça um argumento de filme de cinema, é já muito real e já fez inúmeras vítimas empresariais em todo o mundo, como pudemos ver muito recentemente com o ataque do WannaCry
A razão do sucesso do ransomware prende- -se com o facto de recorrer a técnicas de engenharia social para expandir a infeção e, por muito seguros que sejam os sistemas de uma empresa, o fator humano representa sempre um risco elevado. Talvez o exemplo mais danoso de todos seja o de WannaCry, que em maio afetou empresas de mais de cem países, tornando-se no maior ciberataque registado até hoje. Embora ainda não disponhamos de todos os detalhes sobre este ciberataque, sabemos que as invasões de ransomware são muitas vezes geradas a partir de postos de utilizador (como computadores portáteis, desktop, smartphones ou tablets). Por uma razão ou outra, este tipo de dispositivos não costuma contar com as mesmas políticas de atualizações de segurança de outras infraestruturas empresariais. Este ataque mostra a realidade do mundo em que vivemos. Uma vez infetados, só temos duas opções: pagar ou implementar um plano de recuperação de dados. E rápido. Ter um plano de recuperação de dados é sempre uma prioridade, mas o que antes funcionava não tem necessariamente que resultar perante esta nova realidade. No mundo atual, o alcance e a complexidade do ransomware continua a crescer. Portanto, a pergunta agora é: o que podemos fazer para proteger os nossos ficheiros de ameaças deste tipo? Reforçar a segurança seria a resposta mais óbvia, mas isto só não resolveria nem metade do problema. Contar com uma cópia de segurança sincronizada também não é suficiente para resolver o problema, nem localmente nem na nuvem, já que no momento em que os ficheiros são sincronizados (algo que normalmente ocorre quando se realiza alguma alteração nos mesmos), deixariam de ser úteis. Pela nossa experiência, neste tipo de casos é, como diz o ditado, melhor prevenir do que remediar. As soluções de segurança tradicionais e reativas não são suficientes, já que normalmente identificam e limpam a ameaça quando esta já fez estragos. É necessário abordar este problema do ponto de vista da proteção dos dados empresariais - que engloba tanto os servidores como os portáteis ou os dispositivos móveis dos empregados. Esta proteção deve estar integrada na estratégia de gestão da informação de qualquer entidade. Isto pode incluir cópias em disco, tape, na nuvem, etc. Deve-se proteger a informação durante todo o seu ciclo de vida e em todos os pontos em que é possível aceder a ela. Além disso, devem existir mecanismos de recuperação de desastres e de restauro, implementados como medida imediata uma vez detetada a infeção. São frequentes os casos de organizações que confirmam ter sido infetadas apesar de disporem de soluções de segurança perimetral e de endpoint atualizadas. Nestes casos, estas empresas admitem que só o facto de disporem de uma cópia de segurança limpa dos ficheiros afetados lhes permitiu não perderem a informação mais crítica para o seu negócio. Hoje em dia, a perceção da grande maioria das empresas é que não se trata de saber se ameaças como o WannaCry vão ou não ter impacto numa organização, mas quando isso vai acontecer. Ao usar como forma de propagação aquele que é provavelmente o elo mais fraco da cadeia (o fator humano), as possibilidades de êxito de um ataque com recurso a este software malicioso são muito elevadas. Por tudo isto, a prevenção é a chave do problema. Além de dispor de uma estratégia de gestão e de proteção da informação, é imprescindível formar os colaboradores das empresas. E, como é evidente, nunca se deve ceder à chantagem, não só porque não compensa favorecer ou financiar o cibercrime, como também porque muitas vezes os ficheiros não chegam sequer a ser recuperados mesmo pagando o regate.
Por David Benito, partner business manager Iberia, Commvault |