Vítimas do cibercrime dividem lições
Vítimas de ataques cibernéticos na pandemia, a empresa de call center Atento Brasil e o Hospital Sírio-Libanês dificilmente apagarão da memória os domingos de 17 de outubro de 2021 e 4 de julho de 2020. “Meu celular tocou às 5h da manhã; achei que era o despertador, mas era o diretor de tecnologia informando que estávamos com um problema grave de conectividade em 20% dos sites [unidades de data centers]”, lembra Dimitrius Oliveira, presidente da Atento Brasil, em entrevista exclusiva ao Valor.
Com a suspeita de cibercrime, depois confirmada como um
ataque de sequestro de dados (ransomware), o executivo tomou a decisão de
seguir o protocolo e desconectar a companhia. “A gente isolou toda a empresa do
mundo externo e dela mesma para interromper o ataque, em 15 minutos”, lembra
Oliveira. “Já passei por muitos momentos difíceis na minha vida profissional,
mas nunca vi uma companhia parar 100%. É algo duríssimo.”
O isolamento da rede também foi adotado por Ailton Brandão,
diretor de tecnologia do Hospital Sírio-Libanês, ao identificar que a
instituição perdera o acesso a um servidor. “Foi uma primeira medida básica,
mas não indolor”, recorda-se. À época, a instituição passava pela primeira onda
do combate à pandemia. “Quando você fecha tudo, nenhum médico ou paciente
consegue acessar os dados no hospital”, explica. “Você cria um domo para
entender o que está acontecendo e tomar as providências.”
O cenário vivido por Oliveira e Brandão se repetiu muitas
vezes desde o início da pandemia entre grandes instituições no país. No ano
passado, os ciberataques a organizações no mundo aumentaram 40% em relação ao
ano anterior, com uma em cada 61 organizações impactadas por tentativas de
ataques cibernéticos semanalmente, informa a empresa de cibersegurança Check
Point.
No Brasil, a média foi de 967 tentativas por semana, com
alta de 62% sobre a média de 2020. Braskem, Cosan, CVC, Embraer, Grupo Fleury,
JBS, Lojas Renner, Natura & Co., Porto Seguro, Superior Tribunal de
Justiça, Tesouro Nacional, Westwing e, mais recentemente, o Ministério da Saúde
-+ que não recuperou o fluxo de informações desde 7 de dezembro - também estão
entre as vítimas de grupos cibercriminosos no país.
Na maioria dos casos, os hackers injetam programas
maliciosos que invadem silenciosamente as redes corporativas, criptografam
servidores e paralisam suas operações. Para liberar os servidores e não
divulgar dados, os grupos pedem resgates em criptomoedas. Pagamento de resgate
não foi uma opção considerada pela Atento ou pelo Sírio-Libanês. “Desde o
princípio decidimos não pagar resgate porque é um caminho no qual não
acreditamos”, diz Oliveira.
Após ameaças, os cibercriminosos divulgaram dados internos.
“Houve vazamento de informações como estrutura comercial, tesouraria e
propostas, que nos interessam internamente, mas não afetam nossos clientes”,
afirma o executivo.
Retomar uma operação paralisada por um ataque de ransomware leva
tempo - entre uma e duas semanas, em média, segundo especialistas. “É difícil
administrar a ansiedade de reconectar o negócio, sem a garantia de segurança”,
avalia Oliveira. “No quinto dia após o ataque, já tínhamos os controles dos
data centers, mas tomamos o caminho de recuperar site a site, por precaução”.
O processo de retomada de 85% dos serviços da Atento levou
duas semanas. Desconectar uma das maiores empresas de call center do país gerou
impacto no atendimento de empresas como Azul Linhas Aéreas, Bradesco, Itaú
Unibanco, iFood, Unimed Rio e Vivo. “Fomos transparentes com os clientes porque
a pressão é grande sobre nós e eles”, diz o executivo. “O nível de colaboração
e respeito com a gente foi enorme”.
Na ‘sala de guerra’ montada na sede do Sírio-Libanês, em São
Paulo, no dia do ataque, a equipe de tecnologia, os principais gerentes e
diretores organizaram o fluxo do hospital sem o sistema e se preocuparam em
alertar médicos e o público. “Ao contrário de muitas empresas, demos
transparência ao problema”, ressalta Brandão.
O diretor de tecnologia conta que a retomada do sistema
envolveu a reinstalação completa dos servidores afetados. “Levamos um dia para
recuperar os sistemas críticos e uma semana para resgatar tudo”, detalha. A
análise forense de peritos digitais detectou que o ciberataque ao Sírio-Libanês
partiu de outra empresa do grupo cujo nome não foi revelado. “O site e os
aplicativos acessados pelos médicos eram bem protegidos, mas a outra empresa
tinha conexão com nosso data center”, diz Brandão. “Você precisa estar ligado a
qualquer tipo de parceiro”, alerta.
Oliveira informa que a análise forense do incidente na
Atento ainda está em curso, mas a suspeita também é de acesso por um fornecedor
terceirizado. “Interromper a estrutura como um todo nos fez repensar toda a
arquitetura de conexão”, diz o presidente da Atento. Elevar o nível de proteção
e monitoramento em todo o perímetro da empresa, incluindo acessos remotos, foi
uma medida tomada após o incidente.
“Hoje contamos com um sistema de monitoramento de anomalias
de segurança técnicas e comportamentais”, afirma Oliveira. “Já pegamos download
de um filme em uma máquina, o que não é necessariamente um prenúncio de ataque,
mas um indicativo de possíveis brechas”.
Logo após o ataque, o Sírio-Libanês contratou uma
consultoria que revisou ferramentas, processos e equipes. Desde então, o
hospital ampliou o quadro de segurança da informação e mudou toda a tecnologia
de segurança. “Os antivírus não fazem nem cócegas em um ataque de ransomware”,
afirma Brandão. Políticas mais rígidas de acesso e autenticação também foram adotadas
pelas organizações.