Vítimas do cibercrime dividem lições

Vítimas de ataques cibernéticos na pandemia, a empresa de call center Atento Brasil e o Hospital Sírio-Libanês dificilmente apagarão da memória os domingos de 17 de outubro de 2021 e 4 de julho de 2020. “Meu celular tocou às 5h da manhã; achei que era o despertador, mas era o diretor de tecnologia informando que estávamos com um problema grave de conectividade em 20% dos sites [unidades de data centers]”, lembra Dimitrius Oliveira, presidente da Atento Brasil, em entrevista exclusiva ao Valor.

Com a suspeita de cibercrime, depois confirmada como um ataque de sequestro de dados (ransomware), o executivo tomou a decisão de seguir o protocolo e desconectar a companhia. “A gente isolou toda a empresa do mundo externo e dela mesma para interromper o ataque, em 15 minutos”, lembra Oliveira. “Já passei por muitos momentos difíceis na minha vida profissional, mas nunca vi uma companhia parar 100%. É algo duríssimo.”

O isolamento da rede também foi adotado por Ailton Brandão, diretor de tecnologia do Hospital Sírio-Libanês, ao identificar que a instituição perdera o acesso a um servidor. “Foi uma primeira medida básica, mas não indolor”, recorda-se. À época, a instituição passava pela primeira onda do combate à pandemia. “Quando você fecha tudo, nenhum médico ou paciente consegue acessar os dados no hospital”, explica. “Você cria um domo para entender o que está acontecendo e tomar as providências.”

O cenário vivido por Oliveira e Brandão se repetiu muitas vezes desde o início da pandemia entre grandes instituições no país. No ano passado, os ciberataques a organizações no mundo aumentaram 40% em relação ao ano anterior, com uma em cada 61 organizações impactadas por tentativas de ataques cibernéticos semanalmente, informa a empresa de cibersegurança Check Point.

No Brasil, a média foi de 967 tentativas por semana, com alta de 62% sobre a média de 2020. Braskem, Cosan, CVC, Embraer, Grupo Fleury, JBS, Lojas Renner, Natura & Co., Porto Seguro, Superior Tribunal de Justiça, Tesouro Nacional, Westwing e, mais recentemente, o Ministério da Saúde -+ que não recuperou o fluxo de informações desde 7 de dezembro - também estão entre as vítimas de grupos cibercriminosos no país.

Na maioria dos casos, os hackers injetam programas maliciosos que invadem silenciosamente as redes corporativas, criptografam servidores e paralisam suas operações. Para liberar os servidores e não divulgar dados, os grupos pedem resgates em criptomoedas. Pagamento de resgate não foi uma opção considerada pela Atento ou pelo Sírio-Libanês. “Desde o princípio decidimos não pagar resgate porque é um caminho no qual não acreditamos”, diz Oliveira.

Após ameaças, os cibercriminosos divulgaram dados internos. “Houve vazamento de informações como estrutura comercial, tesouraria e propostas, que nos interessam internamente, mas não afetam nossos clientes”, afirma o executivo.

Retomar uma operação paralisada por um ataque de ransomware leva tempo - entre uma e duas semanas, em média, segundo especialistas. “É difícil administrar a ansiedade de reconectar o negócio, sem a garantia de segurança”, avalia Oliveira. “No quinto dia após o ataque, já tínhamos os controles dos data centers, mas tomamos o caminho de recuperar site a site, por precaução”.

O processo de retomada de 85% dos serviços da Atento levou duas semanas. Desconectar uma das maiores empresas de call center do país gerou impacto no atendimento de empresas como Azul Linhas Aéreas, Bradesco, Itaú Unibanco, iFood, Unimed Rio e Vivo. “Fomos transparentes com os clientes porque a pressão é grande sobre nós e eles”, diz o executivo. “O nível de colaboração e respeito com a gente foi enorme”.

Na ‘sala de guerra’ montada na sede do Sírio-Libanês, em São Paulo, no dia do ataque, a equipe de tecnologia, os principais gerentes e diretores organizaram o fluxo do hospital sem o sistema e se preocuparam em alertar médicos e o público. “Ao contrário de muitas empresas, demos transparência ao problema”, ressalta Brandão.

O diretor de tecnologia conta que a retomada do sistema envolveu a reinstalação completa dos servidores afetados. “Levamos um dia para recuperar os sistemas críticos e uma semana para resgatar tudo”, detalha. A análise forense de peritos digitais detectou que o ciberataque ao Sírio-Libanês partiu de outra empresa do grupo cujo nome não foi revelado. “O site e os aplicativos acessados pelos médicos eram bem protegidos, mas a outra empresa tinha conexão com nosso data center”, diz Brandão. “Você precisa estar ligado a qualquer tipo de parceiro”, alerta.

Oliveira informa que a análise forense do incidente na Atento ainda está em curso, mas a suspeita também é de acesso por um fornecedor terceirizado. “Interromper a estrutura como um todo nos fez repensar toda a arquitetura de conexão”, diz o presidente da Atento. Elevar o nível de proteção e monitoramento em todo o perímetro da empresa, incluindo acessos remotos, foi uma medida tomada após o incidente.

“Hoje contamos com um sistema de monitoramento de anomalias de segurança técnicas e comportamentais”, afirma Oliveira. “Já pegamos download de um filme em uma máquina, o que não é necessariamente um prenúncio de ataque, mas um indicativo de possíveis brechas”.

Logo após o ataque, o Sírio-Libanês contratou uma consultoria que revisou ferramentas, processos e equipes. Desde então, o hospital ampliou o quadro de segurança da informação e mudou toda a tecnologia de segurança. “Os antivírus não fazem nem cócegas em um ataque de ransomware”, afirma Brandão. Políticas mais rígidas de acesso e autenticação também foram adotadas pelas organizações.