Por Dave Russell
Nos últimos anos, os ciberataques se tornaram algo sobre o qual o público em geral está cada vez mais ciente. Entretanto, uma percepção ainda existe, certamente fora da indústria de TI, de que ciberataques são somente algo que acontece na internet. É difícil relacionar e comparar o impacto do cibercrime nas suas vítimas – quer seja uma pessoa que caiu num golpe on-line, ou uma companhia que foi forçada a pagar um resgate para restaurar seus sistemas. Por esta razão, nem sempre parece que o cibercrime é visto ou tratado como um crime real.
Porém, nós reconhecemos que o cibercrime é realmente um crime, mas, para alguns, isso pode ser difícil aceitar. A ideia de ficar totalmente indignado pelo fato de um hacker derrubar a operação de uma empresa multinacional poderia parecer forçada. Isso acontece possivelmente devido aos estereótipos que muitos criaram que taxam os cibercriminosos como simples nerds da ciência da computação entediados. É importante considerar que a maioria dos ciberataques é trabalho de um crime bastante organizado e rico, que inclui operações altamente sofisticadas com o objetivo de roubar dinheiro da empresa que paga seu salário e do Governo que coleta seus impostos. Isso te soa como um crime?
Nós somos culpados por acusar a vítima?
O fato é que o cibercrime é um crime real e as empresas que caem nesse golpe são suas vítimas. Elas sofreram um crime cometido contra elas. Entretanto, o grau de solidariedade em relação às organizações que sofreram uma violação é muito diferente do que teríamos com um indivíduo. Se alguém lhe contar que foi atacado, que teve suas informações pessoais comprometidas e seu dinheiro roubado, sua reação natural provavelmente não será dizer que a culpa é dela.
Em se tratando de ataques em ambientes corporativos, que são a origem de danos perenes para a imagem das empresas, nós tendemos a presumir que elas fizeram algo errado e agiram de maneira descuidada. Como alguém que trabalha na indústria de proteção de dados há mais de 32 anos, eu tenderia a concordar com isso. A vasta maioria dos incidentes cibernéticos são evitáveis e, muitas vezes são resultado da falha em seguir as melhores práticas, da falta de higiene digital, e/ ou de um software desatualizado.
No entanto, existe algum outro tipo de crime que se concentre quase que exclusivamente em culpar a vítima e tão pouco em levar os criminosos à justiça? As empresas são vistas mais como culpadas do que como vítimas, e é aceito que os criminosos não podem ser punidos devido à falta de um sistema jurídico global acordado. Se um criminoso de outro país viaja para os EUA, por exemplo, e comete um crime contra uma empresa em território americano, há todo um processo diplomático para garantir que essa pessoa seja levada à justiça e a vítima seja indenizada. Isso simplesmente não é o caso quando se trata de ransomware.
A cooperação internacional e intercontinental é a única maneira de criar um ambiente no qual os riscos são maiores do que as recompensas para os ciberataques. Os casos de ransomware aceleraram durante a pandemia, aumentando o empenho dos líderes governamentais e empresariais para romper o impasse geopolítico que permitiu que os cibercriminosos se rebelassem. Mas isso não será fácil, e uma solução holística viável ainda está longe de acontecer.
Aprenda auto-defesa
Na ausência de um sistema de justiça que nos proteja completamente dos bandidos, o instinto de sobrevivência básico exige que aprendamos a nos defender. No contexto da cibersegurança, isso significa focar em alguns fundamentos. Em primeiro lugar, toda empresa precisa de um líder de segurança de TI dedicado. Para empresas menores, é absolutamente necessário ter um recurso focado em segurança cibernética e especializado em proteção de dados. Em segundo lugar, as empresas precisam de uma higiene digital impecável, o que inclui treinamento obrigatório para todos os funcionários para que eles entendam a quem denunciar e por que isso é importante. Quanto mais as pessoas concordam com a necessidade de uma boa higiene digital, mais alertas e dispostos elas ficarão para evitar ataques.
E, finalmente, nunca pague o resgate. As organizações que pagam resgates alimentam a percepção de que o pagamento é algo fácil. Assim que as empresas pararem de pagar resgates, veremos uma redução na popularidade do ransomware como técnica de extorsão. Embora as empresas que sofrem ataques cibernéticos sejam de fato vítimas, elas são responsáveis por proteger todos os dados que usam, processam e armazenam. Pagar cibercriminosos para colocar os sistemas online novamente é uma estratégia de defesa insustentável. À medida que os Governos se tornam mais ativos na tentativa de evitar a disseminação de ransomware, podemos ver empresas que o fazem investigadas e repreendidas por reguladores independentes.
Claramente, lidar com a implacável e crescente atividade cibercriminosa contra companhias e indivíduos será um esforço internacional tanto no setor público, quanto no privado. Embora seja importante que o crime cibernético seja devidamente “criminalizado” e que os criminosos sejam levados à justiça, as empresas devem compreender a responsabilidade que têm para com seus clientes e funcionários para proteger todos os dados em sua jurisdição. Isso só pode ser feito com a implementação de uma estratégia de proteção de dados moderna que combine defesas eficazes de segurança cibernética de linha de frente com uma abordagem abrangente para backup de dados e recuperação de desastres.
*Dave Russell, VP, Enterprise Strategy, da Veeam