Cultura de Segurança Cibernética. Da teoria à prática. Com esse tema central, o Congresso Security Leaders 2022 começou sua caravana hoje (24) reunindo líderes e especialistas da região do Centro-Oeste e Brasília para debater os pontos mais críticos da Segurança. No keynote de abertura, Jackeline Almeida, Coordenadora-geral de infraestrutura de TI e SI do Ministério da Saúde, trouxe informações importantes sobre o processo de resposta a incidente do órgão, além disso, destacou a importância de uma reflexão profunda sobre a cultura de Segurança no setor de Saúde.
De acordo com a executiva, no incidente sofrido pelo Ministério no final de 2021, o cenário era de estações de trabalho e servidores criptografados. “Descobrimos uma penetração no ambiente, mas não conseguimos identificar a origem desse acesso, pois nossa máquina de gerenciamento do antivírus também foi criptografada. Mas fizemos todo um trabalho de rastreabilidade em outras ferramentas e percebemos que, na ocasião, foi utilizada uma credencial de administrador em uma máquina”, descreve Jackeline.
A executiva explica que esse acesso privilegiado ativou funções de criptografia, fazendo movimentos laterais e criptografando em cadeia o ambiente. “Nesse cenário, nosso procedimento de tratamento e resposta foi desligar as interfaces de redes do servidor, interrompendo a comunicação das estações de trabalho para impedir o alastramento da movimentação”, acrescenta.
A partir daí, o time da Jackeline entrou com os protocolos de segurança analisando logs e registros de memória, mapeando e fazendo varredura total de todo ambiente do Ministério. Como procedimento de resposta devido ao uso indevido de credencial para penetração no ambiente, o time de Segurança do Ministério da Saúde também implementou firewall no antivírus, bloqueou a ativação de funcionalidade de criptografia do SO por GPO, reviu todo o funcionamento do parque computacional e fez um restore de máquinas criptografadas no servidor.
Jackeline chama atenção para a importância de ter uma inteligência em cima da resolução de um cenário de crise cibernética, principalmente quando há exposição de informação sigilosa na internet. “No tratamento desse cenário crítico, revogamos a credencial envolvida, fizemos a exclusão da exposição de informação na web, além disso, seguimos na avaliação nos logs de volume de acesso à informação”, completa.
Ela reflete que todos os setores hoje estão sujeitos a sofrer um ataque cibernético, que não é uma questão de “se”, mas de “quando” for atacado. “É preciso ter atenção aos programas de aculturamento em Segurança e compartilhamento de experiências para que possamos juntos responder com inteligência esses ataques, principalmente para um dos pontos mais críticos de vulnerabilidade, que é o roubo de credenciais, especialmente as mais privilegiadas”, finaliza Jackeline.