Uma verificação da realidade ransomware para CISOs

Views: 298
0 0
Read Time:5 Minute, 24 Second

maré crescente de ataques de ransomware direcionados a setores críticos de infraestrutura atingiu alturas sem precedentes. Agora no topo das agendas de muitos CISOs, uma confluência de ventos mutáveis técnicos, legais, éticos e regulatórios está tornando esse flagelo nos ambientes industriais cada vez mais difícil de navegar.

Os dilemas com os quais as organizações devem lidar são vertiginosos:

  • Pagar um resgate ou não?
  • O seguro cibernético fornecerá abrigo adequado?
  • Qual é o papel do governo?
  • Novos mandatos e penalidades estão no horizonte?
  • Como os adversários estão evoluindo suas táticas?

Para dar sentido a tudo isso, vamos primeiro nos concentrar nos adversários e em sua cartilha. Os criminosos cibernéticos têm um modelo de negócios bem desenvolvido e cálculo financeiro cuidadosamente contemplado de ransomware. Eles determinaram se lançarão um ataque direto para maximizar os lucros ou oferecerão Ransomware como Serviço, completo com um help desk e outros serviços de suporte, para complementar sua renda, permitindo que atores maliciosos com menos habilidade técnica.

Eles pesquisaram suas vítimas e organizações-alvo com base em sua capacidade de pagamento. Todas essas táticas são desenvolvidas e executadas em conjunto para tornar o pagamento do resgate o caminho de menor resistência – financeira e logicamente.

Cada aspecto de uma campanha de ransomware é calculado para obter uma resposta emocional do alvo, de modo que seja mais fácil pagar o resgate do que arcar com os custos e atrasos de tentar se recuperar por conta própria.

Vamos começar com o que não devemos fazer

  • Não é hora de ser moralmente absoluto. Há um debate vigoroso sobre se as empresas devem pagar o resgate, alertando que pagá-lo gera mais ransomware. Embora seja verdade, simplesmente não é pragmático ou viável, dado o que está em jogo. É fácil ser um quarterback de poltrona, mas coloque-se no lugar de um CEO responsável por manter grande parte dos EUA. Costa Leste abastecida com petróleo e gás. Pense na pressão que eles sentem no momento, diante de incógnitas sobre o atacante, o ataque e a exposição e resiliência de sua empresa. Declarar que eles não deveriam ter pago o resgate é como dizer a uma vítima de um assalto que eles não deveriam ter entregue a carteira. É absurdo.
  • Proibir pagamentos só aumentaria a dor. Além disso, outro passo contemplado foi a noção de que o Congresso deveria proibir totalmente os pagamentos de resgate, tornando-os ilegais. Nossa perspectiva é que isso colocaria líderes políticos e empresariais em situações sem saída, onde eles precisariam escolher entre violar a lei ou impactar a segurança pública e a economia.
  • Não confunda uma transferência de risco com um controle. Embora o seguro cibernético seja um mecanismo eficaz de transferência de risco, não o confunda com ter um plano. Nem substitui a boa governança e a gestão de riscos. Na verdade, os criminosos cibernéticos estão mirando ativamente em empresas com seguros cibernéticos porque sabem que são mais propensos a pagar o resgate. Com o aumento dos custos para seguradoras cibernéticas e dados limitados disponíveis para criar tabelas atuariais confiáveis, prêmios e franquias estão começando a aumentar e as pré-condições estão se tornando mais onerosas. As seguradoras estão dizendo que não cobrirão ransomware se uma organização não tiver implementado controles e governança adequados. Como em qualquer tipo de estratégia de mitigação de riscos, o seguro é apenas um componente.

Então, o que devemos fazer?

  • Passar da ignorância para a negligência criará urgência. Conselhos e C-suites entendem e comumente levam em consideração uma variedade de riscos comerciais, incluindo risco de mercado, risco da cadeia de suprimentos e risco de liquidez, mas muitos não entendem o risco cibernético industrial. É responsabilidade de cada conselho fazer perguntas ao C-suite, desenvolver um ponto de vista sobre sua tolerância ao risco, ter um bom plano de resiliência e conhecer o estado atual do risco cibernético em seu ambiente de tecnologia operacional (OT). Se você é o CISO, conscientizar sobre essa nova categoria de risco criará uma plataforma em chamas que o conselho não pode ignorar sem ser intencionalmente negligente. Dadas todas as vantagens a serem obtidas através da transformação digital, o risco cibernético dentro das empresas industriais não é uma questão de “se”, mas “quando”. Manter a cabeça na areia quando estiver ciente do risco da sua organização coloca você em um estado de negligência. É hora de começar a jornada de fortalecimento da segurança cibernética industrial.
  • A sorte favorece a mente preparada. Embora haja muitas coisas que não podemos fazer diante do ataque, há uma abundância de coisas que podemos fazer para mitigar o risco. O Instituto Nacional de Padrões e Tecnologia (NIST) desenvolveu a Estrutura de Cibersegurança, que ajuda a fornecer um conjunto de etapas de como as organizações podem pensar e agir em torno de proteger sua infraestrutura de forma proativa e ao longo do tempo. Ao implementar os controles recomendados e construir uma base sólida agora, as organizações podem se preocupar menos em reagir após o fato. Por exemplo, ganhar visibilidade do seu ambiente OT, executar exercícios de mesa e formalizar relacionamentos com resposta a incidentes e escritórios jurídicos prepara você para tomar decisões do dia do jogo com confiança.
  • Altere o cálculo financeiro. O modelo financeiro de ataques de ransomware historicamente favoreceu pagar em vez de não pagar. A cidade de Baltimore é um exemplo amplamente divulgado, onde o ataque custou à cidade mais de US$ 18 milhões entre receita perdida ou atrasada e custos diretos para restaurar sistemas, mas o resgate foi de apenas US$ 76.000 em bitcoin no dia do ataque. Portanto, não deve ser surpresa que os membros do Congresso na Câmara e no Senado tenham proposto legislação para impulsionar a notificação obrigatória de incidentes, juntamente com um sistema de incentivos e desincentivos para mudar a equação financeira e de risco em favor de melhores controles e governança de risco antecipadamente.

Enquanto houver lucros a serem obtidos, os ataques de ransomware direcionados a setores críticos de infraestrutura provavelmente continuarão. Para mitigar o risco, o caminho mais eficaz a seguir é explorar os meios técnicos, legais e regulatórios que temos disponíveis para permitir e incentivar comportamentos que mitiguem o risco. Isso requer trabalhar em conjunto como sociedade para encontrar abordagens éticas e viáveis que incluam uma mistura de técnicas e práticas proativas, mitigações e respostas. Com uma profunda compreensão da dinâmica multicamadas em jogo, podemos usar esses guardrails para nos mover na direção certa.

FONTE: HELPNET SECURITY

POSTS RELACIONADOS