0
0
Por Josh Breaker-Rolfe
Os ataques de ransomware são um enorme problema: nos últimos cinco anos, eles geraram estados de emergência em vastas áreas dos Estados Unidos, ameaçaram derrubar o governo da Costa Rica e levaram o maior conglomerado de mídia de Portugal à ruína. E os atacantes de ransomware não mostram sinais de desaceleração: no ano passado, cerca de um terço de todas as violações de dados envolveram ransomware ou alguma outra técnica de extorsão.
Prevenir e proteger contra ataques de ransomware tornou-se uma prioridade global, com regulamentos e frameworks de cibersegurança desempenhando um papel essencial. Ao delinear, padronizar e exigir medidas preventivas, esses regulamentos garantem que as organizações em todo o mundo estejam preparadas para lidar com a ameaça do ransomware. Vamos examiná-los mais de perto.
Compreendendo as Regulamentações de Cibersegurança
Primeiro, precisamos entender as regulamentações de cibersegurança e o que elas fazem. Existem muitas regulamentações, então focaremos em três das mais importantes: NIS2, DORA e HIPAA.
De modo geral, regulamentações de cibersegurança são conjuntos de leis, regras ou diretrizes promulgadas por governos ou órgãos reguladores para proteger sistemas de informação, redes e dados contra ameaças e ataques cibernéticos. Essas regulamentações garantem a confidencialidade, integridade e disponibilidade dos dados e sistemas de informação, aplicando práticas, controles e procedimentos de segurança específicos. Vamos analisar cada um dos exemplos mais detalhadamente:
NIS2 (Diretiva de Segurança de Redes e Informações 2)
A NIS2 é um framework legislativo estabelecido pela União Europeia (UE) para aumentar a resiliência cibernética e as capacidades de resposta dos estados membros. Ela se baseia na diretiva NIS original para fortalecer medidas de cibersegurança em setores de infraestrutura crítica, promover a cooperação entre os estados membros e responsabilizar as organizações.
DORA (Lei de Resiliência Operacional Digital)
A DORA é um framework regulatório que entrou em vigor em janeiro de 2023. Seu objetivo é aumentar a resiliência operacional digital do setor financeiro na UE. O principal objetivo da DORA é garantir que as instituições financeiras possam suportar, responder e se recuperar de todos os tipos de interrupções e ameaças relacionadas a TIC (Tecnologia da Informação e Comunicação), incluindo ransomware e ciberataques. A lei complementa a regulamentação NIS2 no domínio dos serviços financeiros.
HIPAA (Lei de Portabilidade e Responsabilidade de Seguros de Saúde)
A HIPAA é uma lei federal dos EUA promulgada em 1996 para proteger informações sensíveis de saúde dos pacientes contra divulgação sem o consentimento ou conhecimento do paciente. A HIPAA define o padrão para proteger dados sensíveis de pacientes, e as organizações que lidam com informações de saúde protegidas (PHI) devem garantir que implementem e sigam todas as medidas de segurança físicas, de rede e de processo necessárias para cumprir.
Como as Regulamentações Melhoram a Preparação para Ransomware?
Agora que entendemos melhor cada regulamentação, podemos explorar como elas melhoram a prontidão para ransomware. Novamente, não teremos tempo para explorar todas as disposições de cada regulamentação, então destacaremos algumas das mais importantes.
NIS2
A NIS2 possui várias disposições que melhoram a resiliência das organizações relevantes aos ataques de ransomware. Por exemplo:
Gestão de Riscos: A NIS2 exige que as organizações implementem práticas robustas de gestão de riscos, incluindo a realização de avaliações regulares de riscos e a implantação de controles de segurança avançados.
Gestão da Cadeia de Suprimentos: A conformidade com a NIS2 reduz o risco de ataques de ransomware se espalharem através das cadeias de suprimentos. As organizações devem garantir que seus fornecedores e prestadores de serviços sigam práticas rigorosas de cibersegurança para evitar a disseminação do ransomware.
Compartilhamento de Informações: A NIS2 requer que os estados membros contribuam e cooperem com a Rede de Organizações de Ligação de Crises Cibernéticas (EU-CyCLONe), que compartilha inteligência sobre ameaças e melhores práticas com outros estados membros.
DORA
Aqui estão alguns exemplos das disposições da DORA que garantem que as organizações melhorem sua preparação para ransomware:
Gestão Abrangente de Riscos de TIC: A DORA exige que as entidades financeiras realizem avaliações rigorosas de riscos para identificar vulnerabilidades que os atacantes de ransomware poderiam explorar. Elas devem implementar frameworks robustos de gestão de riscos para mitigar esses riscos de forma eficaz.
Detecção e Resposta a Incidentes: A DORA exige a implementação de mecanismos de monitoramento e detecção para identificar rapidamente ransomware e outras ameaças cibernéticas. As organizações relevantes devem ter planos detalhados de resposta a incidentes em vigor. Esses planos devem delinear procedimentos para conter, mitigar e se recuperar de ataques de ransomware, garantindo a mínima interrupção das operações.
Testes Regulares: A DORA exige testes regulares de resiliência operacional digital, incluindo testes de penetração e testes baseados em cenários. Esses testes ajudam as instituições financeiras a se prepararem e responderem eficazmente aos ataques de ransomware.
HIPAA
A HIPAA, por outro lado, foca em padrões de segurança e salvaguardas para melhorar a preparação para ransomware, incluindo:
- Salvaguardas Administrativas: Políticas e procedimentos para gerenciar a seleção, desenvolvimento, implementação e manutenção de medidas de segurança para proteger informações de saúde eletrônicas protegidas (ePHI). Exemplos incluem:
- Conscientização e Treinamento em Segurança: Treinamento regular para funcionários sobre como reconhecer e responder a ameaças de ransomware.
- Planos de Resposta a Incidentes: Procedimentos para responder a incidentes de segurança, incluindo ataques de ransomware.
- Salvaguardas Técnicas: Tecnologia e políticas para proteger ePHI e controlar o acesso a elas. Exemplos incluem:
- Controles de Acesso: Garantir que apenas pessoal autorizado possa acessar ePHI; isso inclui IDs de usuário exclusivos, procedimentos de acesso de emergência e logoff automático.
- Criptografia: Criptografar ePHI para proteger dados em repouso e em trânsito contra acesso não autorizado é crucial para impedir que os atacantes de ransomware acessem e exfiltrem informações sensíveis.
Como Garantir Conformidade e Aumentar a Preparação para Ransomware
Embora tenhamos abordado alguns exemplos específicos de cada regulamentação, é importante lembrar que elas compartilham muitas das mesmas disposições: Ao implementar algumas medidas básicas de cibersegurança, você pode colocar sua organização no caminho da conformidade com uma ampla gama de regulamentações e melhorar dramaticamente sua preparação para ransomware.
Por exemplo, é essencial realizar avaliações regulares de riscos e implementar estratégias de gestão de riscos para identificar e remediar vulnerabilidades. Da mesma forma, a maioria das regulamentações exige planos de resposta a incidentes, treinamento de conscientização em segurança, monitoramento contínuo e medidas técnicas, como soluções avançadas contra ransomware, criptografia e autenticação multifatorial.
Mas, mais importante, você deve reconhecer que as ameaças e as regulamentações estão em constante evolução. Portanto, é essencial revisar e atualizar regularmente as políticas e procedimentos de segurança para garantir que você esteja protegido contra ameaças emergentes de ransomware e cumpra com as regulamentações em constante mudança.
Em conclusão, alcançar a conformidade regulamentar é um ótimo primeiro passo para se proteger contra ransomware. Embora seja sempre aconselhável ir além dos requisitos regulamentares, regulamentações como NIS2, DORA e HIPAA são diretrizes valiosas para implementar um programa de cibersegurança eficaz. Tente não pensar nas regulamentações de cibersegurança como regras complicadas que você deve seguir; pense nelas, em vez disso, como um recurso gratuito para ajudar a proteger sua organização.
Esse artigo tem informações retiradas do blog da AT&T. A Neotel é parceira da AT&T e, para mais informações sobre as soluções e serviços da empresa, entre em contato com a gente.