0
0
Como um CISO que ajudou sua empresa a navegar pelas consequências de um ataque de ransomware paralisante no ano passado, Tom Corridon, da Bridgestone Americas, diz que seu maior conselho para outras organizações é designar tomadores de decisão importantes para lidar com essas crises antes que elas aconteçam.
Não ter uma linha de ação clara no nível executivo com antecedência pode exacerbar as consequências de um ataque cibernético e permitir que o invasor tenha a oportunidade de criar mais danos, disse Corridon em uma entrevista na terceira cúpula virtual anual de segurança cibernética da Accenture na semana passada..
“Quando você quer puxar uma alavanca, quando você quer tomar uma decisão sobre desconectar redes ou pagar um resgate, quem toma essas decisões?” Corridon disse. “Saber que entrar é muito, muito importante, porque assim você não é pego de surpresa. Você não é pego olhando ao redor da sala pensando: ‘é você ou sou eu?'”
O ataque de ransomware de fevereiro de 2022 à Bridgestone levou a gigante de pneus a desligar suas redes em instalações de fabricação e recauchutagem na América do Norte e América Latina por vários dias. O conhecido grupo de ransomware LockBit 2.0 mais tarde reivindicou o crédito pelo ataque e anunciou planos de vazar publicamente dados acessados dos sistemas da Bridgestone se a empresa não cumprisse a demanda de ransomware do grupo.
Mais tarde, a Bridgestone revelou que os ciberatacantes acessaram registros comerciais, bem como arquivos contendo números de seguridade social, informações bancárias e outros dados confidenciais de alguns de seus clientes. Mas a empresa não divulgou outros detalhes do ataque desde então, incluindo se pagou um resgate à gangue LockBit ou não.
PUBLICIDADE
O ataque foi um dos vários no ano passado que afetaram redes de tecnologia operacional (OT) em empresas industriais e de manufatura nos EUA e em outros lugares. Uma análise do segundo trimestre de 2022 dos ataques de ransomware da Dragos mostrou que a maioria dos ataques (68%) a organizações industriais teve como alvo o setor manufatureiro.
Exercícios de mesa para executivos
A entrevista de Corridon no evento virtual da Accenture evitou os detalhes do ataque, os danos que causou e o esforço de recuperação. No entanto, focou em várias lições que a empresa conseguiu tirar do ataque. O maior, de acordo com Corridon, é saber quem toma decisões cruciais durante o desenrolar de uma crise e como.
Corridon defende que as organizações que fazem exercícios de mesa para sua equipe técnica precisam ter um exercício paralelo baseado em cenários que envolva os principais executivos e tomadores de decisão. Assim como os processos de gerenciamento de incidentes têm dois tópicos – um técnico e outro para executivos – também devem ser feitos exercícios de mesa.
Outra consideração importante é que os executivos encarregados de tomar decisões críticas durante um ataque de ransomware precisam estar confortáveis para fazê-los sem muitos dados.
“Eles precisam estar confortáveis para tomar decisões no momento que vão parecer decisões precipitadas ou precipitadas”, observou Corridon. “Mas precisamos estar preparados para isso, porque quanto mais tempo você senta em uma decisão e a analisa e pensa e espera que essa decisão perfeita caia em seu colo, mais tempo o agente de ameaça tem para ir mais longe em seu ambiente e causar mais danos.”
Nunca deixe uma boa crise ir para o lixo
De acordo com Corridon, que era CISO interino na Bridgestone quando o ataque aconteceu, um ponto positivo dos grandes eventos de segurança é a maior conscientização e disposição para a mudança que isso pode promover. No ano desde o ataque, a Bridgestone implementou mudanças de segurança que, de outra forma, levariam anos para convencer os executivos, avançar e permitir, disse ele.
Ele aconselhou que as equipes de segurança adotem uma abordagem de nunca deixar uma boa crise desperdiçar para promover mudanças, se tiverem a infelicidade de experimentar uma grande violação de segurança.
“Em um incidente, seus executivos têm um assento na primeira fila para a ação”, disse Corridon. “Então, eles estão saindo com uma compreensão melhor de termos que nunca quiseram entender ou quiseram saber.”
Essa maior conscientização e compreensão geralmente significa que eles estão mais preparados para dar às equipes de segurança o dinheiro e os recursos de que precisam para implementar uma postura de segurança mais forte no futuro. “Eles estão preparados para a mudança [porque] têm um gosto na boca de uma experiência ruim”, diz ele.
Mudanças semelhantes podem ser mais difíceis de alcançar nos escalões inferiores, onde as preocupações com empregos e metas diárias podem rapidamente relegar as preocupações de segurança para segundo plano quando uma crise imediata passar, reconheceu Corridon. Por isso, é importante sempre manter a segurança cibernética como um tema relevante e prioritário para os colaboradores. Da mesma forma que os ambientes de OT enfatizam as precauções de segurança física, as organizações precisam tornar a segurança cibernética parte da rotina diária dos funcionários.
Uma maneira de começar a fazer com que as partes interessadas pensem de forma diferente sobre a resiliência cibernética é parar de descrever violações e ataques como incidentes de segurança. “Um incidente é quando você tropeça e cai ou alguém desliga algo por acidente”, disse ele. Um ataque de ransomware, por outro lado, é um ato criminoso contra a empresa.
“Ter essa ressignificação de pensamento pode ajudar muito”, disse Corridon. “As palavras que você usa ao passar pelo evento e realmente reconhecê-lo como um crime contra a organização é um primeiro passo.”
FONTE: DARK READING