0
0
Há uma citação famosa na qual costumo pensar às 3h da manhã de domingo, enquanto trabalho com um cliente para se recuperar de um incidente de segurança cibernética em grande escala: “Falha ao se preparar, prepare-se para falhar”. É dolorosamente óbvio quais clientes fizeram algum pré-planejamento de recuperação de desastres e quais não.
Na maioria dos trabalhos de resposta a incidentes, a recuperação custa tanto quanto a identificação, contenção e erradicação juntas. No entanto, o custo em termos de pessoas, estresse e danos à reputação é insondável.
Eu testemunhei pessoas saindo do emprego com raiva, ouvi palavras ditas em uma sala que fariam um marinheiro corar e uma vez vi o CEO de um escritório de advocacia dar um soco em seu próprio CFO – tudo por causa do estresse de tentar recuperar um negócio instalado e funcionando após uma grande violação de segurança cibernética.
Muitas empresas veem a nuvem como uma saída para isso. Deixe Azure, AWS, Google ou Rackspace lidar com isso! Até certo ponto, isso pode funcionar, pois os provedores de nuvem vêm com benefícios de backup e recuperação, mas há o risco de ter todos os ovos na mesma cesta. As empresas – mesmo as menores – precisam pensar no quadro geral e planejar a recuperação após uma série de cenários diferentes. Desde como recuperar um único arquivo excluído por usuários descuidados até uma reconstrução completa da rede. Mais importante ainda, qualquer plano de recuperação não pode ser apenas sobre “coisas técnicas”: RH, RP e Jurídico, bem como a equipe de TI, todos têm um papel a desempenhar.
O valor do planejamento de recuperação
No mundo da segurança cibernética, isso é conhecido como planejamento de recuperação de desastres, gerenciamento de crises ou política de backup e recuperação. Mas, independentemente do nome, tudo se resume ao planejamento pré-incidente que cria um processo robusto e testado para a recuperação de uma rede de TI e, finalmente, um retorno aos negócios normais. Embora meu mundo esteja centrado na recuperação pós-violação, as empresas precisam considerar uma resposta não relacionada a hackers. O que acontece se o seu data center tiver um corte de energia, o que acontece se as circunstâncias geopolíticas mudarem e o que acontece se o seu provedor de nuvem esmagar todos os seus ovos?
Correndo o risco de soar como um velho de 90 anos descobrindo a internet pela primeira vez, tudo está conectado hoje em dia. Isso significa que seu plano de recuperação de desastres não apenas salvará sua empresa (ou trabalho), mas garantirá que centenas, milhares e até milhões de clientes que dependem de sua empresa todos os dias possam dormir tranquilamente.
Um artigo no Financial Times afirmou recentemente que “a pesquisa do Banco da Inglaterra em 2020 descobriu que mais de 65% dos bancos e seguradoras com sede no Reino Unido dependiam de apenas quatro serviços em nuvem”. Se apenas um desses provedores ficasse offline, todos os bancos do Reino Unido teriam seu próprio plano de backup e recuperação? A UE não pensa assim e está planejando introduzir novos regulamentos que forçariam os bancos a incluir isso em seus planos de recuperação e provar a rapidez com que poderiam se recuperar de um ataque cibernético.
Olhando para trás
Se voltarmos ao pré-WannaCry, “backup e recuperação”, como era amplamente conhecido, era simples. As empresas só precisavam se preocupar com falhas físicas do sistema; portanto, se você tivesse 100 servidores atendendo seus negócios, bastava fazer o backup de todos eles (idealmente fora do local) e, quando algo desse errado, você trazia um servidor correspondente e recuperava. Simples.
O risco de tudo falhar de uma vez devido a danos físicos era muito pequeno. Sim, às vezes os data centers quebravam, mas é por isso que você tinha configurações duplas em diferentes data centers administrados por empresas totalmente especializadas. Algumas grandes organizações tinham abordagens mais avançadas, com três cópias de dados digitais espalhadas por vários locais. No entanto, essa não era a norma para muitas PME.
A segurança cibernética não era realmente um fator importante no backup e na recuperação. Alguns vírus destrutivos semelhantes a worms foram liberados no passado: SQL Slammer em 2003, Sasser em 2004 e Mydoom (uma espécie de worm) no mesmo ano. Ainda assim, a maioria dos vírus na Internet foi projetada para causar o máximo de problemas possível, mas não para derrubar empresas inteiras. O Ransomware também estava em sua infância e era visto como um pequeno risco porque afetava apenas uma ou duas máquinas Windows em uma organização e era raro no mundo dos negócios.
Gangues cibernéticas com infraestrutura para criptografar milhares de sistemas ao mesmo tempo não existiam, então ninguém se preocupava com isso. À medida que os serviços em nuvem começaram a crescer em popularidade, o futuro começou a parecer promissor. Tive clientes que costumavam falar sobre a migração completa para um mundo de nuvem, terceirizando tudo, menos a manutenção dos laptops dos usuários finais. Foi uma época alegremente inocente.
Então, em 2017, tudo mudou quando o WannaCry invadiu organizações em todo o mundo e causou muitos danos. As empresas tiveram propriedades inteiras de TI destruídas, os hospitais estavam executando versões antigas do Windows e lutavam para manter as luzes acesas, e as equipes de TI em todo o mundo perderam meses e bilhões de dólares para a recuperação. Foi uma experiência reveladora para muitas empresas, e CEOs de todo o mundo começaram a fazer a mesma pergunta: “Com que rapidez podemos nos recuperar de um ataque semelhante?”
Não é exagero dizer que a indústria de segurança de TI e o mundo obscuro do cibercrime mudaram irreversivelmente depois do WannaCry. Os cibercriminosos descobriram que poderiam se infiltrar em uma empresa e espalhar ransomware para centenas ou até milhares de dispositivos em questão de horas. Com isso, vieram grandes recompensas na casa dos milhões, em uma tempestade perfeita, isso foi facilitado pelo novo mundo utópico da criptomoeda.
Esta situação levou algumas grandes empresas a pensar em recuperação e pré-planejamento. Desde 2017, participei de centenas de projetos em que as redes precisavam ser totalmente reconstruídas ou totalmente recuperadas de backups e, em alguns casos terríveis, recuperadas de backups em fita. Antes do WannaCry, não consigo pensar em nenhum processo de recuperação tão impactante. É sempre a mesma coisa que causa problemas: o tempo, ou melhor, a falta de tempo.
O pior cenário
É impossível calcular quanto tempo você levará para reconstruir uma rede sem muito planejamento prévio. Eu sei porque eu tentei fazer isso. Nos últimos 12 meses, trabalhei com cinco clientes que não tinham plano de recuperação e dependiam totalmente de backups em fita. Em uma instância, apenas obter as centenas de terabytes de dados das fitas levou mais de um mês, então o trabalho de recuperação começou. Em outro caso, o cliente não tinha espaço de armazenamento extra para recuperar backups em fita também, então tivemos que ir a um fabricante de servidores conhecido e comprar em pânico muitos equipamentos, cujo custo ultrapassou £ 250.000. E tudo isso aconteceu antes mesmo de um sistema ser reconstruído.
Isso seria estressante na melhor das hipóteses, mas, se houver um conselho de administração gritando com você por atualizações, a pressão pode ficar ruim o suficiente para afetar a saúde das pessoas. Em todos os casos, o segundo sistema caiu, assim como a entrega ao cliente. Clientes irritados recorreram às redes sociais. Nenhum dos meus exemplos mais recentes teve grande impacto social, mas aplique a mesma situação a um banco, autoridade local ou observe o recente ataque de ransomware do serviço de saúde irlandês e a situação e a falta de planejamento de recuperação têm ramificações na vida real.
Planejando a recuperação
Então, o que as empresas devem fazer para tentar evitar problemas? Se as atuais leis da UE propostas servirem de referência, as empresas de serviços financeiros podem não ter escolha a não ser agir. Na minha opinião, isso só pode ser uma coisa positiva. Eventualmente, a computação em nuvem será a norma e trará consigo um novo conjunto de questões. As empresas sempre demoram a reagir a novas mudanças na tecnologia, portanto, um pequeno empurrão regulatório na direção certa é uma coisa boa. No entanto, as empresas de outros setores não devem esperar para ver se também o fizeram. É um fato indiscutível que o pré-planejamento para recuperação de desastres, seja para ataques cibernéticos ou outros, pode economizar muito dinheiro.
Há um milhão de perguntas que você precisará fazer a si mesmo ao planejar a recuperação de desastres, pois essa não é uma tarefa rápida e fácil, e suspeito que seja por isso que poucas pessoas o fazem. Um bom ponto de partida é uma avaliação de quanto tempo você levaria para reconstruir completamente sua rede. Simplesmente imagine a pior situação, tudo está fora do ar e tudo o que você tem são seus backups. O que você faz, em que ordem, quais são suas prioridades e quanto tempo levará? Na maioria das situações, será muito caro executar isso em tempo real, mas não há problema em resolver tudo teoricamente.
Veja a tecnologia que você tem para potencializar sua recuperação, qual solução de backup você tem. A segurança de seus backups é muito importante, mas isso é outra coisa. Supondo que eles estejam seguros e não destruídos por invasores, quanto tempo levará para iniciar o processo de restauração? Se você estiver baseado em nuvem e executando uma mistura de sistemas virtuais e aplicativos em nuvem, como os dois interagem? Agora você precisa conversar com seus outros colegas: o que os gerentes jurídicos, de RH, de relações públicas e até mesmo de prédios estarão fazendo enquanto a equipe de TI e os joelhos estão envolvidos em backups em fita? Este será o início do plano de recuperação de desastres da sua empresa.
Depois de ter um plano detalhado e uma estimativa de quanto tempo levará, basta anotar tudo em um plano fácil de entender. Papéis e responsabilidades devem ser claros e aceitos, caminhos de comunicação devem ser definidos (quem, quando e como) e todos os envolvidos devem ler e aceitar o plano antes de colocá-lo em prática. Agora todos podem discutir se o prazo para a recuperação completa de desastres é aceitável. Se for muito longo, você pode começar a procurar por isso: pessoas, processos ou tecnologia. Eventualmente, você encontrará a fórmula vencedora de risco x custo.
Agora que você tem a solução “quebrar o vidro em caso de emergência”, comece a trabalhar de trás para frente. O que você faz se apenas um data center cair, o que você faz se um provedor de nuvem cair, e se DNS, DHCP, AD… e, finalmente, e se Sara nas contas acidentalmente excluir uma planilha? Não se estresse muito com isso porque você não consegue pensar em todos os cenários. No entanto, abranger os cenários mais comuns e observar sua pegada de ataque e perfil de risco pode ser uma grande ajuda.
Invista hoje para o futuro
Esse nível de pré-planejamento não deve ser reserva para grandes bancos e instituições, pois mesmo o menor dos negócios pode ser fortemente afetado por uma série de interrupções. Existe até o argumento de que quanto menor o negócio, menor a probabilidade de se recuperar dos danos financeiros e de reputação que o tempo de inatividade de longo prazo pode causar. O custo também não precisa ser proibitivo. Sim, contratar uma empresa de consultoria para fazer tudo por você pode ser ótimo, mas também adiciona dezenas de milhares de libras ao custo. No final das contas, quem conhece sua rede melhor do que você?
Mesmo com o pré-planejamento, as coisas ainda vão dar errado e os níveis de estresse vão aumentar – é inevitável. No entanto, acredite em mim quando digo que sem planejamento prévio será muito pior e ninguém precisa ver seu chefe em uma briga.
FONTE: HELPNET SECURITY