A Tecnoage acompanhando a evolução da segurança cibernética e as ameaças que veem assombrando o setor de TI em todos os setores, neste texto da atenção especial aos ransonwares, já que essa prática está em alta no mundo do crime cibernético. Atemos o assunto, em específico ao setor de Saúde, pois, é onde a Tecnoage detém maior expertise. Nos baseamos no relatório anual da Sophos sobre ameaças cibernéticas que discorre sobre a continuidade dos ataques de ransomware, os impactos sobre quem se vitimou destes ataques, as formas e custos de remediação de um ataque bem-sucedido.
Devido a pandemia de Covi-19, o aumento significativo de acessos remotos durante a pandemia e, em muitos casos a utilização de Byod’s com acesso a ambientes corporativos, se tornaram veículos e possíveis portas de acesso para ataques cibernéticos principalmente por Ransonwares, isso se deve ao fato de que não houveram preparativos e uma forma estruturada de contenção e prevenção contra malwares em dispositivos não gerenciados, pois, as medidas de isolamento urgentes obrigaram a disponibilização de acessos imediatos aos ambientes corporativos de forma remota e em muitos casos sem ao menos o setor de TI das empresas saberem se o dispositivo que iriam ter acesso às suas redes contavam com contramedidas prevenindo malwares, tais como um endpoint ativo e confiável.
Os dados mostraram que 34% dos que participaram da pesquisa relataram já terem sofrido algum tipo de ataque por Ransonware, o que vem a ser uma boa notícia em comparação aos 46% de vítimas no setor de varejo, deixando assim o setor de saúde abaixo da média dos que participaram da pesquisa. Essa luz sobre este problema se deve ao fato das obrigações sobre as organizações de saúde em divulgar dados referentes a segurança da informação dada a importância do setor. Globalmente, foi observada uma redução do volume de ataques em comparação a 2020, onde 51% das vítimas admitiram terem sido atacadas e os criminosos obtiveram sucesso no ataque.
Comparando esses pontos com dados de outros setores, vemos que os invasores têm uma taxa de sucesso muito maior na criptografia de dados na área de saúde (65%) do que a média global (54%). As organizações de saúde também têm menos sucesso em impedir ataques do que a média global: 28% contra 39%. Esta performance baixa pode estar relacionada com a falta de interesse em investir-se em segurança da informação, sobrecarga da equipe de TI ou mesmo falta de um colaborador ou parceiro especializado e, também a presença de equipamentos legados que apresentam pouca ou nenhuma condição de prevenção e combate a ataques cibernéticos, tornando-se assim pontos de acesso fáceis para potenciais invasores.
As organizações de saúde, infelizmente, é um dos setores com a maior probabilidade de pagar para a recuperação dos dados dentre todos os setores avaliados, cerca de 34% dos entrevistados admitiram que pagariam para recuperar seus dados, contra 32%, em média, dos entrevistados de outros setores. O setor mais propenso a pagar resgate de dados é o de serviços públicos, de energia e combustíveis, cerca de 42% dos entrevistados destes setores admitiram que pagariam pelo resgate dos dados. Outro ponto a se comentar é a incapacidade das organizações de saúde em recuperarem seus dados através de backups; Globalmente 57% das organizações que tiveram seus dados criptografados conseguiram recuperar os seus dados, enquanto apenas 44% das organizações de saúde conseguiram recuperar os dados utilizando backups, a segunda taxa mais baixa entre todos os setores pesquisados.
O que os atacantes omitem é que mesmo que o resgate seja pago, não há garantias de que os dados serão devolvidos ou descriptografados, apenas 65% dos que pagaram para recuperar seus dados, tiveram êxito e cerca de 29% das organizações que pagaram pelo resgate, conseguiram somente 50% de todos os seus dados enquanto 8% receberam a totalidade dos dados sequestrados.
Enquanto o assunto da pauta é a quantidade de ataques, percentual de recuperação de dados e formato de recuperações, os dados são dignos de preocupação porque atingem diretamente a competência técnica das equipes e, também as ferramentas disponíveis a cada equipe. Porém, quando mudamos o foco para os custos que cada sequestro pode ter para cada organização individualmente ou aplicando o volume globalmente é que temos a exata proporção do estrago causado por ataques de Ransonware. O valor médio pago por cada resgate, globalmente, é de US$ 170.000, no entanto, para as organizações de saúde esse valor em média é inferior, sendo de apenas US$ 131.300. Os valores variam muito e sempre são considerados pelo tamanho da organização e a potencialidade de seus recursos financeiros.
Quando passamos para custos gerais envolvidos na recuperação dos dados sequestrados por um ataque de Ransonware, considerando o tempo de inatividade das operações da organização, horas perdidas, custos de dispositivos, oportunidades perdidas e o valor do resgate a média entre os setores avaliados é de 1,85 milhão de dólares e para as organizações de saúde esse valor ficou em 1,27 milhão de dólares. Existem vários fatores prováveis por trás dos custos de saúde mais baixos. Em primeiro lugar, as organizações de saúde costumam ter orçamentos mais baixos do que outros setores, limitando o valor que está disponível para ser gasto em remediação. Ao mesmo tempo, em muitas partes do mundo, a saúde é um serviço público.
No futuro da prevenção e/ou remediação dos ataques de Ransonware nas organizações de saúde, as expectativas de que se sofra um ataque ou mesmo sofra-se um ataque bem-sucedido é uma realidade alarmante, já que 63% dos entrevistados esperam sofrer algum tipo de ataque e apenas 37% relatam não prever um ataque como esse. Avaliando essa variação percebemos as diferenças nas atitudes e confiança em lidar com um ataque de Ransonware. Entre as organizações de saúde que não foram atingidas por um ataque semelhante, mas preveem que possam ser atacadas, declaram que esse volume de ataques se deve ao fato de que por decorrência da pandemia, mais unidades das organizações de saúde passaram a ser visadas pelos atacantes, aumentando assim o percentual em comparação a anos anteriores aos tempos pandêmicos.
Avaliando todos os dados compartilhados pela Sophos, compreende-se que embora o crescimento dos ataques e do percentual de sucesso dos mesmos, as organizações de saúde são uma das organizações mais atentas a sofisticação evolutiva dos ransonware’s, e, mesmo que uma parte não tenha sofrido ataques, certamente foram influenciados pelas experiências alheias nas tomadas de decisão quanto a prevenção e/ou recuperação dos dados sequestrados.
Portanto, é de boa prática que algumas ações preventivas ou corretivas sejam adotadas, e, por isso recomendamos que mantenha-se em mente que, primariamente, nenhum setor, país ou organização encontra-se ileso a potencialidade de ataques de ransonware, levando em consideração a prevalência deste formato de ataque. Sendo assim, as recomendações são as seguintes:
- – Planeje, invista e especialize-se não somente em backup’s, mas, na pronta restauração dos seus dados; várias cópias de backup se tornam onerosas quando o tempo ou formato de restauração é ineficaz;
- – Utilize redundâncias em suas cópias de backup sempre no formato 3-2-1, devemos manter sempre 3 cópias em diferentes mídias e preferencialmente uma delas estar no formato offline, para o caso de que não sejam possível a recuperação dos dados através dos outros dois formatos;
- – Utilize proteção em camadas. Utilize também a tecnologia e os humanos em favor do seu sucesso em conter ou reparar as perdas após um ataque de ransonware, invista na sua equipe de segurança da informação ou provisione terceiros especializados que possam colaborar com o seu time;
- – Compreenda e impulsione o uso de IA que tem a potencialidade de oferecer detecção e prevenção imediatas quando um ataque possa estar para acontecer ou em decorrência de um;
- – Evite pagar o resgate, embora isso seja a primeira opção, os estudos mostram a ineficácia dessa ação e o dispêndio que isso gera enquanto a sua organização está parada;
- – Tenha sempre um plano de recuperação contra malware’s, pois, nestes casos a prevenção é sempre a melhor opção, pois a infecção por um malware ou o sequestro de dados através de ransonware podem ter origens externas quanto internas. Previna-se!
Fonte: Sophos (State of Ransomware in Healthcare 2021)