Em maio deste ano, um ataque de ‘ransomware’ à empresa Colonial Pipeline criou uma crise em cadeia, nos Estados Unidos. Para a empresa e a economia da região, principalmente para a costa leste do país. A Colonial é a maior empresa de oleoduto dos EUA. O colapso cibernético, na época, também significou uma séria ameaça ao abastecimento de combustível da costa Leste americana. O ataque a uma empresa estratégica na indústria energética suscita várias lições importantes para líderes empresariais, sobre como responder e gerenciar situações desse tipo de crise.
Para ter uma dimensão do que um ciberataque pode produzir, ficamos sabendo o tamanho da empresa alvo do ataque: com sede na Geórgia, opera o maior oleoduto de petróleo dos Estados Unidos, transportando 2,5 milhões de barris por dia de gasolina, diesel, óleo para aquecimento e combustível para aviação em sua rota de 5.500 milhas do Texas a Nova Jersey. A Colonial Pipeline transportava combustível de refinarias na Costa do Golfo para clientes no sul e leste dos Estados Unidos. Algo como 45% do combustível consumido na Costa Leste, que atingem 50 milhões de americanos. Daí a proporção da crise.
O grupo de hackers desconectou completamente a rede e roubou mais de 100 GB de informações do oleoduto da Colonial. O duto transportava mais de 2,5 milhões de barris de óleo por dia, o que corresponde a 45% do abastecimento de diesel, gasolina e querosene de aviação da costa leste dos EUA.
O gasoduto, que fornece cerca de metade da gasolina da Costa Leste, ficou inativo por vários dias, causando pânico na compra de gás, escassez e picos de preços em alguns estados. Parece ser o maior ataque cibernético já feito a um sistema de energia americano e mais um exemplo de vulnerabilidades de segurança cibernética das empresas americanas, que o presidente Joe Biden prometeu abordar.
A revista ‘Forbes’ e o site ‘Politico’, na ocasião, especularam que a crise representava um importante teste para Joe Biden. “O ataque representa um grande teste para saber como o governo Biden responderá a ataques cibernéticos em infraestruturas críticas em um momento em que os hackers estão cada vez mais visando serviços essenciais."
A rede CNN também alertou, na época, sobre a gravidade de uma crise desse tipo a empresas estratégicas para a economia do país. “O ataque vem em meio a crescentes preocupações sobre as vulnerabilidades de segurança cibernética na infraestrutura crítica da América, após incidentes recentes, e depois que a administração Biden no mês passado lançou um esforço para reforçar a segurança cibernética na rede elétrica do país, convocando líderes do setor para instalar tecnologias que possam impedir ataques ao fornecimento de eletricidade.”
Lições de crise para um ciberataque
Quais as lições e as melhores práticas que a Colonial Pipeline e o governo dos EUA deixaram numa situação de crise, que já se tornou recorrente para as empresas, num mundo cada vez mais conectado? Segundo a reportagem da revista Forbes, algumas dicas são importantes.
Conte às pessoas o que aconteceu
É preciso um posicionamento imediato. As empresas não podem minimizar o ciberataque, porque também representa uma ameaça a todos os stakeholders. No caso da Colonial Pipeline, no mesmo dia do ataque, a empresa informou que “... foi vítima de um ataque de segurança cibernética. Em resposta, colocamos alguns sistemas offline de forma proativa para conter a ameaça, o que interrompeu temporariamente todas as operações do oleoduto e afetou alguns de nossos sistemas de TI.” Nem todas as informações, certamente, constavam da Nota, inclusive eventuais demandas feitas pelos terroristas. Esse é um dado que as empresas não gostam de divulgar, até para não estimular esse tipo de chantagem.
Chame os especialistas
A Colonial Pipeline disse no comunicado que, “Ao saber do problema, uma importante empresa de segurança cibernética terceirizada foi contratada e eles já iniciaram uma investigação sobre a natureza e o escopo deste incidente, que está em andamento. Entramos em contato com as autoridades policiais e outras agências federais.” Correto. Em geral, as empresas, por mais avanço tecnológico que tenham implantado na própria organização, não estão preparadas para neutralizar um ataque dessa monta. É preciso buscar apoio de empresas especializadas.
Estabeleça Prioridades
“A Colonial Pipeline está tomando medidas para entender e resolver esse problema”, disse a empresa no comunicado. “Neste momento, nosso foco principal é a restauração segura e eficiente de nosso serviço e nossos esforços para retornar à operação normal. Este processo já está em andamento e estamos trabalhando diligentemente para resolver esse assunto e minimizar a interrupção de nossos clientes e daqueles que dependem da Colonial Pipeline.” Dar uma satisfação aos clientes é imprescindível. Não pode esconder nada. Mesmo em situações críticas, a credibilidade é um ativo que a empresa não pode queimar.
Não especule
“As autoridades federais de aplicação da lei e de segurança interna estão investigando o assunto. Eles ainda não sabem se o ataque à principal operadora de oleoduto dos EUA, Colonial Pipeline, foi realizado por hackers de governos estrangeiros ou por um grupo criminoso", disseram as autoridades.
Alguns dias, após o atentado, as autoridades americanas chegaram aos hackers. O maior oleoduto de petróleo do país foi supostamente violado por uma única senha vazada. O Departamento de Justiça (DOJ) conseguiu recuperar parte do resgate pago ao grupo criminoso de hackers que, se acredita, foi o responsável pelo ataque ao oleoduto Colonial, que interrompeu um importante suprimento de combustível para a Costa Leste, por cerca de uma semana.
A Procuradora-Geral Adjunta Lisa O. Monaco anunciou em 7 de junho que o DOJ, por meio de sua nova Força-Tarefa de Ransomware e Extorsão Digital, foi capaz de recuperar cerca de 64 dos 75 bitcoins pagos aos invasores "seguindo o dinheiro" - mesmo que a quantia paga estivesse em criptomoeda, difícil de rastrear. Assim que soube o endereço da carteira dos hackers, as autoridades conseguiram uma ordem judicial para confiscar os fundos. O FBI aparentemente tinha a chave digital necessária para abrir a carteira. Como ele conseguiu esse acesso não foi divulgado. A apreensão é um raro exemplo de recuperação de pagamentos de ransomware."
Assumir o controle
Scott Sobel é vice-presidente sênior de comunicações de crise e litígio na kglobal, uma empresa de relações públicas. Em relação ao ataque à Colonial, ele observou que “os ciberterroristas são criminosos de oportunidade, procurando pontos fracos e atacando empresas que têm mais a perder do que apenas perdas decorrentes do primeiro ataque.”
“A empresa atacada e as autoridades conseguiram neutralizar o ataque e desligaram o resto dos sistemas de oleodutos da Colonial, não afetados pelo primeiro ataque. Esta ação preventiva tirou o controle dos terroristas e mitigou os efeitos de longo prazo, a intimidação e a influência que eles esperavam.”
Envie a mensagem certa
Todas as ações tomadas pela empresa para neutralizar ou mitigar o ataque devem ser levadas ao público. É uma forma de enviar uma mensagem para outros grupos de ataque, demonstrando que a empresa reagirá com força a um confronto futuro. Sinaliza também que as empresas estão preparadas para reagir a ataques semelhantes e não se intimidarão em reagir.
Isole o problema
A reportagem da revista Forbes faz menção a Bryan Hornung, o fundador da Xact IT Solutions, uma empresa de segurança cibernética. Ele disse: “Com qualquer ataque cibernético, a primeira coisa que você quer fazer é isolar o problema, desconectando-o da Internet, o que parece que eles fizeram na sexta-feira. Agora tudo se resume a dar à equipe de recuperação ou segurança cibernética o acesso de que precisa, ao mesmo tempo que garante que ninguém mais tenha acesso à rede.
“Assim que isso for feito, a equipe precisará determinar se os dados foram filtrados e qual vantagem eles têm para reduzir a demanda de resgate, se houver. Assim que decidir pagar o resgate ou não, a empresa deve concentrar esforços num grande investimento em uma nova infraestrutura, porque não é possível reconstruir na mesma rede que foi infectada.”
Conselhos para líderes empresariais
O planejamento de resposta a incidentes é crítico e deve fazer parte do plano de negócios de cada organização. Todas as empresas devem se esforçar para obter resiliência cibernética por:
• Identificação de ativos
• Colocar em prática um plano para proteger esses ativos
• Implementar as ferramentas para detectar se esses ativos foram violados, desenvolvendo um plano por escrito para responder para que todos saibam o que fazer
• Executar uma recuperação que, se desenvolvida corretamente, tornará o evento mais fácil de ser superado.
Segundo os especialistas, sem um plano de recuperação, as empresas estarão sujeitas a falhas tecnológicas, tropeços e erros humanos, o que leva a tempos de recuperação mais longos e uma maior perda de receita. É sempre mais barato cuidar das coisas do lado esquerdo do ‘boom’ do que do lado direito após um evento, aconselham.
Ataques cibernéticos: uma crise cada vez mais frequente
Executivos que enfrentam esse tipo de ataque consideram que o ataque contra a Colonial Pipeline representa a rapidez com que as apostas estão aumentando na segurança cibernética, com o controle e o conhecimento de quem tem acesso aos seus sistemas de TI uma prioridade de nível de conselho para todas as empresas.
“Estamos passando de uma Guerra Fria invisível que estava focada em roubar dados para uma guerra quente altamente visível que tem implicações reais para a propriedade física e a vida das pessoas”, dizem.
Segundo a reportagem da revista Forbes, para Anurag Gurtu, diretor de produto da Strike Ready, uma plataforma de segurança cibernética, “Parece haver alguma conversa dentro da comunidade de inteligência sobre o ransomware DarkSide estar ligado ao ataque ao sistema Colonial Pipeline. Darkside tem origem italiana. Esse ransomware evita ter como alvo empresas nos setores de educação, saúde e governo.”
Outro especialista, Edward Amoroso, CEO da TAG Cyber, executivo de uma empresa de análise de pesquisas de segurança cibernética, observou que “as vulnerabilidades das empresas a ataques estão em constante expansão e os cibercriminosos estarão sempre um passo à frente.
“Espero que os ataques de ransomware direcionados continuem devido à sua simplicidade. No entanto, esses ataques são insignificantes em comparação com os ataques graves que poderiam ocorrer se as empresas não tivessem infraestrutura crítica e diretores de segurança da informação experientes [e] capazes de lidar com fatores de risco conhecidos e desconhecidos”, concluiu ele.
Outros artigos relacionados
7 Crisis Management Lessons From Colonial Pipeline’s Response To Cyber Attack
O ataque de hackers a maior oleoduto dos EUA que fez governo declarar estado de emergência
How a major oil pipeline got held for ransom