Construindo resiliência cibernética antes do próximo ataque ocorrer

Antes que as tensões entre a Rússia e a Ucrânia derivassem para uma guerra na acepção total do termo, a atividade cibernética em ambos os países aumentou. Enquanto a Ucrânia se preparava para uma invasão, ataques cibernéticos tinham como alvo bancos e agências governamentais do país, e hackers russos tentaram derrubar a rede elétrica. A Rússia, por sua vez, viu-se alvo do Anonymous, um coletivo "hacktivista", que nos primeiros dias da invasão tocou o hino nacional ucraniano na TV estatal russa junto com imagens da guerra.

O aumento da atividade cibernética em torno da invasão da Ucrânia, documentado em um relatório da Microsoft, despertou preocupações entre governos e empresas com medo de serem pegos no fogo cruzado digital. Em 2017, um ataque cibernético a um sistema fiscal ucraniano causou a suspensão de atividades em aeroportos, ferrovias e bancos dentro da Ucrânia e se espalhou para uma série de empresas globais, terminando por gerar mais de US $ 10 bilhões em danos econômicos).

Lições e insights impostos por ataques cibernéticos passados podem ajudar as empresas a se preparar e responder com mais sucesso a ameaças futuras. Um estudo baseado em dados da VisibleRisk, uma joint venture entre a Moody's e a Team8, sugere que as organizações que respondem mal a um ataque acumulam perdas 2,8 vezes maiores do que as de empresas que conseguem reagir mais adequadamente. Em contrapartida, as empresas que respondem com sucesso a ataques cibernéticos podem impor um limite ao efeito negativo sobre a confiança dos acionistas e até mesmo usar a crise como uma oportunidade.

Para entender as melhores práticas de resposta e como as empresas podem evitar erros comuns, baseamos nosso trabalho em duas fontes de insights: fizemos entrevistas aprofundadas com CEOs, CFO, CIOs, chefes de segurança da informação e outros líderes seniores cujas empresas já haviam sofrido ataques cibernéticos graves (incluindo, em vários casos, os ataques de ransomware da Ucrânia em 2017); e coletamos dados observacionais nos principais centros de treinamento em segurança tecnológica que ajudam os executivos a se prepararem para crises simulando ataques realistas em suas empresas.

O que não funciona

As pessoas nunca vêm trabalhar esperando um ataque cibernético, então quando acontece, parece aleatório e avassalador. Os líderes empresariais são frequentemente confrontados por questões desconhecidas para as quais receberam pouco treinamento formal. Observamos três erros comuns que as pessoas cometem que inibem a recuperação bem sucedida de um ataque cibernético:

Estabelecer prazos irrealistas para recuperação. Um gestor sênior nos disse que o pior dia após um ataque cibernético grave não é o primeiro ou segundo dia. O pior dia surge depois de duas semanas de alta incerteza e pouco sono, quando vem a percepção de que levará muito mais semanas para se recuperar. A falta de prazos realistas desmoraliza a força de trabalho e os profissionais envolvidos na correção. Antes de se precipitar e estabelecer prazos rígidos, os líderes devem obter o máximo possível de informações para poderem entender o impacto e a escala completos de uma invasão.

Internalização irracional. Os ataques cibernéticos mais graves atualmente atingiram um nível de sofisticação que torna difícil, se não impossível, que as empresas lidem com tais incidentes por conta própria. Uma empresa que estudamos esperou quatro dias antes de procurar ajuda externa. Durante esses quatro dias, a equipe fez pouco progresso para encontrar a origem do ataque, fechar a vulnerabilidade ou recuperar e reconstruir sistemas. O apoio externo pode vir de especialistas em resposta a incidentes cibernéticos, escritórios de advocacia, consultores de relações públicas, agências governamentais, polícia e fornecedores. Até mesmo os concorrentes são conhecidos por oferecer recursos e espaço de escritório.

Culpa desnecessária. Executivos seniores em algumas empresas que estudamos foram atrás de seu departamento de TI para acusá-los verbalmente de serem responsáveis por não impedir o evento. O comportamento irascível dessa liderança encorajou outros funcionários a fazerem a mesma coisa. Em um caso, um administrador sênior de TI deixou a empresa na hora e saiu do prédio, só voltando depois que um dos executivos o alcançou, desculpou-se e garantiu que suas habilidades eram desesperadamente necessárias. O tempo para analisar e corrigir quaisquer erros no processo ou atitude vem depois, após a estabilidade ter sido restaurada. Na sequência de um ataque, qualquer energia não gasta na resolução dos problemas apenas cria pressão adicional e reforça a paralisia.

Três coisas em que empresas ciberesilientes acertam

Os detalhes precisos de como uma empresa deve responder a um ataque cibernético dependem da natureza do ataque e do tipo de negócio afetado. Mas, em um nível mais alto, os seguintes elementos estão no centro da reação vitoriosa a qualquer ataque:

Planeje e prepare-se pensando em casos extremos. "Não há praticamente nada que você possa fazer para evitar que um ataque cibernético aconteça. Portanto, é tudo sobre preparação para quando isso acontecer", disse um CIO. Infelizmente, nossa pesquisa mostra que a maioria das empresas gasta a maior parte do seu tempo, dinheiro e atenção na proteção de sua infraestrutura de TI, ao mesmo tempo em que negligencia outros elementos de resiliência organizacional.

Simplesmente ter um plano não será suficiente — as empresas devem garantir que ele estará disponível e executável quando necessário. Descobrimos que algumas empresas tinham seus planos armazenados em formulário eletrônico em um servidor que era então criptografado por ransomware. Outros que armazenavam seus planos em forma impressa ainda tiveram problemas porque a execução contava com sistemas de e-mail e telefonia da empresa que haviam sido comprometidos.

Tais problemas ressaltam o quão crítico é incorporar os elementos-chave de qualquer plano no pensamento e comportamento das pessoas que terão que executá-lo. Tanto nos centros de treinamento que observamos quanto em nosso trabalho de campo, descobrimos consistentemente que equipes executivas com experiência prévia em ambientes de alto estresse, dinâmicos e incertos tendem a superar seus colegas menos experientes.

Líderes com experiência anterior em crise cibernética ou equipes com antecedentes nas forças armadas, serviços de emergência ou aviação em geral permaneceram mais calmos e tomaram decisões mais sólidas em meio ao caos. Eles foram mais capazes de pensar com clareza, comportar-se de forma inovadora e adaptar-se rapidamente às mudanças sofridas pela organização e em seu ambiente. Em contrapartida, equipes com pouca experiência anterior tendiam a confiar em rotinas, esperando em vão que estas fossem adequadas. Na construção da resiliência cibernética, como em grande parte da vida, a experiência (que pode ser adquirida em simulações de crise) é de fato o melhor professor.

Não delegar, liderar. Em nossa experiência, executivos seniores que guiaram suas empresas em meio a ataques cibernéticos passam por uma grande mudança de mentalidade. Em particular, eles deixaram de lado qualquer crença anterior de que o ônus de responder a ataques cibernéticos recai principalmente sobre seus especialistas em tecnologia. Em vez disso, reconhecem que uma resposta bem sucedida é uma questão de responsabilidade coletiva e liderança organizacional.

Na verdade, os ataques cibernéticos geralmente deixam as empresas com tudo, menos com tecnologia. Como um CIO disse: "Não é mais um problema de TI, porque a TI está quase sempre fora do ar nessas situações." Em sua empresa, os recursos humanos tinham que continuar pagando aos funcionários sem acesso aos dados dos funcionários. Para isso, o RH instruiu o banco a espelhar os pagamentos do mês anterior. A função da cadeia de suprimentos em outra empresa pediu a vários fornecedores que fornecessem dados compartilhados anteriormente. Combinando informações de todos os fornecedores, foi capaz de construir um conjunto de dados bom o suficiente para continuar com a logística de entrada e saída. Tais soluções inovadoras requerem colaboração dentro e entre organizações — colaboração que a liderança deve permitir.

O mesmo imperativo se aplica à decisão de quais processos de negócios e sistemas de TI são mais críticos e, portanto, precisam ser priorizados na recuperação. Cada unidade de negócios e cada função provavelmente verá suas próprias prioridades como essenciais. Um CEO lembrou: "Tivemos 1.000 gerentes em todo o mundo gritando e gritando que seu sistema é o mais importante. Alguém tinha que decidir o que {iria} primeiro." Que alguém deve assumir esse processo decisório.

Dentro da função de TI, uma ação particularmente eficaz que observamos é dividir os membros da equipe em dois grupos. Um grupo é responsável pela remediação: investigar a causa raiz do ataque, fechar vulnerabilidades e prevenir ataques secundários. A outra equipe recupera e reconstrói sistemas. Ambas as equipes trabalham de forma independente, o que permite que cada um se concentre na tarefa em questão sem distrações externas.

Esse tipo de coordenação eficaz entre os negócios acelera a tomada de decisões em meio a crises. Também leva a uma recuperação mais rápida e reduz o custo.

Forneça comunicação aberta e consistente. Quando um ataque cibernético acontece, os executivos enfrentam uma decisão fundamental sobre o que e quanto comunicar aos acionistas e partes interessadas. É certo que algumas invasões excepcionais podem atingir níveis mais sensíveis ou envolver entidades governamentais vitais que tornam a comunicação completa e transparente inadequada. Mas essas são exceções.

Nosso viés é geralmente a favor da transparência rápida. Por um lado, manter um ataque em segredo é difícil. Em nossa pesquisa, encontramos inúmeros exemplos de funcionários informando pessoal externo à organização — em muitos casos, inadvertidamente.

Em contraste, assumir os fatos de maneira transparente ajuda a moldar a narrativa em torno da história e pode ajudar a proteger a reputação da empresa. Como o CIO de uma empresa de manufatura observou: "Se as pessoas começarem a vê-lo como um perdedor, incompetente e lento para agir, então você perde aliados e partes interessadas importantes, e isso pode rapidamente ir ladeira abaixo."

A comunicação transparente também pode criar oportunidades estratégicas. Um CEO nos disse: "A decisão de se comunicar abertamente com clientes, acionistas e público foi realmente útil, por duas razões. Primeiro, os clientes realmente deram valor à nossa postura, e tivemos muitos feedbacks positivos. Em segundo lugar, clientes, fornecedores e até alguns concorrentes se ofereceram para ajudar."

Aderir à estratégia de comunicação escolhida é tão importante quanto escolher a abordagem. A coerência na comunicação interna e externa sinaliza competência. Observamos que as equipes e organizações menos bem sucedidas não tinham coesão em suas estratégias de comunicação e oscilavam entre transparência e sigilo, parecendo ter perdido o controle e acabavam por perder a confiança das partes interessadas.

À medida que o risco de tais ataques futuros continua a aumentar, os desafios para empresas e líderes só podem crescer. As principais descobertas de nossa pesquisa — de que o sucesso ou o fracasso na esteira de um ataque cibernético dependem da liderança em uma organização, da obtenção de experiência prática de crise com antecedência e da comunicação consistente — fornecem orientação para que executivos seniores naveguem com sucesso em ameaças futuras.