Emilian Papadopoulos, da Good Harbor: “A segurança da informação não é um problema só do departamento de TI” (Divulgação/Exame)
Raphaela Sereno
Publicado em 9 de junho de 2017 às 05h55.
Última atualização em 13 de junho de 2017 às 12h26.
São Paulo — Passadas mais de três semanas dos ataques do vírus WannaCry, em meados de maio, há uma série de questões ainda sem resposta. A suspeita levantada por empresas de segurança de que a Coreia do Norte está por trás da ação vai ser confirmada pelas autoridades que investigam o caso? Se não, quem foram os autores desse ataque tão agressivo que afetou hospitais, fábricas, companhias aéreas e órgãos públicos? Quais eram seus objetivos? E, o mais importante, como empresas e governos podem se blindar de futuras ameaças?
Para Emilian Papadopoulos, presidente da Good Harbor Security Risk Management, consultoria com sede em Washington fundada por ex-assessores de cibersegurança da Casa Branca, o método usado no ataque deverá ser copiado por outros cibercriminosos, e novas ações vão ocorrer num futuro próximo. Segundo a Europol, agência europeia de polícia, 230 000 computadores de 150 países foram afetados. O vírus tinha a capacidade de codificar os arquivos do computador da vítima de uma maneira que só poderiam ser liberados pelos próprios hackers mediante pagamento de um resgate de 300 dólares por máquina. “Antes, os vírus eram criados para roubar informações. Agora são feitos para causar distúrbios nas operações das empresas ou para destruir informações”, afirma Papadopoulos.
Exame - Como o ataque do vírus WannaCry difere de outros casos?
Papadopoulos - Uma grande diferença no caso do WannaCry foi a rapidez com que se espalhou, atingindo 150 países em 48 horas. Trata-se de uma escala e de uma velocidade sem precedentes. A segunda diferença é que ele uniu características dos vírus que sequestram arquivos — chamados de ransomware — com a habilidade de outro tipo de vírus cujo objetivo é se espalhar — chamado de worm. O número de ransomwares já vinha crescendo nos últimos anos, mas eles eram direcionados e não tinham a capacidade de se espalhar. Não tínhamos visto ainda um ransomware que se disseminasse de forma tão ampla. Há ainda uma terceira diferença. A maioria dos vírus sequestradores é projetada para decodificar os arquivos uma vez que o resgate é pago. Mas o WannaCry é diferente. Segundo algumas vítimas, os arquivos não foram desbloqueados após o pagamento. O vírus não funcionou direito e enviou todo o dinheiro dos resgates a apenas três contas, fazendo com que os pagamentos ficassem misturados, indistinguíveis uns dos outros. Portanto, não está claro sequer se os hackers sabiam quais vítimas tinham pago o resgate e quais estavam devendo.
Exame - O ataque foi lucrativo para os criminosos?
Papadopoulos - Se o objetivo era fazer dinheiro, o -WannaCry falhou. Ele só conseguiu levantar cerca de 100 000 dólares, o que é um valor baixo para um ataque dessa proporção. Se o objetivo era capturar a atenção, no entanto, ele foi um sucesso. Por isso, uma hipótese é que o WannaCry tenha sido espalhado por hackers ativistas que queriam demonstrar como a sociedade está vulnerável, incentivando as empresas a dar maior atenção à segurança. Há ainda outras explicações. Existe um debate nos Estados Unidos sobre o que a agência de inteligência NSA deve fazer caso descubra novas vulnerabilidades: mantê-las em segredo e usá-las para espionagem ou divulgá-las ao público para que as empresas possam se proteger de um eventual ataque. É possível que os hackers quisessem influenciar esse debate. Outra hipótese é que o vírus tenha sido um alerta para os Estados Unidos e para outros governos de que esse grupo de hackers é capaz de causar uma destruição generalizada em redes de computadores.
Exame - Os governos devem tratar esse ataque como uma ameaça à segurança nacional?
Papadopoulos - Sim, um vírus desse tipo pode infectar sistemas importantes de infraestrutura, como redes de energia, água, barragens e portos. O WannaCry mostrou isso. Ele afetou hospitais, uma companhia aérea e fábricas. Um vírus pode até atingir sistemas-chave de segurança nacional, particularmente em países que ainda estejam desenvolvendo seus sistemas de defesa na área digital.
Exame - O senhor acredita que outros ataques parecidos vão se repetir? Ou esse foi um caso excepcional?
Papadopoulos - Eles vão se repetir. As empresas, os governos e a população devem esperar mais ataques como o do WannaCry, de vírus que sequestram os arquivos, destroem informações e se espalham rapidamente por muitas redes e países. Os hackers e os cibercriminosos aprendem uns com os outros e copiam os métodos de ataque, melhorando a cada nova ação. Os casos de ataques de ransomware são um exemplo disso. Eles vêm aumentando no mundo todo nos últimos anos. Os próprios criadores do WannaCry já desenvolveram uma segunda versão melhorada alguns dias depois do primeiro ataque.
Exame - Como governos e empresas podem evitar as consequências mais graves desses ataques?
Papadopoulos - A verdade é que a maioria dos ataques de cibercriminosos envolve vulnerabilidades já conhecidas pelos especialistas que não são extremamente sofisticadas. O problema é outro. É que as empresas e os órgãos públicos não fazem as atualizações de software de uma forma rápida o suficiente para se proteger ou então estão usando sistemas operacionais antigos, que já não recebem correções de segurança. Uma forma de evitar eventuais prejuízos com novos ataques é ter uma infraestrutura de TI atualizada e bem gerenciada. Antes de as organizações investirem todo o seu dinheiro em novas tecnologias de proteção, elas deveriam garantir que sabem exatamente quais equipamentos possuem e se o software está sendo atualizado.
Exame - É simples assim? É apenas uma questão de manter os sistemas atualizados?
Papadopoulos - É um pouco mais complicado. As empresas não podem tratar a segurança da informação como se fosse um problema apenas do departamento de tecnologia da informação, como ocorre em algumas companhias. É um risco que afeta toda a organização. Outra medida importante é ter um executivo sênior responsável pela segurança digital e criar um grupo de trabalho com envolvimento de todos os departamentos — incluindo recursos humanos, jurídico e comunicações. Com esse grupo, a empresa deve definir quais são os sistemas mais críticos e que precisam de uma proteção ainda mais avançada. No caso de um hospital, por exemplo, é essencial que os dados dos pacientes e os equipamentos médicos estejam sempre livres de ataques e em funcionamento. Mas talvez seja mais aceitável se o sistema de recursos humanos ficar fora do ar por um tempo no caso de um ataque. Com base nessa análise inicial, é possível implementar as estratégias. Com tantas ameaças, empresas maduras precisam lidar com a segurança digital como uma questão de gestão de risco e governança, e não como um problema puramente técnico.
Exame - Quais são as maiores lições do WannaCry para o governo americano?
Papadopoulos - Para o governo, ficou uma lição muito importante. Descobrir a vulneralibilidade de um sistema operacional e manter isso em segredo para realizar espionagens nem sempre é a melhor alternativa. Hackers podem seguir o mesmo caminho e causar muitos prejuízos. Não podemos esquecer que as companhias e os cidadãos também contam com o governo americano para manter a segurança do país. É preciso fazer um debate público para definir qual é o ponto de equilíbrio. A vulnerabilidade que o WannaCry explorou foi descoberta pela agência de inteligência americana NSA antes de a Microsoft avisar o público sobre ela em março deste ano. Acredito que veremos mais pressão por parte de políticos, empresas e cidadãos para que o serviço de inteligência divulgue as brechas antes que seja tarde. Depois do ataque, Brad -Smith, chefe legal da Microsoft, publicou um texto criticando o governo por mantê-las em segredo e escreveu: “O ataque é um alerta para que despertemos”. De fato, é um alerta.