Meu hospital sofreu um ataque de ransomware. E agora?
Um ataque cibernético não tem dia e nem hora marcada para acontecer e os hospitais, infelizmente, são alvos bastante visados por esse tipo de crime, até por serem instituições que não podem parar de forma alguma.
Desde o início da pandemia, hospitais estão cada vez mais na mira de criminosos cibernéticos, que se aproveitaram de um momento de extrema fragilidade e demanda no setor da Saúde para lucrar. O resultado disso é um cenário ainda mais caótico, com dados dos pacientes em risco, assim como a própria funcionalidade das operações. Ataques de ransomware podem, por exemplo, causar panes em sistemas, danificando a rede elétrica, tão fundamental para a segurança de pacientes e funcionários.
Quando o estrago já foi feito, o que fazer?
1. Informar todos os colaboradores sobre o ataque
Esta é uma função do pessoal da TI ou do DPO (Data Protection Officer), quando há um na empresa. Basta mandar um comunicado dizendo que o hospital foi atacado e que os servidores vão parar de funcionar por um tempo.
2. Contactar a polícia
É importante fazer o Boletim de Ocorrência em uma delegacia especializada em crimes cibernéticos, avisa Filipe Luiz Antonio, analista de infraestrutura sênior da Flowti. Quando não há uma unidade dessas na região onde a invasão aconteceu, pode-se dirigir à cidade mais próxima que tenha uma delegacia especializada.
3. Verificar o backup
“As novas variantes de ransomware não deixam você descriptografar os seus arquivos sem a chave que o criminoso cria. Ou seja, não é possível fazer uma engenharia reversa. O seu backup, portanto, deve estar íntegro. Caso contrário, você dificilmente escapará de pagar o resgate”, explica Filipe.
4. Restaurar o Backup
Se o backup estiver íntegro, é o momento de restaurá-lo. “Para isso, você isola a rede de servidores da rede de máquinas de estações de trabalho porque não se sabe ainda de onde veio o ataque. Pode ter sido de uma estação, pode ser proveniente de uma vulnerabilidade do firewall. Então, a gente deixa a rede de servidores apartada da rede de estações e quebra essa conexão. A partir daí, começa a trabalhar nos servidores”, conta o especialista.
5. Verificar as máquinas
Em paralelo com o trabalho de backup e restauração das máquinas, é preciso começar a investigar onde foi a “porta de entrada” do ataque. Então, deve-se ter uma equipe trabalhando nas estações, para saber se foram infectadas também.
6. Atualizar sistemas e antivírus
De acordo com Filipe, é bom aproveitar que as máquinas estão paradas durante a verificação para rodar o antivírus e atualizá-lo, assim como o Windows e todos os sistemas. Dessa forma, o equipamento fica limpo e pronto para voltar ao trabalho no hospital.
7. Tenha paciência
O tempo de restauração varia bastante conforme o tamanho da instituição, do problema e do local em que o backup foi feito. Ele pode estar em uma mídia externa ou na nuvem. “Antigamente, fazia-se backup no ambiente de Linux, porque não havia ransomware para ele. Mas hoje existe, então, pode ser arriscado. Por isso, encontramos algumas opções. Uma delas é realizar o que chamamos de backup imutável, ou seja, a chave de criptografia muda a toda hora. Assim, se o servidor Linux for atacado, o backup estará protegido. Outra saída é mandar o backup para a nuvem, onde é mais seguro”, diz Filipe.
É preciso negociar com o criminoso?
A resposta para a dúvida acima é complexa, porque depende do cenário do ataque. Se o backup está íntegro, ou seja, se ele existe e não foi afetado, então, não é preciso pagar nada. Agora, se o criminoso conseguiu apagar o backup ou a instituição não o fez adequadamente, a história é outra. Mas é preciso muito cuidado nessa hora. Primeiro porque não há garantias de que o criminoso devolverá tudo após o pagamento, que é feito em criptomoedas por não ser possível rastrear o destino do dinheiro. Segundo, porque há empresas que dizem que conseguem descriptografar arquivos quando, na verdade, entram elas mesmas em negociação com o criminoso. Aí, acabam cobrando uma grande quantia de dinheiro ao cliente vítima do ataque, sendo que apenas fizeram uma interface com o atacante e não o trabalho em si. “Como disse, essas variantes não são possíveis de descriptografar a não ser pela chave que o próprio
criminoso criou. Por isso, não contrate nenhuma empresa que diz que vai descriptografar os seus arquivos, porque é mentira”, conta o especialista.