Passado o furacão dos últimos acontecimentos, referentes ao mega ataque cibernético ocorrido na última sexta-feira (12) e fez mais de 200 mil vítimas em aproximadamente 150 países, o coronel Arthur Sabbat, diretor do Gabinete de Segurança da Informação da Presidência da República fala à Security Report. Na visão dele, o Brasil reagiu bem ao ataque principalmente devido à sua cultura colaborativa, permitindo uma série de consequências mais drásticas.
Segundo o coronel, a aprovação da Política Nacional de Segurança da Informação é importante em casos como esse, pois aborda não somente ações operacionais em caso de incidentes, mas o fomento ao ensino e pesquisa, bem como a evolução de uma cultura sobre o tema no País. “Uma reação consciente às vulnerabilidades já anunciadas e boas práticas ao lidar com o correio eletrônico já seriam suficientes para se evitar tal ataque”. Confira abaixo a entrevista na íntegra.
Security Report: Como o GSI avalia o ataque ocorrido na última sexta-feira?
GSI: Ataques classificados como ransomware não são uma novidade. Eles ocorrem com frequência cada vez maior e um que viesse a fazer uso de alguma vulnerabilidade já era esperado. Tanto o Cert.Br quanto o CTIR Gov já haviam lançado alertas em 2016, orientando como proceder na prevenção e reação a tal ataque. O Centro de Tratamento de Incidentes de Redes do Governo (CTIR Gov), órgão vinculado ao GSI/PR, emitiu um alerta com as orientações de mitigação da ameaça, ainda na sexta-feira, em sua página – www.ctir.gov.br.
SR: Existe um número preciso de quantos países foram atingidos?
GSI: Ainda não existe um número fechado, pois existem vítimas mais desavisadas que continuam sofrendo com esse incidente. Desde o dia 12 de maio, já passam de 200 mil vítimas pelo Mundo em ao menos 150 países.
SR: Como esse ataque pode ter começado?
GSI: Não se sabe exatamente a origem. O “WCry” já existia há algum tempo, as vulnerabilidades que permitiram a execução do ataque nos sistemas Windows foram corrigidas recentemente, no mês de março pela Microsoft. Se verifica que o “WCry” foi modificado para conseguir explorar o protocolo de compartilhamento de arquivos em rede, o SMB do Windows para a exploração das vulnerabilidades. Foram registradas variações do WCry como WannaCry, WanaCrypt0r, WannaCrypt e Wana Decrypt0r.
Por meio de uma campanha de e-mails com características de phishing, o malware foi espalhado com propagação impactante sobre o tráfego mundial de dados.
SR: Os países afetados estão se comunicando uns com os outros a fim de investigar o caso e chegar aos responsáveis pelos atos? Há acordos de cooperação global?
GSI: Os centros de tratamento de incidentes com responsabilidade nacional possuem uma rede de contato e de encontros internacionais, que os possibilitam se manter atualizados sobre as ameaças e a contar com as informações de contenção de maneira emergente. O CTIR Gov e o Cert.Br fazem parte dessas redes, como órgão de representação nacional do Brasil.
SR: Já há suspeitas de qual grupo teria iniciado essa campanha e o país de origem?
GSI: Sobre isso há apenas especulações até o momento.
SR: Qual foi o impacto dessa ação no Brasil? Quais organizações de fato foram atingidas?
GSI: Confirmados a nós e já anunciados à imprensa foram órgãos como o INSS, Tribunal de Justiça e Ministério Público de São Paulo. O impacto maior se deu em função da ação de desligamento de redes dos setores, em um princípio de pânico entre alguns administradores de redes, mas que foi contido durante o dia.
SR: Tudo já foi normalizado?
GSI: O pico do incidente já ficou para trás, mas ainda existem alguns casos ocorrendo de maneira isolada. Aqueles que ainda não realizaram principalmente as ações de atualização de seus sistemas Windows correm risco iminente de sofrer o incidente.
SR: Na sua avaliação, o Brasil se mostrou preparado para uma ação desse porte?
GSI: No Brasil, possuímos uma cultura colaborativa no que tange à tecnologia. Com certeza, tal característica nos permitiu evitar uma série de consequências mais drásticas.
SR: Como as nossas instituições, de maneira geral, estão se preparando para mitigar tais riscos?
GSI: Na própria sexta-feira, dia 12 de maio, o CTIR Gov emitiu alerta em sua página e enviou o mesmo aos órgãos da administração pública federal, orientando como se prevenir e atuar nesse ataque. Em meados de 2016 já havia sido emitido um alerta sobre ataques de características ransomware, também em nossa página. O Cert.Br também tratou do assunto em sua página.
SR: Alguma empresa pagou o resgate? Como as máquinas afetadas foram restabelecidas?
GSI: Não observamos a ação de pagamento por parte dos órgãos do Governo. O restabelecimento das máquinas afetados não é simples. O WannaCry criptografa arquivos de computadores com Windows que não instalaram uma correção de segurança liberada pela Microsoft em março. Até se achar a chave criptográfica, o usuário não terá como acessar os dados de suas estações. Por isso reforçamos sempre a importância da atividade de backup dos sistemas.
SR: Tudo indica que o setor de Saúde, especialmente na Europa, foi o mais afetado. Por quê?
GSI: Foram relatados na Inglaterra cancelamento de atendimentos e redirecionamento de ambulâncias para outros hospitais. Tal característica não se repetiu com intensidade no Brasil. O que justifica a atuação no setor de Saúde vem a ser a importância dos dados ali trabalhados. Já ocorreram advertências apontando que o setor de Saúde em muitos países é particularmente vulnerável e é responsável por processar uma grande quantidade de informação sensível.
SR: Como uma Política Nacional de Segurança da Informação poderia ajudar nesse caso?
GSI: A PNSI, sendo desenvolvida por meio de Grupo Interministerial, convocado pelo Gabinete de Segurança Institucional da Presidência da República – GSI/PR, procura abordar nãos só as ações operacionais em eventos de incidentes de segurança, mas também o fomento ao ensino e pesquisa, bem como a evolução de uma cultura de Segurança da Informação no País.
Uma reação individual consciente às vulnerabilidades que já haviam sido anunciadas e boas práticas ao se lidar com o correio eletrônico já seriam suficientes para se evitar tal ataque.
SR: Este foi o maior ciberataque a nível global já efetuado?
GSI: É indiscutível que sua propagação foi impactante, mas o efeito gerado pelo pânico, ao se desligar redes de serviços essenciais, com certeza foi nossa maior preocupação. Respondendo de maneira mais objetiva, esse foi o maior ciberataque do tipo sequestro de dados, em virtude de seus números de propagação.
SR: O que esta ação é capaz de mostrar às nações/instituições/sociedade?
GSI: Os incidentes de Segurança da Informação representam uma ameaça crescente para economias e infraestrutura crítica. São necessárias respostas de política adequadas e abordagens eficazes para a avaliação da segurança de TI nos órgãos críticos.
É muito importante também a existência de uma maior partilha de informação e de experiências, bem como a efetivação da Política Nacional de Segurança da Informação.
SR: O que muda após esse ataque?
GSI: A cada evento, como esse de sexta-feira, serve de embasamento para a adoção de medidas preventivas mais adequadas. Tal acontecimento sensibiliza e gera um maior envolvimento da sociedade nas questões de Segurança da Informação, a começar com o trato dos dados pessoais, além de reforçar a resiliência a explorações de brechas de segurança, como a do WCry.
SR: Espaço livre. Algo a acrescentar?
GSI: O CTIR Gov é o Centro de Tratamento de Incidentes de Redes do Governo, está subordinado ao Departamento de Segurança de Informação e Comunicações – DSIC – do Gabinete de Segurança Institucional da Presidência da República – GSI/PR. Sua finalidade é o atendimento aos incidentes em redes de computadores da administração pública federal.
