Baixe o app para aproveitar ainda mais
Prévia do material em texto
Este documento é autorizado apenas para revisão do educador por Oscar Javier Celis Ariza, Universidade Estácio de Sá até março de 2016. Copiar ou publicar é violação dos direitos autorais. Permissions@hbsp.harvard.edu ou 617.783.7860 www.hbr.org Como o Sunnylake deveria lidar com o ataque? Quatro comentaristas oferecem conselhos de especialistas. ESTUDO DO CASO HBR E COMENTÁRIO Quando Hackers Viram Chantagistas por Caroline Eisenmann Reimpressão R0910B harvard business review • outubro de 2009 página 1 Este documento é autorizado apenas para revisão do educador por Oscar Javier Celis Ariza, Universidade Estácio de Sá até março de 2016. Copiar ou publicar é violação dos direitos autorais. Permissions@hbsp.harvard.edu ou 617.783.7860 C O P Y R IG H T © 2 0 0 9 H A R V A R D B U SI N E SS S C H O O L P U B L IS H IN G C O R P O R A T IO N . T O D O S O S D IR E IT O S R E SE R V A D O S. Vidas ficam em jogo quando chantagistas desligam o sistema eletrônico de prontuários médicos de um hospital ESTUDO DO CASO HBR Quando Hackers Viram Chantagistas por Caroline Eisenmann A segurança da sua rede é uma droga, diz a mensagem. Mas nós podemos ajudar você. Por 100k em dinheiro nós garantimos que o seu hospitalzinho não vai sofrer nenhum desastre. "Ridículo", disse Paul Layman para si mesmo, ao excluir o e-mail. "As coisas que as pessoas tentam aprontar na internet!". Paul, o Diretor-Executivo do Hospital de Sunnylake, estava verificando sua caixa de entrada sem pressa em uma sexta-feira à tarde, quando encontrou o e-mail mal educado de um remetente desconhecido. Ele havia começado no Sunnylake, cinco anos antes, com a ideia de introduzir tecnologia de ponta no pequeno hospital. Paul estava convencido de que o Sunnylake poderia crescer apenas se livrando dos hábitos e procedimentos ultrapassados e que a mudança de prontuários de papel para prontuários médicos eletrônicos (EMRs) iria melhorar a qualidade dos cuidados para os pacientes do hospital. Depois de uma busca cuidadosa, Paul contratou um jovem sério chamado Jacob Dale para ser diretor de TI do Sunnylake, e os dois tinham trabalhado para executar a sua visão. O sucesso da iniciativa EMR transformou o Sunnylake de um centro de cuidados da comunidade estagnado a um modelo para pequenos hospitais em toda parte. Toda a equipe médica agora usava leitores eletrônicos para abrir os arquivos dos pacientes. Muitos dos médicos tinham resistido inicialmente à mudança, temendo que a nova tecnologia desviasse a atenção dos sinais e sintomas dos pacientes. Conforme o tempo passou, porém, até mesmo o mais dedicado a moda antiga foi forçado a admitir que os EMRs tinham aumentado a eficiência, por exemplo, ao verificar automaticamente se há erros de medicação e as interações medicamentosas. O brilhante sucesso havia transformado o recente departamento de TI de Paul em uma parte valiosa do hospital. O Diretor-Executivo considerava os EMRs com seu legado, que serviria bem a instituição nos próximos anos. A ameaça implícita no e-mail não provocou nenhuma ansiedade em Paul. Ele confiava muito em Jacob, Os casos HBR, que são ficcionais, apresentam dilemas gerenciais comuns e oferecem soluções concretas de especialistas. harvard business review • outubro de 2009 página 2 Este documento é autorizado apenas para revisão do educador por Oscar Javier Celis Ariza, Universidade Estácio de Sá até março de 2016. Copiar ou publicar é violação dos direitos autorais. Permissions@hbsp.harvard.edu ou 617.783.7860 Quando Hackers Viram Chantagistas • ESTUDO DO CASO HBR Caroline Eisenmann é uma ex estagiária da HBR. cujas camisas sob medida e a barba de Vandyke desmentiam sua energia agressiva. Durante o desenvolvimento do sistema, Paul insistiu repetidamente que a privacidade dos pacienteis era essencial. Jacob tinha explicado calma e exaustivamente que os prontuários digitais iriam torná- los mais seguros também. Entretanto, Paul estava nervoso quando o sistema foi colocado no ar, mas os últimos três anos terminaram com as suas dúvidas. Apesar de saber que nenhum sistema de computador é perfeito, ele estava confiante de que a rede não estava em perigo real, especialmente por causa de um chantagista que não dominava habilidades básicas de digitação. Ele se esqueceu do assunto durante o fim de semana. Mas às 8h na segunda-feira ele recebeu outro e-mail do mesmo remetente, com o assunto "Nós advertimos você.” O corpo do e-mail estava vazio. O dia mais difícil da carreira de Paul Layman estava prestes a começar. Acesso Negado "Temos um paciente entrando na cirurgia!" o médico gritou. "Eu preciso desses registros agora!" A estagiária com quem ele gritou mal tirou os olhos do dispositivo em suas mãos. Ela estava lá há apenas uma semana, pensou o médico, e já estava provando sua incompetência. Ele puxou o leitor EMR dela e, impaciente, inseriu seu código de acesso. A tela dizia Acesso negado. "O que é isto?" ele rosnou. "Eu olhei os arquivos deste paciente ontem!" A equipe de TI tinha projetado a rede para que os registros pudessem ser acessados apenas pelos médicos, enfermeiros e administradores que precisassem. Hoje, aparentemente, algo tinha dado terrivelmente errado. A estagiária ficou parada, com as mãos nos quadris, balançando a cabeça. Resistindo à vontade de bater o dispositivo contra uma mesa, o médico disparou pelo corredor em direção ao departamento de TI. Ele mal notou o grupo de enfermeiros preocupados nos seus postos ou os carrinhos de medicamentos vazios que deveriam estar fazendo suas rondas matinais. Uma cena incomum acontecia no centro do departamento. Um grupo de médicos descontentes havia se reunido fora de uma sala envidraçada onde vários servidores estavam zumbindo em racks. Dentro da sala, alguns caras de TI trabalhavam freneticamente. Enquanto o médico se aproximava, ele via que todos os seus colegas seguravam um dispositivo que exibia a mesma mensagem: Acesso negado. Resgate dos Prontuários Minutos depois, Jacob estava no escritório de Paul quando um terceiro e-mail chegou. Em completo silêncio os dois olharam para a tela do computador de Paul. Apostamos que vocês querem seus materiais de volta. Deveriam ter protegido ele melhor. Pelo pequeno preço de 100K a gente acaba com essa situação. "O que está acontecendo?" Paul perguntou. "Eu tenho médicos fazendo tumulto nos corredores". "Isso é algum tipo de pedido de resgate para todo o sistema" murmurou Jacob. "Em vez de assaltar algumas pessoas por 50 dólares cada, estes caras estão assaltando toda a organização. Eles querem US$ 100.000 pela ferramenta de decodificação". Toda a sua equipe estava trabalhando tentando restaurar o sistema. A programação que normalmente permitia apenas acesso seletivo aos registros havia sido alterada para permitir nenhum tipo de acesso. Até os administradores do sistema foram excluídos. "Como eles entraram em nosso sistema?" "Talvez através de uma máquina de usuário individual", respondeu Jacob. "Alguém aqui pode ter pensado que estava baixando um software antivírus ou atualizando um aplicativo existente". "Um idiota em nossa equipe poderia ter causado essa bagunça toda?" Paul percebeu em um instante revoltante que o departamento de TI do Sunnylake simplesmente não era grande ou sofisticado o suficiente para lidar com um problema tão devastador. Nos últimos três anos a tecnologia de segurança havia avançado significativamente, mas de algumaforma o Sunnylake não havia acompanhado. Apenas alguns dias antes Paul estava confiante de que era praticamente impossível infiltrar no sistema. Agora ele tinha que enfrentar a terrível realidade de que ele tinha sido muito fraco o tempo todo. Os prontuários completos tinham cópias de segurança na rede, dessa forma as informações dos pacientes não seriam completamente perdidas. Mas o Sunnylake atualmente não tinha como entregar os prontuários para os médicos que precisavam deles com urgência para o atendimento ao paciente. O hospital estava prestes a chegar a uma paralisação. "Isto é..." Paul fez uma pausa, perdido nas palavras. "Muito ruim. Muito, muito ruim". Ele olhou para Jacob. Os olhos do diretor de TI estavam cerrados e sua expressão era feroz. "Que pessoa desprezível hackeia um hospital?" ele perguntou olhando para a tela. "Eles não se preocupam em machucar pessoas doentes? Você acha que já viu o pior, mas essas pessoas chegam a níveis mais baixos o tempo todo". "Pelo que tenho ouvido, os hackers não seguem um código moral", disse Paul, suprimindo a vontade de gritar com Jacob. "Eles harvard business review • outubro de 2009 página 3 Este documento é autorizado apenas para revisão do educador por Oscar Javier Celis Ariza, Universidade Estácio de Sá até março de 2016. Copiar ou publicar é violação dos direitos autorais. Permissions@hbsp.harvard.edu ou 617.783.7860 Quando Hackers Viram Chantagistas • ESTUDO DO CASO HBR "Nossa exposição legal neste tipo de situação é enorme", disse ela. "Literalmente, cada segundo é uma responsabilidade". devem ter percebido que nossa dependência desses registros nos torna particularmente vulneráveis. Se você derrubar um site normal por algumas horas, a empresa provavelmente perde dinheiro. Talvez até mesmo muito dinheiro. Mas se você tomar prontuários de um hospital, a equipe pode acabar prejudicando os pacientes que tanto trabalha para proteger. Esta não é apenas uma questão de dinheiro. Nós temos vidas de seres humanos em jogo". "Meu pessoal está lutando contra isso com tudo que nós temos", Jacob respondeu defensivamente. "Dado tempo suficiente, podemos recuperar o controle do sistema. Então vamos atualizar a segurança para ter certeza de que nada como isso aconteça novamente. Instalaremos um sistema de detecção de infecção baseado na rede. A partir de agora, apenas afastar os intrusos não é suficiente." "A questão é: Quando podemos vencer?" Paul disse calmamente, segurando a sua frustração. "Nós não podemos seguir sem os prontuários por muito mais tempo". "Este é o equivalente digital de um combate corpo a corpo", Jacob respondeu. "Conhecemos o sistema melhor do que essas pessoas, mas eles têm a vantagem do efeito surpresa. Eu não posso dizer quando nós iremos vencer. Não há uma solução rápida para um problema como este". Paul acenou com a cabeça em direção à tela. "Eles nos ofereceram uma solução rápida", disse ele. "Você não está pensando seriamente em pagar esses caras, está?" Jacob perguntou, incrédulo. "Se pagarmos uma vez, seremos um alvo para sempre. Não faça isso. Não está certo. Podemos vencer estes caras, Paul. Apenas me dê mais algum tempo". Uma Bomba-Relógio "Paul, nós precisamos fazer isso desaparecer", disse Lisa Mankins, chefe de assessoria jurídica do Sunnylake. Seu cabelo estava penteado para trás suavemente e ela estava vestida como de costume em um terninho austero, mas Lisa parecia ter acabado de passar por horas de tortura. Depois do e-mail mais recente dos hackers, o departamento de TI tinha conseguido restaurar o sistema duas vezes, apenas para vê-lo cair minutos mais tarde. Apesar dos melhores esforços do departamento, Jacob explicou, os hackers continuavam recuperando o acesso. A maior parte da equipe começava a parecer emocionalmente esgotada. O hospital tinha pedido que todos os médicos escrevessem ordens para os enfermeiros e receitas em papel por enquanto. Os médicos mais jovens, que sempre tinham contado com os EMRs, ficaram perplexos com a ideia. Mesmo alguns dos mais velhos tinham esquecido como escrever "Amoxicilina 500 mg" de forma legível. Paul ligou para Lisa em seu escritório para falar sobre o controle dos danos. "Nossa exposição legal neste tipo de situação é enorme", disse ela. "Quanto mais tempo isso continuar, maior o risco. Literalmente, cada segundo é uma responsabilidade. Os médicos estão recorrendo aos velhos prontuários em papel para os casos mais urgentes, mas esses registros estão ultrapassados. No início desta tarde, nós tratamos um paciente com um medicamento ao qual ele era alérgico. Felizmente, sua reação foi leve, mas pode ser que não tenhamos a mesma sorte da próxima vez". Lisa andava de um lado para o outro em frente à escrivaninha de Paul. "Temos de avaliar nossas opções. Não me parece que o departamento de TI conseguirá corrigir esse problema rápido o suficiente, se isso for possível." "Da forma como Jacob explicou, o departamento de TI precisará de um certo tempo para recuperar o controle", Paul disse. Ele havia tentado durante toda a manhã manter sua confiança na capacidade de Jacob, mas ela estava começando a desaparecer. Cada vez que o sistema era restaurado, a esperança disparava no peito de Paul, apenas para sucumbir novamente quando Acesso negado reaparecia em cada tela. "Nós não temos esse tempo", Lisa insistiu. "Vocês sabem disso". Após um momento de silêncio, ela falou de novo, sua expressão firme. "Temos um orçamento para este tipo de coisa, você sabe. Um orçamento de prejuízos aceitáveis. Temos um seguro que cobre riscos de TI e o dinheiro para pagar esses caras. Somente os processos de negligência poderiam custar centenas de milhares de dólares com despesas judiciais a este hospital, e possivelmente milhões em indenizações. Cem mil dólares é pouco tendo em vista as perdas que poderíamos enfrentar se esperarmos por isso. Eu acho que é prático, até mesmo moral, pagar o resgate. Quanto mais tempo nós esperarmos, mais corremos o risco de ferir seriamente nossos pacientes e nós mesmos". "Eu não gosto da ideia", disse Paul. Nem um pouco. Não há princípios em recompensar extorsão. Isso apenas incentivaria essas pessoas e talvez levaria a outros ataques em outros hospitais". Ele fez uma pausa. "Mas pode ser tudo o que temos". Lisa mal tinha deixado seu escritório antes de George Knudsen, o chefe de pessoal, entrar disparado. "Quando você vai resolver isso?" ele exigiu. "Você tem alguma ideia do que isso causaria para a nossa reputação se algum jornalista ficasse sabendo disso?" George era um membro grisalho e intimidador do Sunnylake. Ele já estava lá há anos quando Paul chegou e talvez permanecesse bem mais tempo que ele. Os dois tinham discutido sobre a introdução dos EMRs, mas eram cordiais desde o sucesso da iniciativa. George parecia tudo, menos cordial agora. harvard business review • outubro de 2009 página 4 Este documento é autorizado apenas para revisão do educador por Oscar Javier Celis Ariza, Universidade Estácio de Sá até março de 2016. Copiar ou publicar é violação dos direitos autorais. Permissions@hbsp.harvard.edu ou 617.783.7860 Quando Hackers Viram Chantagistas • ESTUDO DO CASO HBR "Todos estão dando o máximo possível", Paul respondeu. "Tem sido difícil para todos nós". "Eu não acho que você saiba o quão difícil tem sido", disse George, irritado. "Você não saberia a menos que tivesse que tratar pacientes enquanto se pergunta se na verdade os fará mal. Você não saberia isso a menos que estivesse com medo de quebrar seu juramento só porque um jovem aficionado por computadores achou que seu sistema era muito mais forte do que realmente é". "George, você sabe o quão bom o sistema eletrônicotem sido para este hospital", Paul respondeu, alarmado pela fúria do homem mais velho. "Você mesmo admitiu". "Eu não sabia o preço que teríamos que pagar!" George rugiu. "Você está fazendo todos os seus funcionários parecerem incompetentes, ou pior! O papel podia ser lento, mas era confiável. Se você não corrigir isso em breve, Paul, eu nunca tocarei em um daqueles malditos dispositivos novamente. E eu sei de muitos outros aqui que se sentirão da mesma forma". Ele saiu. • • • Paul estava deitado de costas no sofá na sala dos funcionários, olhando para o teto que estava aceso pela metade. Eram 1h da manhã. A equipe de TI ainda estava no hospital, travando uma guerra cibernética com o adversário invisível. O padrão de vitória breve seguido por derrota continuou noite adentro. Jacob tinha tentado todos os decrypter on-line que pode encontrar, sua equipe Paul apertou os olhos até fechá-los. Ele continuava vendo imagens cinematográficas de decifradores de códigos Aliados lutando contra a máquina Enigma dos alemães. A situação do Sunnylake era extremamente urgente. Por mais que ele tentasse, não conseguia limpar sua mente e cair no sono. A culpa esmagadora, uma sensação de responsabilidade por tudo o que havia acontecido naquele dia, pressionava o seu peito. Mesmo depois de três anos de sucesso, durante os quais a equipe quase que sem exceção veio a apreciar a eficiência dos EMRs, Paul conseguia se lembrar claramente o quão duro ele tivera que lutar para instalar o sistema e fazer com que os funcionários o aceitassem. A menos que conseguisse resolver esta crise rapidamente, ele perderia todo o terreno que tinha conquistado. Os médicos do hospital tinham sido muito teimosos e resistentes no início, e George Knudsen não era o único que diria "eu avisei". Poderia ser quase impossível fazê-los confiar no sistema, ou nele, de novo. Se ele pagasse os hackers, apenas esta vez, o Sunnylake poderia tornar a segurança sua prioridade número um e assegurar que nada como isso jamais acontecesse novamente. Paul se virou, suspirando. Ele estava realmente pensando em pagar extorsão a esses criminosos? Como o Sunnylake deveria lidar com o ataque? Três comentaristas oferecem conselhos de especialistas. estava dispersada pelo hospital, varrendo os computadores atrás de pistas. Ver Comentário do Caso harvard business review • outubro de 2009 página 5 Este documento é autorizado apenas para revisão do educador por Oscar Javier Celis Ariza, Universidade Estácio de Sá até março de 2016. Copiar ou publicar é violação dos direitos autorais. Permissions@hbsp.harvard.edu ou 617.783.7860 Quando Hackers Viram Chantagistas • ESTUDO DO CASO HBR Comentário do Caso por Per Gullestrup Como o Sunnylake deveria lidar com o ataque? O primeiro seria contratar um negociador emocionalmente neutro que possa abrir um diálogo com os hackers. Por mais desagradável que possa parecer, eu sugeriria que o Sunnylake Hospital fosse em frente e pagasse o resgate exigido pelos chantagistas. (Isto pressupõe, naturalmente, que a ameaça é real e que existe um risco verificável para a saúde do paciente). Esta pode muito bem ser a única maneira de Paul Layman preservar os pacientes do Sunnylake contra danos e evitar o risco enorme de responsabilidade que Lisa Mankins, a chefe do jurídico, tanto teme. Por que eu recomendaria isto? Como Diretor- Executivo, eu tive que lidar com uma situação análoga em novembro de 2008, quando piratas somalianos no Golfo de Aden atacaram um navio de US$ 15 milhões pertencente ao Grupo Clipper. Os piratas mantiveram os 13 membros da tripulação reféns durante 71 dias. Eu liderei a equipe de resposta de emergência encarregada por garantir a segurança do navio e da tripulação. Lidar com extorsão não faz parte da descrição de trabalho de um Diretor-Executivo. No nosso caso, os criminosos tinham todas as cartas. Durante o confronto, eu aprendi que a pirataria somaliana é uma empresa bem gerida que inclui uma série de protagonistas e investidores. Apesar de os piratas poderem tornar a vida dos reféns desagradável, machucá-los está fora de questão, isto seria a morte para o modelo de negócios dos piratas. Os piratas sabiam que o tempo estava a seu favor. Se escolhêssemos não pagar, eles simplesmente ficariam com o navio e a tripulação; seu sistema bem elaborado facilita o reabastecimento contínuo do navio. (Embora a lei dinamarquesa proíba o pagamento de resgate aos terroristas, não há nada que impeça um armador de pagar os piratas). Nenhum Diretor-Executivo consegue aguentar indefinidamente as constantes reclamações de parentes desesperados, uma imprensa ansiosa e os políticos exigentes, é simplesmente insustentável. No final, nós não tivemos nenhuma escolha a não ser pagar os milhões de dólares que os piratas exigiam. (O seguro cobriu o custo). No caso de Paul, o primeiro e mais importante passo deve ser contratar um bom negociador emocionalmente neutro que possa abrir um diálogo com os hackers e mantê-los envolvidos na conversa, de modo que será improvável que eles façam ainda mais mal. Na medida em que o processo avança, o negociador pode passar informações entre os dois lados, enquanto a equipe de TI de Jacob Dale trabalha para conseguir fazer com que o sistema funcione e, em seguida, reforça os planos de segurança e de emergência que deveriam ter em primeiro lugar. Enquanto isso, a polícia e os especialistas forenses podem tentar rastrear os criminosos e colocar um fim a sua organização. Enquanto as negociações estão em jogo, tudo se transforma em um tabuleiro de xadrez. O negociador e a equipe de emergência podem desenvolver termos e logística. Quando um acordo for alcançado, o dinheiro é entregue e todo o episódio acaba. Outra questão é: E a mídia? É bem provável que os repórteres descobrirão o que aconteceu no Sunnylake de alguma forma. No nosso caso, nós decidimos lidar com os meios de comunicação muito diretamente, a fim de ajudar a aumentar a conscientização da ameaça que os piratas somalianos representam. Se os armadores compreenderem a proposta de negócio dos piratas e estiverem prontos para fazer a difícil negociação necessária, eles estarão muito melhor equipados para lidar com a ameaça. Durante o processo de negociação, nós aprendemos muita coisa sobre para onde o dinheiro do resgate vai e como ele é usado, e as autoridades agora estão utilizando essas informações devidamente. Per Gullestrup (pgu@clipper-group.com) é o presidente e diretor executivo da Clipper Projects em Copenhaga. harvard business review • outubro de 2009 página 6 Este documento é autorizado apenas para revisão do educador por Oscar Javier Celis Ariza, Universidade Estácio de Sá até março de 2016. Copiar ou publicar é violação dos direitos autorais. Permissions@hbsp.harvard.edu ou 617.783.7860 Quando Hackers Viram Chantagistas • ESTUDO DO CASO HBR Comentário do Caso por Richard L. Nolan Como o Sunnylake deveria lidar com o ataque? Paul precisa fornecer divulgação completa aos seus vários componentes: funcionários, diretoria, pacientes e público. Este caso é um exemplo do tipo de ataque que todas as organizações, pequenas ou grandes, estão vulneráveis agora. Todas as organizações dependem de tecnologia, nenhuma é imune às diversas pessoas ao redor do mundo que buscam romper suas operações, às vezes apenas pela diversão e, frequentemente, por razões mal- intencionadas ou de ganho pessoal. Isto significa que o Diretor-Executivo e o conselho são responsáveis pelo "bom senso comercial" na proteção contra as ameaças. O primeiro erro de Paul foi rejeitar o e-mail original. Todas as ameaçasde TI devem ser levadas a sério, se ele tivesse pensado claramente, teria avisado Jacob Dale sobre a ameaça imediatamente. Nenhum sistema de TI é "à prova de balas". Além disso, as organizações precisam de um plano para quando não tiverem certeza da extensão na qual seus sistemas foram comprometidos. O Sunnylake deveria possuir um sistema de backup viável e totalmente testado para garantir o serviço ininterrupto aos pacientes e proteger todos os afetados. Médicos e enfermeiros são treinados para diagnosticar, resolver problemas e tratar seus pacientes de forma dinâmica. Sistemas de TI facilitam, mas não são substitutos para o tratamento do paciente. O fato de que o hospital não tinha um software de segurança atualizado instalado, ou um terceirizado de segurança confiável e um plano de emergência em vigor é imperdoável. Por pior que pareça, esta crise é mais fácil de tratar do que outras ameaças mais vagas (como programas de software parecidos com robôs que aleatoriamente alternam entre dormência e sabotagem ou roubo de dados de clientes), pois o Sunnylake sabe que houve uma invasão: Alguém parece ter mudado a segurança de acesso. Então, o que Paul, o Diretor-Executivo, deveria fazer? Em primeiro lugar, ele deveria sair desse sofá e desistir da vã esperança de que o departamento de TI pode restaurar o sistema e conseguir fazer o hospital funcionar novamente. Quando hospitais do CareGroup, uma equipe de profissionais de saúde no leste de Massachusetts, enfrentaram uma situação semelhante em 2002, o Diretor- Executivo, o Diretor de Informática, os médicos, os enfermeiros e o pessoal de apoio começaram a trabalhar da mesma forma que faziam na década de 1970, antes de seu sistema integrado EMR ser instalado. Os profissionais que se lembravam como aquilo funcionava, treinaram aqueles que tinham sempre dependido de computadores. Como John Halamka, o Diretor de Informática, disse ao seu Conselho, “A boa notícia é que os cuidados de saúde não sofreram.” Paul também deveria estar se comunicando amplamente com todos os seus componentes. Ele deveria entender que, hoje em dia, não há segredos nos ambientes em redes. Qualquer violação de TI obriga uma organização a se perguntar, Quanto nós devemos divulgar sobre esta ameaça? Nesta situação, Paul precisa realizar uma divulgação completa aos seus diversos componentes: funcionários, diretoria, pacientes e o público. Ele não deve, sob nenhuma hipótese, aquiescer às demandas dos chantagistas. Não há nenhuma garantia de que eles não corromperam ainda mais o sistema. O código precisa ser examinado linha por linha e deve ser cuidadosamente limpo. A infraestrutura da rede do hospital e outros sistemas de TI devem ser analisados para verificar se há uma possível corrupção e devem ser protegidos com um software de segurança atualizado. Por fim, Paul precisa enfrentar o fato de que ele pode perder seu emprego. Afinal, ele é responsável por todos os recursos estratégicos do hospital, incluindo TI. O conselho também deve ser responsabilizado pela falta de supervisão estratégica. O caso do Hospital de Sunnylake oferece um aviso prévio sobre um grave problema emergente para todos os diretores executivos e seus conselhos. Richard L. Nolan (rnolan2@u.washington.edu) possui a Cadeira Philip M. Condit na Faculdade de Administração da University of Washington. Ele é coautor, juntamente com Robert D. Austin and Shannon O’Donnell, de Adventures of an IT Leader (Harvard Business Press, 2009). harvard business review • outubro de 2009 página 7 Este documento é autorizado apenas para revisão do educador por Oscar Javier Celis Ariza, Universidade Estácio de Sá até março de 2016. Copiar ou publicar é violação dos direitos autorais. Permissions@hbsp.harvard.edu ou 617.783.7860 Quando Hackers Viram Chantagistas • ESTUDO DO CASO HBR Comentário do Caso por Peter R. Stephenson Como o Sunnylake deveria lidar com o ataque? O departamento de TI precisa executar uma verificação de malware em cada estação de trabalho do hospital. Se você enfeitou as janelas e portas da sua rede com alho, pendurou espelhos e crucifixos e espirrou água benta em tudo, em forma de firewalls, software de antivírus e assim por diante, você provavelmente estará a salvo de vampiros — hackers ou malwares. Mas, neste caso, não haviam preparativos para uma violação de segurança e algum preguiçoso — possivelmente alguém fazendo compras on-line em um computador conectado à rede — pode ter deixado o vampiro entrar. Infelizmente, a segurança dos dados é uma consideração tardia em muitos hospitais. Recentemente, eu passei por um quiosque de informações do hospital, que deveria possuir um voluntário. O computador estava ligado, a tela estava iluminada, mas não havia ninguém — uma violação grave da lei de proteção à privacidade do paciente dos Estados Unidos. Em Sunnylake, o sistema continua falhando pois os hackers encontram uma nova maneira de entrar a cada vez que um reparo é feito. Isto pode ter ocorrido pois o malware — programa maligno que facilitou a violação inicial — transmitiu uma mensagem de volta para os hackers, deixando-os cientes do que Jacob e sua equipe estava fazendo. Se Paul tivesse avisado a equipe de TI no momento em que a primeira mensagem chegou, eles poderiam ter tirado o sistema da Internet imediatamente, garantindo que um programa malicioso relacionado ao ataque não pudesse entrar de fora. Isso também teria bloqueado quaisquer backdoors criadas pelos hackers. Em seguida, eles deveriam ter verificado se os hackers realmente tinham obtido acesso à rede. Não é incomum um chantagista enviar uma mensagem ameaçadora na esperança de que o destinatário forneça alguma recompensa. Jacob deveria ter verificado os registros do sistema, juntamente com sua equipe, para ver se haviam alterações. Se eles tivessem reagido imediatamente, eles poderiam ter evitado o segundo e-mail ou penetrações adicionais. Como o departamento de TI pode reparar a rede? Primeiro, os administradores do sistema precisam recuperar suas senhas e o controle. Sob o risco de se tornar técnico, isso significa desligar servidores, realizar uma exclusão segura em todos os discos do servidor excluindo e substituindo por dados aleatórios, restaurando os servidores e os dados, e certificando-se de que os programas de segurança estejam totalmente atualizados e operantes. O departamento de TI precisa executar uma varredura de malware em todas as estações de trabalho no hospital, caso o ataque venha através de um computador de um empregado. Embora trabalhosa, esta varredura é de suma importância. E os chantagistas? As mensagens de e-mail oferecem algumas dicas sobre sua identidade. O uso da abreviatura "vc" para "você" sugere uma pessoa jovem ou um estrangeiro com pouca habilidade de inglês ou um amador que baixou o programa de ataque da internet. Também é possível que os hackers sejam muito inteligentes — e é sempre mais seguro superestimar as habilidades de hackers. Eles podem nem ser pessoas de fora. Um empregado vingativo ou um paciente que passa por uma estação de trabalho abandonada podem causar muitos danos. Antes de reconectar-se à internet, o Sunnylake deve vigiar o que acontece por 24 horas. Se os hackers forem pessoas de dentro que possuem acesso ao sistema, eles podem tentar entrar no sistema novamente. Mesmo que Paul contrate um consultor de segurança, que é um passo que eu recomendaria, é improvável que o hospital encontre os hackers. Ainda, o consultor pode ajudar a construir um perfil dos hackers, melhorar a segurança e treinar o pessoal-chave, para que o Sunnylake possa se proteger no futuro. Peter R. Stephenson é o presidente dodepartamento de computação e o diretor de segurança de informações na Norwich University em Northfield, Vermont. Reimpressão R0910B Somente o caso R0910X Somente os comentários R0910Z Para encomendar, ligue para 800-988-0886 ou 617-783-7500 ou visite www.hbr.org
Compartilhar