GESTÃO DA SEGURANÇA EM REDES E DISPOSITIVOS COMPUTACIONAIS

Prévia do material em texto

1 
 
 
 
 
 
 
 
UNIVERSIDADE ESTÁCIO DE SÁ 
MBA EM SEGURANÇA DA INFORMAÇÃO 
 
 
Fichamento de Estudo de Caso de Harvard 
Ademar da Silva Corrêa Júnior 
 
 
 
Trabalho da disciplina Gestão da Segurança em Redes e Dispositivos 
Computacionais 
 Tutor: Prof. Sergio Rodrigues Affonso Franco 
 
Resende-RJ 
2020 
http://portal.estacio.br/
 
 
 
2 
 
ESTUDO DE CASO: QUANDO HACKERS VIRAM CHANTAGISTAS 
 
 
Referências: Caroline Eisenmann. Estudo de Caso Harvard Business School, março de 2016. 
 
 
 
 
O estudo de caso começa com uma mensagem de e-mail de um remetente 
desconhecido que diz que a segurança da rede do hospital é uma droga e contém também um 
pedido de cem mil em dinheiro para resolução dos problemas desta rede. No entanto, Paul 
Layman, Diretor Executivo do Hospital de Sunnylake apenas apaga a mensagem pois acredita 
ser apenas mais uma daquelas coisas que as pessoas tentam aprontar na Internet. Layman era 
o responsável por introduzir tecnologia de ponta no hospital para eliminar os prontuários de 
papel e contribuir com o crescimento e a qualidade do atendimento realizado naquele hospital. 
Para executar essa ideia, ele contratou Jacob Dale para ser o Diretor de TI que insistia que a 
privacidade dos pacientes era essencial e após 3 anos de sistema implantado, finalmente ele 
ficou totalmente confiante no sistema informatizado. 
Os problemas começaram na segunda feira quando as tentativas de acesso ao sistema 
do hospital estavam sendo negados para os médicos que estava a tratar dos pacientes, 
inclusive já nas salas de cirurgia do hospital. Logo um grande número de médicos se dirigiu 
para o setor de TI para tentar entender o que havia de errado com o sistema que funcionara até 
o dia anterior. 
Paul e Jacob ao receberem uma nova mensagem pedindo o resgate de cem mil em 
dinheiro começaram a entender que se tratava de um ataque que mudou os tipos de acesso aos 
prontuários. E ao olhar para equipe de TI desesperada tentando solucionar tamanho problema, 
Paul percebe que não tinha ali, pessoal capacitado para lidar com a situação. 
A verdade é que os prontuários não poderiam ficar inacessíveis por tanto tempo, por isso, 
Paul chegou a cogitar a hipótese de dar uma solução rápida para o problema, que seria o 
 
 
 
3 
pagamento do “resgate”, mas Jacob pede mais algum tempo e afirma que se pagassem a 
primeira vez, seriam reféns eternamente. 
Enquanto isso, a ordem foi para que todos os médicos voltassem a prescrever 
manualmente os prontuários e receitas. Essa ideia fatalmente não foi bem vista para os 
médicos mais novos tampouco para os mais experientes que já tinha se acostumado com o 
formato digital. Em paralelo a isso, Lisa, responsável pelo departamento jurídico do Hospital 
foi consultada e não teve dúvidas em afirmar que pagar o resgate solicitado era muito menos 
oneroso que as indenizações que poderiam vir a acontecer se casos de negligências viessem a 
prejudicar a saúde e a vida dos pacientes. 
Geroge Knudsen, chefe de pessoal, funcionário mais antigo que Paul, relutante com o 
projeto de modernização no início, agora se apresentava de maneira agressiva e jurava nunca 
mais utilizar o sistema informático que Paul implantara se caso ele não resolvesse aquilo logo. 
O sentimento de culpa apertava seu peito madrugada a fora enquanto Jacob e sua equipe 
travavam uma guerra cibernética em busca de uma solução definitiva para aquele problema. 
Todas as vezes que a equipe conseguia o acesso de volta, os hackers tomavam conta do 
sistema e colocavam tudo a perder. Nesta altura, Jacob já havia tentado todos os decifradores 
online que podia e vasculhava os computadores do hospital atrás de pistas que pudesse 
elucidar como tudo aquilo poderia ter acontecido. 
Paul recorda da luta que foi convencer os médicos a utilizar o sistema informatizado 
que veio substituir o papel dentro daquele hospital. Lembra também que três anos após a 
implantação, mesmo com a relutância da equipe, quase por unanimidade o sistema era 
apreciado pela equipe. Recuperar o sistema de maneira rápida era a única maneira dele não 
perder o terreno que conquistara até ali e principalmente, não escutar o: - Eu avisei! Assim o 
caso termina com a indagação do que seria a melhor coisa a se fazer diante deste cenário? 
Gullestrup, presidente e diretor executivo da Clipper responde prontamente que Paul 
deveria pagar rapidamente o resgate e que contratar um negociador que não está 
emocionalmente envolvido com o caso também ajuda muito em situações como essa, já que 
os diretores executivos não têm como função fazer esse tipo de negociação. Outro ponto que 
Gullestrup acredita ser importante é o contato com a mídia já que ela ficaria sabendo de uma 
maneira ou outra. Ele baseia seu comentário pois ele mesmo teve que lidar com uma situação 
 
 
 
4 
análoga em novembro de 2008, quando piratas somalianos no Golfo de Aden atacaram um 
navio de US$ 15 milhões pertencente ao Grupo Clipper. 
Richard L. Nolan que possui a Cadeira Philip M. Condit na Faculdade de 
Administração da University of Washington. Ele é coautor, juntamente com Robert D. Austin 
and Shannon O’Donnell, de Adventures of an IT Leader (Harvard Business Press, 2009) 
lembra que os hospitais do grupo CareGroup enfrentou situação semelhante em 2002 quando 
os procedimentos tiveram que voltar a serem feitos como em 1970 pois o sistema informático 
foi comprometido. Ele afirma que quaisquer violações de TI obriga a empresa a informar 
todos os setores e que em hipótese alguma ele deve atender a demandas dos chantageadores 
pois isso nada garante que eles não iriam comprometer ainda mais os sistemas. Ele também 
diz que é crucial ter um software de segurança atualizado e condena a falta de supervisão 
estratégica sobre Paul. 
Peter R. Stephenson é o presidente do departamento de computação e o diretor de 
segurança de informações na Norwich University em Northfield, Vermont. Ele afirma que o 
principal erro foi ignorar a primeira mensagem ameaçadora. Uma vez que se o departamento 
de TI tivesse ciência desta mensagem, inúmeras ações poderiam ser tomadas para evitar 
maiores danos. Ele usa como exemplo que além de contratar um especialista de segurança, 
tirar a rede do hospital da Internet, trocar os HDs dos servidores, restaurar backups e também 
fazer uma vasta varredura nas estações dos empregados em busca de pistas.