Baixe o app para aproveitar ainda mais
Prévia do material em texto
1 UNIVERSIDADE ESTÁCIO DE SÁ MBA EM SEGURANÇA DA INFORMAÇÃO Fichamento de Estudo de Caso de Harvard Ademar da Silva Corrêa Júnior Trabalho da disciplina Gestão da Segurança em Redes e Dispositivos Computacionais Tutor: Prof. Sergio Rodrigues Affonso Franco Resende-RJ 2020 http://portal.estacio.br/ 2 ESTUDO DE CASO: QUANDO HACKERS VIRAM CHANTAGISTAS Referências: Caroline Eisenmann. Estudo de Caso Harvard Business School, março de 2016. O estudo de caso começa com uma mensagem de e-mail de um remetente desconhecido que diz que a segurança da rede do hospital é uma droga e contém também um pedido de cem mil em dinheiro para resolução dos problemas desta rede. No entanto, Paul Layman, Diretor Executivo do Hospital de Sunnylake apenas apaga a mensagem pois acredita ser apenas mais uma daquelas coisas que as pessoas tentam aprontar na Internet. Layman era o responsável por introduzir tecnologia de ponta no hospital para eliminar os prontuários de papel e contribuir com o crescimento e a qualidade do atendimento realizado naquele hospital. Para executar essa ideia, ele contratou Jacob Dale para ser o Diretor de TI que insistia que a privacidade dos pacientes era essencial e após 3 anos de sistema implantado, finalmente ele ficou totalmente confiante no sistema informatizado. Os problemas começaram na segunda feira quando as tentativas de acesso ao sistema do hospital estavam sendo negados para os médicos que estava a tratar dos pacientes, inclusive já nas salas de cirurgia do hospital. Logo um grande número de médicos se dirigiu para o setor de TI para tentar entender o que havia de errado com o sistema que funcionara até o dia anterior. Paul e Jacob ao receberem uma nova mensagem pedindo o resgate de cem mil em dinheiro começaram a entender que se tratava de um ataque que mudou os tipos de acesso aos prontuários. E ao olhar para equipe de TI desesperada tentando solucionar tamanho problema, Paul percebe que não tinha ali, pessoal capacitado para lidar com a situação. A verdade é que os prontuários não poderiam ficar inacessíveis por tanto tempo, por isso, Paul chegou a cogitar a hipótese de dar uma solução rápida para o problema, que seria o 3 pagamento do “resgate”, mas Jacob pede mais algum tempo e afirma que se pagassem a primeira vez, seriam reféns eternamente. Enquanto isso, a ordem foi para que todos os médicos voltassem a prescrever manualmente os prontuários e receitas. Essa ideia fatalmente não foi bem vista para os médicos mais novos tampouco para os mais experientes que já tinha se acostumado com o formato digital. Em paralelo a isso, Lisa, responsável pelo departamento jurídico do Hospital foi consultada e não teve dúvidas em afirmar que pagar o resgate solicitado era muito menos oneroso que as indenizações que poderiam vir a acontecer se casos de negligências viessem a prejudicar a saúde e a vida dos pacientes. Geroge Knudsen, chefe de pessoal, funcionário mais antigo que Paul, relutante com o projeto de modernização no início, agora se apresentava de maneira agressiva e jurava nunca mais utilizar o sistema informático que Paul implantara se caso ele não resolvesse aquilo logo. O sentimento de culpa apertava seu peito madrugada a fora enquanto Jacob e sua equipe travavam uma guerra cibernética em busca de uma solução definitiva para aquele problema. Todas as vezes que a equipe conseguia o acesso de volta, os hackers tomavam conta do sistema e colocavam tudo a perder. Nesta altura, Jacob já havia tentado todos os decifradores online que podia e vasculhava os computadores do hospital atrás de pistas que pudesse elucidar como tudo aquilo poderia ter acontecido. Paul recorda da luta que foi convencer os médicos a utilizar o sistema informatizado que veio substituir o papel dentro daquele hospital. Lembra também que três anos após a implantação, mesmo com a relutância da equipe, quase por unanimidade o sistema era apreciado pela equipe. Recuperar o sistema de maneira rápida era a única maneira dele não perder o terreno que conquistara até ali e principalmente, não escutar o: - Eu avisei! Assim o caso termina com a indagação do que seria a melhor coisa a se fazer diante deste cenário? Gullestrup, presidente e diretor executivo da Clipper responde prontamente que Paul deveria pagar rapidamente o resgate e que contratar um negociador que não está emocionalmente envolvido com o caso também ajuda muito em situações como essa, já que os diretores executivos não têm como função fazer esse tipo de negociação. Outro ponto que Gullestrup acredita ser importante é o contato com a mídia já que ela ficaria sabendo de uma maneira ou outra. Ele baseia seu comentário pois ele mesmo teve que lidar com uma situação 4 análoga em novembro de 2008, quando piratas somalianos no Golfo de Aden atacaram um navio de US$ 15 milhões pertencente ao Grupo Clipper. Richard L. Nolan que possui a Cadeira Philip M. Condit na Faculdade de Administração da University of Washington. Ele é coautor, juntamente com Robert D. Austin and Shannon O’Donnell, de Adventures of an IT Leader (Harvard Business Press, 2009) lembra que os hospitais do grupo CareGroup enfrentou situação semelhante em 2002 quando os procedimentos tiveram que voltar a serem feitos como em 1970 pois o sistema informático foi comprometido. Ele afirma que quaisquer violações de TI obriga a empresa a informar todos os setores e que em hipótese alguma ele deve atender a demandas dos chantageadores pois isso nada garante que eles não iriam comprometer ainda mais os sistemas. Ele também diz que é crucial ter um software de segurança atualizado e condena a falta de supervisão estratégica sobre Paul. Peter R. Stephenson é o presidente do departamento de computação e o diretor de segurança de informações na Norwich University em Northfield, Vermont. Ele afirma que o principal erro foi ignorar a primeira mensagem ameaçadora. Uma vez que se o departamento de TI tivesse ciência desta mensagem, inúmeras ações poderiam ser tomadas para evitar maiores danos. Ele usa como exemplo que além de contratar um especialista de segurança, tirar a rede do hospital da Internet, trocar os HDs dos servidores, restaurar backups e também fazer uma vasta varredura nas estações dos empregados em busca de pistas.
Compartilhar