Baixe o app para aproveitar ainda mais
Prévia do material em texto
1 CENTRO UNIVERSITÁRIO ESTÁCIO DO CEARÁ PÓS-GRADUAÇÃO EM SEGURANÇA DA INFORMAÇÃO Resenha Crítica de Caso Trabalho da disciplina Gestão da Segurança em Redes e Dispositivos Computacionais Tutor: Prof. Sérgio Rodrigues Affonso Franco Fortaleza 2020 http://portal.estacio.br/ 2 Quando Hackers Viram Chantagistas Referência: EISENMANN, Caroline. Quando Hackers Viram Chantagistas. Boston: Harvard Business School, 2009 Introdução Esta é uma resenha crítica do artigo “Quando Hackers Viram Chantagistas”, publicado pela Harvard Business School em 2009. Este artigo nos mostrará como sucessivas decisões erradas puseram em risco os negócios do hospital de Sunnylake. Irei abordar maneiras em que o diretor executivo do hospital, Paul Layman, poderia ter contornado a ameaça a qual ele expôs a empresa. Quando Hackers Viram Chantagistas Iniciamos o artigo conhecendo Paul Layman, diretor executivo do pequeno hospital de Sunnylake. Paul havia chegado ao cargo cinco anos antes e uma das suas principais conquistas no cargo foi implantar um sistema de prontuários médicos eletrônicos (EMRs). Para poder implantar sua ideia, foi necessário que Paul criasse um departamento de TI que até então não existia no hospital. Para ser o diretor de TI, ele contratou Jacob Dale e os dois trabalharam juntos para executar o plano que Paul tinha para a instituição. O hospital não utilizava meios tecnológicos para realizar o atendimento aos pacientes e tudo era feito de modo arcaico através de fichas de papel. Após a implantação desse sistema, o atendimento se tornou mais ágil ao mesmo tempo em que melhorou o cuidado com os pacientes. A iniciativa de Paul transformou o pequeno hospital que até então utilizava meios de trabalho defasados a um modelo que passou a ser utilizado em toda parte. A partir deste momento, o setor de TI que Paul criou passou a ser parte vital para o andamento do hospital. Médicos que antes eram contrários a implantação dos EMRs agora viam que a ideia de Paul tornou o seu trabalho muito mais seguro, pois o mesmo verificava automaticamente se havia erros de medicação ou interações entre os medicamentos que eram ministrados aos pacientes. Os problemas de Paul começam ao receber um e-mail em que dizia: “A segurança da sua rede é uma droga, diz a mensagem. Mas nós podemos ajudar você. Por 100 mil em 3 dinheiro nós garantimos que o seu hospitalzinho não vai sofrer nenhum desastre.” Paul acreditou que aquilo se tratava de um trote e excluiu de imediato o e-mail. Poucos dias depois veio o ataque. Comprometeram todo o sistema do hospital e ninguém tinha mais acesso ao sistema interno, nem mesmo os administradores. Médicos não conseguiam acessar os registros de nenhum dos pacientes. Paul recebeu um novo e-mail que desta vez dizia: “Apostamos que vocês querem seus materiais de volta. Deveriam ter protegido ele melhor. Pelo pequeno preço de 100 mil a gente acaba com essa situação”. Jacob se perguntava como haviam comprometido o sistema do hospital com tanta facilidade. A esquipe de TI do hospital havia projetado o sistema para que somente os médicos, enfermeiros e administradores pudessem acessá-lo. O ataque provavelmente ocorreu por alguma vulnerabilidade que foi explorada após algum descuido dos funcionários. Um executável aberto por e-mail, um arquivo infectado ou até mesmo um pendrive não confiável utilizado na rede interna podem ter iniciado tudo isso. A partir daí a sensação de todos era como se estivessem tentando apagar um incêndio. A chefe de assessoria jurídica do hospital, Lisa Mankins, alertava para que o ataque teria que ser cessado o quanto antes. Lisa tinha receio da exposição legal que o hospital sofreria e o impacto negativo disto. Ela tinha receio dos processos que os pacientes poderiam mover por sofrerem complicações devido ao atendimento incorreto já que ninguém tinha acesso aos registros. George Knudsen, o chefe de pessoal, estava a todo momento tentando evitar que o ataque vazasse para a imprensa. A imagem negativa que isso traria para a reputação do hospital seria desastrosa. Já Jacob e sua equipe tentavam a todo custo restaurar o sistema. Por duas vezes conseguiram fazer isso, mas pouco tempo depois os hackers voltaram a invadi- lo. Paul estava no meio de um furacão do qual jamais pensou passar. Todos cobravam uma solução dele e o mesmo não sabia o que fazer para amenizar o problema. A equipe já estava esgotada e até mesmo a possibilidade de ceder a extorsão já estava sendo cogitada... Conclusão Podemos notar no caso do ataque ao hospital de Sunnylake algo muito comum no mundo corporativo atual. Empresas investem em tecnologia de ponta, mas não investem proporcionalmente na segurança dos seus dados. O primeiro grande erro de Paul foi receber 4 uma ameaça tão grave que poderia colocar em risco o seu negócio e ignorá-la por completo. Uma ameaça dessa deve ser considerada um risco em potencial. Paul deveria ter de imediato comunicado Jacob e toda sua equipe de TI para verificar se havia algum intruso na rede ou mesmo se o seu sistema interno havia sido modificado. Ao não fazer isso, foi assumido o risco de perder tudo que havia sido conquistado em tão pouco tempo. Outro detalhe mostrado no artigo, é que a empresa também não possuía uma solução de segurança antivírus, um plano de continuidade de negócios e nem mesmo uma política de segurança da informação. Ninguém sabia como agir naquele momento. Com um plano em mãos, a equipe poderia executar ações para que o impacto na sua atividade não fosse tão grande ao ponto de paralisar os atendimentos. Outro ponto negativo que não foi garantido pela equipe de TI do hospital, foi o serviço ininterrupto do sistema. Se tratando de algo tão delicado (a saúde dos pacientes) a equipe deveria ter assegurado um sistema de backup viável que garantisse a operação em 100% do tempo. E para finalizar, o pagamento do resgate. Nada garantiria que caso Paul cedesse a chantagem dos hackers, os mesmos entregariam o sistema de volta e operante. Ao mesmo tempo em que isso poderia se tornar uma bola de neve e ser somente o primeiro ataque de muitos que o hospital viria a sofrer, pois os criminosos veriam que eles estariam dispostos a ceder novamente em caso de chantagem. Diante de tantas situações possíveis chegamos à conclusão que a melhor maneira de se evitar tal situação é investindo em novas tecnologias de segurança à medida que novas ameaças surgem no mercado. Outro detalhe que se deve levar em conta é o treinamento humano. Um funcionário bem treinado e informado, por muitas vezes, pode interceptar um ataque antes mesmo da equipe de TI precisar agir e assim evitar um dano grave para a instituição.
Compartilhar