GESTÃO DA SEGURANÇA EM REDES E DISPOSITIVOS COMPUTACIONAIS_TRABALHO

Prévia do material em texto

1 
 
 
 
 
 
 
 
CENTRO UNIVERSITÁRIO ESTÁCIO DO CEARÁ 
PÓS-GRADUAÇÃO EM SEGURANÇA DA INFORMAÇÃO 
 
 
Resenha Crítica de Caso 
 
 
 
 
Trabalho da disciplina Gestão da Segurança em Redes e Dispositivos 
Computacionais 
 Tutor: Prof. Sérgio Rodrigues Affonso Franco 
 
Fortaleza 
2020 
http://portal.estacio.br/
 
 
 
2 
Quando Hackers Viram Chantagistas 
 
Referência: EISENMANN, Caroline. Quando Hackers Viram Chantagistas. Boston: 
Harvard Business School, 2009 
 
Introdução 
Esta é uma resenha crítica do artigo “Quando Hackers Viram Chantagistas”, publicado 
pela Harvard Business School em 2009. Este artigo nos mostrará como sucessivas decisões 
erradas puseram em risco os negócios do hospital de Sunnylake. Irei abordar maneiras em 
que o diretor executivo do hospital, Paul Layman, poderia ter contornado a ameaça a qual ele 
expôs a empresa. 
 
Quando Hackers Viram Chantagistas 
Iniciamos o artigo conhecendo Paul Layman, diretor executivo do pequeno hospital de 
Sunnylake. Paul havia chegado ao cargo cinco anos antes e uma das suas principais 
conquistas no cargo foi implantar um sistema de prontuários médicos eletrônicos (EMRs). Para 
poder implantar sua ideia, foi necessário que Paul criasse um departamento de TI que até 
então não existia no hospital. Para ser o diretor de TI, ele contratou Jacob Dale e os dois 
trabalharam juntos para executar o plano que Paul tinha para a instituição. 
O hospital não utilizava meios tecnológicos para realizar o atendimento aos pacientes e 
tudo era feito de modo arcaico através de fichas de papel. Após a implantação desse sistema, 
o atendimento se tornou mais ágil ao mesmo tempo em que melhorou o cuidado com os 
pacientes. 
A iniciativa de Paul transformou o pequeno hospital que até então utilizava meios de 
trabalho defasados a um modelo que passou a ser utilizado em toda parte. A partir deste 
momento, o setor de TI que Paul criou passou a ser parte vital para o andamento do hospital. 
Médicos que antes eram contrários a implantação dos EMRs agora viam que a ideia de Paul 
tornou o seu trabalho muito mais seguro, pois o mesmo verificava automaticamente se havia 
erros de medicação ou interações entre os medicamentos que eram ministrados aos pacientes. 
Os problemas de Paul começam ao receber um e-mail em que dizia: “A segurança da 
sua rede é uma droga, diz a mensagem. Mas nós podemos ajudar você. Por 100 mil em 
 
 
 
3 
dinheiro nós garantimos que o seu hospitalzinho não vai sofrer nenhum desastre.” Paul 
acreditou que aquilo se tratava de um trote e excluiu de imediato o e-mail. 
Poucos dias depois veio o ataque. Comprometeram todo o sistema do hospital e 
ninguém tinha mais acesso ao sistema interno, nem mesmo os administradores. Médicos não 
conseguiam acessar os registros de nenhum dos pacientes. Paul recebeu um novo e-mail que 
desta vez dizia: “Apostamos que vocês querem seus materiais de volta. Deveriam ter protegido 
ele melhor. Pelo pequeno preço de 100 mil a gente acaba com essa situação”. Jacob se 
perguntava como haviam comprometido o sistema do hospital com tanta facilidade. A esquipe 
de TI do hospital havia projetado o sistema para que somente os médicos, enfermeiros e 
administradores pudessem acessá-lo. O ataque provavelmente ocorreu por alguma 
vulnerabilidade que foi explorada após algum descuido dos funcionários. Um executável aberto 
por e-mail, um arquivo infectado ou até mesmo um pendrive não confiável utilizado na rede 
interna podem ter iniciado tudo isso. 
A partir daí a sensação de todos era como se estivessem tentando apagar um incêndio. 
A chefe de assessoria jurídica do hospital, Lisa Mankins, alertava para que o ataque teria que 
ser cessado o quanto antes. Lisa tinha receio da exposição legal que o hospital sofreria e o 
impacto negativo disto. Ela tinha receio dos processos que os pacientes poderiam mover por 
sofrerem complicações devido ao atendimento incorreto já que ninguém tinha acesso aos 
registros. George Knudsen, o chefe de pessoal, estava a todo momento tentando evitar que o 
ataque vazasse para a imprensa. A imagem negativa que isso traria para a reputação do 
hospital seria desastrosa. Já Jacob e sua equipe tentavam a todo custo restaurar o sistema. 
Por duas vezes conseguiram fazer isso, mas pouco tempo depois os hackers voltaram a invadi-
lo. 
Paul estava no meio de um furacão do qual jamais pensou passar. Todos cobravam 
uma solução dele e o mesmo não sabia o que fazer para amenizar o problema. A equipe já 
estava esgotada e até mesmo a possibilidade de ceder a extorsão já estava sendo cogitada... 
 
 
Conclusão 
Podemos notar no caso do ataque ao hospital de Sunnylake algo muito comum no 
mundo corporativo atual. Empresas investem em tecnologia de ponta, mas não investem 
proporcionalmente na segurança dos seus dados. O primeiro grande erro de Paul foi receber 
 
 
 
4 
uma ameaça tão grave que poderia colocar em risco o seu negócio e ignorá-la por completo. 
Uma ameaça dessa deve ser considerada um risco em potencial. Paul deveria ter de imediato 
comunicado Jacob e toda sua equipe de TI para verificar se havia algum intruso na rede ou 
mesmo se o seu sistema interno havia sido modificado. Ao não fazer isso, foi assumido o risco 
de perder tudo que havia sido conquistado em tão pouco tempo. 
Outro detalhe mostrado no artigo, é que a empresa também não possuía uma solução 
de segurança antivírus, um plano de continuidade de negócios e nem mesmo uma política de 
segurança da informação. Ninguém sabia como agir naquele momento. Com um plano em 
mãos, a equipe poderia executar ações para que o impacto na sua atividade não fosse tão 
grande ao ponto de paralisar os atendimentos. Outro ponto negativo que não foi garantido pela 
equipe de TI do hospital, foi o serviço ininterrupto do sistema. Se tratando de algo tão delicado 
(a saúde dos pacientes) a equipe deveria ter assegurado um sistema de backup viável que 
garantisse a operação em 100% do tempo. 
E para finalizar, o pagamento do resgate. Nada garantiria que caso Paul cedesse a 
chantagem dos hackers, os mesmos entregariam o sistema de volta e operante. Ao mesmo 
tempo em que isso poderia se tornar uma bola de neve e ser somente o primeiro ataque de 
muitos que o hospital viria a sofrer, pois os criminosos veriam que eles estariam dispostos a 
ceder novamente em caso de chantagem. Diante de tantas situações possíveis chegamos à 
conclusão que a melhor maneira de se evitar tal situação é investindo em novas tecnologias 
de segurança à medida que novas ameaças surgem no mercado. Outro detalhe que se deve 
levar em conta é o treinamento humano. Um funcionário bem treinado e informado, por muitas 
vezes, pode interceptar um ataque antes mesmo da equipe de TI precisar agir e assim evitar 
um dano grave para a instituição.