No final da semana passada, um ataque hacker surpreendeu até os maiores céticos sobre a capacidade de defesa ante ataques cibernéticos: uma unidade do Banco Industrial e Comercial da China (ICBC) em Nova York foi alvo de um ransomware - tipo de invasão que sequestra dados e exige pagamento para liberar, geralmente em criptomoedas (daí o nome, já que ransom é resgate em inglês).
O episódio provocou novo abalo da confiança nos programas de cibersegurança disponíveis e reforçou o alerta: se nem o maior banco do mundo pôde resistir a um ataque hacker, o que vem por aí?
Houve especulações de que teria impactado o mercado de Treasuries, envolve nada menos de US$ 25 trilhões - valor do PIB anual dos EUA. A secretária do Tesouro dos Estados Unidos, Janet Yellen, negou, mas as especulações seguiram durante todo o final da semana.
O ataque ocorreu às vésperas de uma esperada reunião entre os presidentes dos EUA, Joe Biden, e da China, Xi Jinping, prevista para a próxima quarta na áreas da baía de São Francisco, na Califórnia. Embora estabelecer relação de causa e efeito seja não só difícil de comprovar, mas não interessa a ninguém, Yellen se reuniu com o vice-primeiro-ministro da China, He Lifeng, para discutir uma solução para o problema.
O ICBC é o maior banco do mundo pelo critério mais usado no segmento, o do valor de ativos que administra: US$ 5,7 trilhões. Aliás, são chineses os quatro maiores bancos do mundo: seguem o ICBC o China Construction Bank, o Agricultural Bank of China e o Bank of China. O primeiro americano, JP Morgan Chase, só aparece em quinto lugar.
Em 2021, quando a corrida à digitalização forçada pela pandemia provocou um surto de ataques hacker, a Agência de Cibersegurança e Segurança de Infraestrutura dos Estados Unidos (Cisa, na sigla em inglês) publicou um alerta com recomendações, como a coluna relatou à época. Relembre algumas das recomendações:
- Fazer frequentes backups de dados, mantendo-os em ambiente offline protegido por criptografia
- Criar um plano básico de cibersegurança para responder a incidentes e comunicar sobre as etapas que devem ser seguidas
- Usar configurações adequadas de acesso remoto, conduzir análises frequentes em busca de vulnerabilidades e manter softwares atualizados
- Assegurar que todos usem configurações de segurança recomendadas, desabilitando portas não usadas e protocolos como o SMB (Server Message Block) quando for possível
- Manter boas práticas de "higiene cibernética", com softwares antivírus e antimalware ativos e atualizados, limite ao uso de contas com acesso privilegiado e soluções de acesso multifator.
E se nada disso der certo? A Cisa recomenda também o que fazer depois da invasão:
- Determinar quais sistemas foram afetados, isolá-los e removê-los da rede
- Iniciar medidas de recuperação a partir de backups e coletar todos os registros relevantes, assim com amostras de malwares que possam ter provocado o sequestro digital
- Fazer contato imediatamente com clientes, fornecedores e parceiros que possam ter sido prejudicados, e as autoridades responsáveis nos casos em que dados da administração pública tenham sido comprometidos.
- Pedir ajuda das autoridades competentes, porque o pagamento de resgates estimula a prática e não dá garantias contra ataques futuros.
