As empresas mais bem-sucedidas na resposta a ataques cibernéticos são as que têm liderança distribuída, experiência em lidar com crises e comunicação consistente
Antes que as tensões entre Rússia e Ucrânia se transformassem em uma guerra real, a atividade cibernética aumentou nos dois países. Enquanto a Ucrânia se fortalecia temendo uma invasão, ataques cibernéticos atingiram bancos e agências governamentais, e hackers russos tentaram derrubar a rede elétrica do país. A Rússia, por sua vez, se viu alvo do Anonymous, um coletivo “hacktivista”, que nos primeiros dias da invasão tocava o hino nacional ucraniano na TV estatal russa junto com imagens da guerra.
O aumento da atividade cibernética em torno da invasão à Ucrânia, documentado em um relatório da Microsoft, despertou preocupações entre governos e empresas que temiam ser pegos no fogo cruzado digital. Em 2017, um ataque cibernético a um programa de declaração de impostos ucraniano levou ao fechamento de aeroportos, ferrovias e bancos na Ucrânia e se espalhou para uma série de empresas globais, causando mais de US$ 10 bilhões em danos econômicos.
Lições e insights de ataques cibernéticos anteriores podem ajudar as empresas a se preparar e responder com mais sucesso a ameaças futuras. Um estudo baseado em dados da VisibleRisk, joint venture entre a Moody’s e a Team8, sugere que as organizações que respondem mal a um ataque acumulam perdas 2,8 vezes maiores do que as empresas que apresentam uma resposta assertiva. As empresas que respondem com sucesso aos ataques cibernéticos, por sua vez, podem limitar o efeito negativo sobre a confiança dos acionistas e até mesmo usar a crise como uma oportunidade.
Para entender as práticas recomendadas de resposta e como as empresas podem evitar erros comuns, recorremos a duas fontes de insights: realizamos entrevistas aprofundadas com CEOs, CFOs, CIOs, diretores de segurança da informação e outros líderes seniores cujas empresas já haviam sofrido ataques cibernéticos graves (incluindo, em vários casos, os ataques de ransomware da Ucrânia em 2017); e coletamos dados observados nos principais centros de treinamento de segurança cibernética que ajudam os executivos a se prepararem para crises simulando ataques cibernéticos realistas em suas empresas.
As pessoas nunca chegam ao trabalho esperando um ataque cibernético, então, quando isso acontece, parece aleatório e devastador. Lideranças empresariais muitas vezes são subitamente confrontadas com questões desconhecidas para as quais receberam pouco treinamento formal. Observamos três erros comuns que as pessoas cometem e que inibem a recuperação bem-sucedida de um ataque cibernético.
Definir prazos irreais para a recuperação. Um líder sênior nos disse que o pior dia após um ataque cibernético sério não é o dia seguinte ou o logo depois. O pior dia vem depois de duas semanas de alta incerteza e pouco sono, quando se toma consciência de que serão necessárias muitas semanas para se recuperar. Perder prazos irreais desmoraliza os profissionais de tecnologia e os engenheiros envolvidos na correção. Antes de se apressar para definir prazos rígidos, os líderes devem obter o máximo de informações possível para ajudar a entender a escala total e o impacto do ataque sofrido.
Interiorização irracional. Atualmente, os ataques cibernéticos mais sérios atingiram um nível de sofisticação que torna difícil, senão impossível, que as empresas lidem com esses incidentes por conta própria. Uma empresa que estudamos esperou quatro dias antes de procurar ajuda externa. Durante esses quatro dias, a equipe fez pouco progresso no sentido de encontrar a causa raiz do ataque, reverter as vulnerabilidades ou recuperar e reconstruir os sistemas. O suporte externo pode vir de especialistas em resposta a ataques cibernéticos, escritórios de advocacia, consultores de relações públicas, agências governamentais, polícia e fornecedores. Até os concorrentes muitas vezes oferecem recursos e espaço de escritório.
Culpa desnecessária. Executivos seniores de algumas empresas que estudamos culparam explicitamente seu departamento de TI por “permitir” o ataque. A ira dos líderes encorajou outros funcionários a se engajarem em comportamento semelhante. Em um caso, um administrador sênior de TI se demitiu na hora e foi embora, retornando apenas depois que um executivo correu atrás dele, pediu desculpas e garantiu que suas habilidades eram desesperadamente necessárias. A hora de analisar e corrigir quaisquer erros de processo ou comportamento vem mais tarde, após a estabilidade ter sido restaurada. Na sequência de um ataque, qualquer energia gasta para outra coisa que não resolver os problemas apenas cria uma pressão adicional e reforça a paralisia.
Os detalhes precisos e básicos de como uma empresa deve responder a um ataque cibernético dependem da natureza do ataque e do tipo de negócio afetado. Mas, em um nível mais alto, os seguintes elementos estão no centro de uma resposta bem-sucedida a qualquer ataque.
Planeje e prepare-se tendo em mente casos extremos. “Não há praticamente nada que você possa fazer para evitar que um ataque cibernético aconteça. Portanto, é tudo uma questão de se preparar para quando isso acontecer”, disse um CIO. Infelizmente, nossa pesquisa mostra que a maioria das empresas gasta a maior parte de seu tempo, dinheiro e atenção na proteção de sua infraestrutura de TI enquanto negligencia outros elementos de resiliência organizacional.
Simplesmente ter um plano não será suficiente – as empresas devem garantir que ele estará disponível e será executável quando necessário. Descobrimos que algumas empresas tinham seus planos armazenados em formato eletrônico em um servidor que foi criptografado por ransomware. Outros armazenavam seus planos em formato impresso, mas enfrentaram problemas porque a execução dependia de sistemas de e-mail e telefonia da empresa que tinham sido comprometidos.
Esses problemas ressaltam o quão crítico é incorporar os elementos-chave de qualquer plano no pensamento e no comportamento das pessoas que terão de executá-lo. Tanto nos centros de treinamento que observamos quanto em nosso trabalho de campo, descobrimos que equipes executivas com experiência anterior em ambientes de alto estresse, dinâmicos e incertos tendiam a superar seus colegas menos experientes.
Líderes com experiência anterior em crises cibernéticas ou equipes com experiência nas forças armadas, serviços de emergência ou aviação geralmente permaneceram mais calmos e tomaram decisões mais sólidas em meio ao caos. Eles conseguiam pensar com mais clareza, se comportar de forma inovadora e se adaptar rapidamente às mudanças na empresa e em seu ambiente. Em contraste, equipes com pouca experiência tendiam a confiar em rotinas, esperando em vão que elas fossem adequadas. Na construção de resiliência cibernética, como em grande parte da vida, a experiência (que pode ser adquirida em simulações de crise) é de fato o melhor professor.
Não delegue, lidere. Em nossa experiência, executivos seniores que guiaram suas empresas em meio a ataques cibernéticos passam por uma grande mudança de mentalidade. Em particular, passam a descartar qualquer crença anterior de que o ônus de responder a ataques cibernéticos recai principalmente sobre seus especialistas em tecnologia. Em vez disso, passam a reconhecer que uma resposta bem-sucedida é questão de responsabilidade coletiva e liderança organizacional.
Na verdade, depois dos ataques cibernéticos sobra tudo, menos a tecnologia, para a empresa. Como disse um CIO: “De qualquer forma, não é mais um problema de TI, porque a TI quase sempre está inativa”. Em sua empresa, a área de gestão de pessoas precisou pagar os salários sem acesso aos dados dos funcionários. Para isso, o setor instruiu o banco a espelhar os pagamentos do mês anterior. A área de cadeia de fornecimento em outra empresa pediu a vários fornecedores que reenviassem dados compartilhados anteriormente. Ao combinar informações de vários fornecedores, foi possível construir um conjunto de dados suficientemente bom para continuar com a logística de entrada e saída. Essas soluções inovadoras exigem colaboração dentro e entre organizações – colaboração que a alta liderança deve permitir.
O mesmo imperativo se aplica à decisão de quais processos de negócios e sistemas de TI são mais críticos e, portanto, precisam ser priorizados na recuperação. Cada unidade e função de negócios provavelmente verá suas próprias prioridades como essenciais. Um CEO lembrou: “Tivemos mil gerentes em todo o mundo gritando, e cada um gritando que sua aplicação era a mais importante. Alguém tinha que decidir o que fazer primeiro”. Esse alguém deve ser a alta gestão.
Dentro da função de TI, uma técnica particularmente eficaz que observamos é dividir os times em duas equipes. Uma equipe é responsável pela correção: investigando a causa raiz do ataque, revertendo vulnerabilidades e prevenindo ataques secundários. A outra equipe recupera e reconstrói os sistemas. Ambas as equipes trabalham de forma independente, o que permite que cada uma se concentre na tarefa em mãos e não se disperse.
Esse tipo de coordenação eficaz entre os negócios acelera a tomada de decisões em meio a crises. Também leva a uma recuperação mais rápida e reduz custos.
Mantenha uma comunicação aberta e consistente. Quando um ataque cibernético acontece, os executivos enfrentam uma decisão importante sobre o que e quanto comunicar aos acionistas e demais stakeholders. É certo que alguns ataques cibernéticos excepcionais podem atingir um nível de sensibilidade ou envolver entidades governamentais vitais que tornam inadequada a comunicação completa e transparente. Mas são exceções.
Em geral, defendemos a transparência rápida. Por um lado, manter um ataque em segredo é difícil. Em nossa pesquisa, encontramos vários exemplos de funcionários que davam dicas a pessoas de fora – em muitos casos, inadvertidamente. Em contraste, expor os fatos facilita a criação de uma narrativa favorável em torno da história, e pode ajudar a proteger a reputação da empresa. Como observou o CIO de uma empresa de manufatura: “Se as pessoas começarem a vê-lo como um fracasso, alguém incompetente e lento para agir, você perde os principais aliados e stakeholders, e isso pode escalar rapidamente”.
A comunicação transparente também pode criar oportunidades estratégicas. Um CEO nos disse: “A decisão de se comunicar abertamente com clientes, acionistas e o público foi muito útil por dois motivos. Primeiro, os clientes realmente apreciaram isso e tivemos muitos comentários positivos. Em segundo lugar, clientes, fornecedores e até alguns concorrentes se ofereceram para ajudar”.
Aderir à estratégia de comunicação escolhida é tão importante quanto escolher a abordagem. A coerência na comunicação interna e externa sinaliza a competência. Observamos que equipes e organizações menos bem-sucedidas não tinham coesão em suas estratégias de comunicação e oscilavam entre transparência e sigilo, parecendo ter perdido o controle e eventualmente desgastando a confiança com os stakeholders.
À MEDIDA QUE O RISCO DE FUTUROS ATAQUES CIBERNÉTICOS continua aumentando, os desafios para empresas e líderes não poderiam ser maiores. As principais descobertas de nossa pesquisa – que o sucesso ou o fracasso na sequência de um ataque cibernético depende da liderança em toda a organização, da experiência prática de crise anterior e da comunicação consistente – orientam os executivos seniores a enfrentar ameaças futuras com sucesso.”