O dia depois do ataque hacker na empresa: saiba o que priorizar

*por Ramon Ribeiro, CTO da Solo Iron

A ocorrência de um incidente de segurança que resulte em uma invasão hacker é, sem dúvida, um dos maiores pesadelos para qualquer empresa hoje. Além do impacto imediato nos negócios, há implicações legais e de reputação que podem perdurar por meses ou até anos. No Brasil, a Lei Geral de Proteção de Dados (LGPD) estabelece uma série de requisitos que as empresas devem seguir após a ocorrência de tais incidentes.

De acordo com um relatório recente da Federasul – Federação de Entidades Empresariais do Rio Grande do Sul -, mais de 40% das empresas brasileiras já foram alvo de algum tipo de ataque cibernético. No entanto, muitas dessas empresas ainda enfrentam dificuldades para cumprir os requisitos legais estabelecidos pela LGPD. Dados da Autoridade Nacional de Proteção de Dados (ANPD) revelam que apenas cerca de 30% das empresas invadidas declararam oficialmente a ocorrência do incidente. Essa discrepância pode ser atribuída a diversos fatores, incluindo a falta de conscientização, a complexidade dos processos de conformidade e o medo de repercussões negativas na reputação da empresa.

O dia após o incidente: primeiros passos

Após a confirmação de uma invasão hacker, a primeira medida é conter o incidente para evitar a sua propagação. Isso inclui isolar os sistemas afetados, interromper o acesso não autorizado e implementar medidas de controle de danos.

Em paralelo, é importante montar uma equipe de resposta a incidentes, que deve incluir especialistas em segurança da informação, profissionais de TI, advogados e consultores de comunicação. Essa equipe será a responsável por uma série de tomadas de decisões – principalmente as que envolvem a continuidade do negócio nos dias seguintes.

Em termos de conformidade com a LGPD, é preciso documentar todas as ações tomadas durante a resposta ao incidente. Essa documentação servirá como evidência de que a empresa agiu de acordo com os requisitos legais e poderá ser utilizada em eventuais auditorias ou investigações pela ANPD.

Nos primeiros dias, a equipe de resposta deve realizar uma análise forense detalhada para identificar a origem da invasão, o método utilizado pelos hackers e o alcance do comprometimento. Este processo é vital não apenas para compreender os aspectos técnicos do ataque, mas também para coletar evidências que serão necessárias para reportar o incidente às autoridades competentes e também à seguradora – caso a empresa tenha realizado um seguro cibernético.

Há aqui um aspecto muito importante: a análise forense também serve para determinar se os atacantes ainda estão dentro da rede da empresa – uma situação que, infelizmente, é muito comum, ainda mais se após o incidente a empresa estiver sofrendo algum tipo de chantagem financeira mediante a liberação de dados que os criminosos tenham eventualmente roubado.

Além disso, a LGPD, em seu artigo 48, exige que o controlador de dados comunique à Autoridade Nacional de Proteção de Dados (ANPD) e aos titulares dos dados afetados acerca da ocorrência de um incidente de segurança que possa acarretar risco ou dano relevante aos titulares. Esta comunicação deve ser feita em prazo razoável, conforme regulamentação específica da ANPD, e deve incluir informações sobre a natureza dos dados afetados, os titulares envolvidos, as medidas técnicas e de segurança utilizadas para a proteção dos dados, os riscos relacionados ao incidente e as medidas que foram ou que serão adotadas para reverter ou mitigar os efeitos do prejuízo.

Com base nessa exigência legal, é essencial, logo após a análise inicial, preparar um relatório detalhado que inclua todas as informações mencionadas pela LGPD. Nisso, a análise forense também ajuda a determinar se houve extração e roubo de dados – na extensão que os criminosos eventualmente estejam alegando.

Este relatório deve ser revisado por profissionais de conformidade e pelos advogados da empresa antes de ser submetido à ANPD. A legislação também determina que a empresa faça a comunicação clara e transparente aos titulares dos dados afetados, explicando o ocorrido, as medidas tomadas e os passos seguintes para assegurar a proteção dos dados pessoais.

A transparência e a comunicação eficaz, aliás, são pilares fundamentais durante a gestão de um incidente de segurança. A gestão deve manter uma comunicação constante com as equipes internas e externas, garantindo que todas as partes envolvidas estejam informadas sobre o progresso das ações e as próximas etapas.

Avaliação das políticas de segurança é ação necessária

Paralelamente à comunicação com as partes interessadas, a empresa deve iniciar um processo de avaliação e revisão de suas políticas e práticas de segurança. Isso inclui a reavaliação de todos os controles de segurança, acessos, credenciais com alto nível de acesso, bem como a implementação de medidas adicionais para prevenir futuros incidentes.

Em paralelo à revisão e análise de sistemas e processos afetados, a empresa deve focar, também, na recuperação dos sistemas e na restauração das suas operações. Isso envolve a limpeza de todos os sistemas afetados, a aplicação de patches de segurança, a restauração de backups e a revalidação dos controles de acesso. É essencial garantir que os sistemas estejam completamente seguros antes de serem colocados de volta em operação.

Uma vez que os sistemas estejam novamente operacionais, é preciso conduzir uma revisão pós-incidente para identificar lições aprendidas e áreas de melhoria. Esta revisão deve envolver todas as partes relevantes e resultar em um relatório final que destaque as causas do incidente, as medidas tomadas, os impactos e as recomendações para melhorar a postura de segurança da empresa no futuro.

Além das ações técnicas e organizacionais, a gestão de um incidente de segurança requer uma abordagem proativa em relação à governança e à cultura de segurança. Isso inclui a implementação de um programa contínuo de melhorias em segurança cibernética e a promoção de uma cultura corporativa que valorize a segurança e a privacidade.

A reação a um incidente de segurança exige um conjunto de ações coordenadas e bem planejadas, alinhadas às exigências da LGPD. Desde a contenção inicial e a comunicação com as partes interessadas até a recuperação dos sistemas e a revisão pós-incidente, cada passo é essencial para minimizar os impactos negativos e garantir a conformidade legal. Mais do que isso, é preciso olhar de frente as falhas e corrigi-las – acima de tudo, um incidente deve levar a estratégia de cibersegurança da empresa a um novo patamar.