Como comunicar um incidente de cibersegurança

25 set 2019

Lembro daquele dia como se fosse ontem: nosso CEO me chamou em seu escritório e pediu para que eu deixasse meu smartphone e notebook em minha mesa.

“Fomos invadidos”, disse ele, sem rodeios. “A investigação ainda está em andamento, mas podemos confirmar que temos um hacker extremamente sofisticado e patrocinado por um Estado dentro do nosso perímetro”.
Para ser sincero, isso não foi totalmente inesperado. Nossos especialistas já lidam com as violações de segurança de nossos clientes há um bom tempo e, como empresa de segurança, éramos um alvo específico. Ainda assim, foi uma surpresa desagradável: alguém havia penetrado nas ciberdefesas de uma empresa de segurança da informação. Você pode ler sobre isso aqui. Hoje, quero falar sobre uma das principais perguntas que surgiram imediatamente: “Como comunicamos isso?”

Cinco estágios de aprendizado: negação, raiva, negociação, depressão e aceitação

Antes do GDPR — Regulamento Geral sobre a Proteção de Dados, as organizações podiam escolher entre comunicar publicamente ou negar que um incidente tivesse ocorrido. O segundo caminho não era uma opção para a Kaspersky, empresa de cibersegurança transparente que promove a divulgação responsável. Tínhamos consenso de toda a diretoria e começamos a nos preparar para o anúncio público. A todo vapor.

Também era a coisa certa a fazer, especialmente quando assistimos à crescente fenda geopolítica e vimos claramente que os poderes por trás do ataque cibernético definitivamente usariam essa brecha de segurança contra nós – só não sabíamos como e quando. Ao comunicar proativamente a violação, não apenas os privamos dessa oportunidade, mas também usamos o caso a nosso favor.

Dizem que existem dois tipos de organizações: aquelas que foram invadidas e aquelas que nem sabem que foram. Nesta indústria, o paradigma é simples: uma empresa não deve esconder uma violação. A única vergonha é manter essa informação escondida do público e, assim, ameaçar a cibersegurança de clientes e parceiros.

De volta ao nosso caso. Depois que estabelecemos as partes envolvidas – equipes jurídicas e de segurança da informação, de comunicações, de vendas, de marketing e de suporte técnico – começamos o trabalho de preparar as mensagens oficiais e as “perguntas e respostas”. Fizemos isso simultaneamente com a investigação dos especialistas GReAT (Equipe de Pesquisa e Análise Global) da Kaspersky. Os membros envolvidos realizaram todas as comunicações por canais criptografados, para excluir a possibilidade de se comprometer a investigação. Somente quando tivemos a maioria das respostas do Q&A é que nos sentimos preparados para o comunicado público.

Como resultado, diversos veículos de comunicação publicaram quase 2 mil artigos tendo como base a notícia que divulgamos. A maioria (95%) era neutra e vimos uma quantidade notavelmente pequena de cobertura negativa (menos de 3%). O saldo da cobertura é compreensível, pois fomos nós, nossos parceiros e pesquisadores de segurança, que, trabalhando com as informações corretas, divulgamos as notícias para a mídia. Não tenho as estatísticas exatas, mas, pela maneira como a mídia reagiu à história de um ataque de ransomware contra a gigante norueguesa de alumínio Hydro no início deste ano, parece que a gestão desse comunicado não foi a ideal. A moral da história: nunca guarde esqueletos no armário.

Não apenas aprendemos a lição, mas avançamos

A boa notícia é que, graças ao ciberataque de 2015, descobrimos não apenas as capacidades técnicas mais avançadas dos agentes de ciberameaças, mas também como reagir e comunicar sobre as violações.

Tivemos tempo para investigar completamente o ataque e aprender com ele. Inclusive, conseguimos superar os estágios de raiva e negociação – ou seja, de preparar a empresa para o que diríamos ao público. E, o tempo todo, a comunicação entre o pessoal de cibersegurança e os especialistas em comunicação corporativa seguia ativa.

Hoje, o prazo para se preparar para um anúncio público reduziu drasticamente. Por exemplo: o GDPR (e a LGPD no Brasil) exigem que as empresas que operam com dados de clientes não apenas informem as autoridades sobre violações de segurança, mas que o façam dentro de 72 horas. E uma empresa sob ataque cibernético precisa estar preparada para divulgar ao público imediatamente após informar as autoridades o ocorrido.

“Com quem devemos nos comunicar dentro da empresa? Quais canais podemos usar e quais devemos evitar? Como devemos agir?” Essas e muitas outras são perguntas que tivemos que responder durante a investigação em andamento. Você pode não se dar ao luxo de resolver essas questões sozinho no curto espaço de tempo que tiver à sua disposição. Mas essas informações e nossa valiosa experiência formam a base do Kaspersky Incident Communications Service.

Além do treinamento padrão por especialistas em comunicação certificados, cobrindo a estratégia e aconselhando sobre mensagens externas, o serviço oferece oportunidades de aprendizado com nossos especialistas GReAT. Eles têm informações atualizadas sobre ferramentas e protocolos de comunicação e podem aconselhá-lo sobre como se comportar em uma situação de violação de segurança.