Aprendizados de segurança com o ataque à VTech

Aprendizados de segurança com o ataque à VTech

A violação da VTech realizada por um cibercriminoso desconhecido continua se intensificando. Depois dos relatórios iniciais de uma violação expondo dados de identificação de seus clientes (apesar da declaração em contrário da VTech), o hacker divulgou um conjunto limitado de mensagens e fotos pessoais de clientes da VTech para provar um comprometimento quase completo.

Está sendo uma semana difícil para a VTech. Não se engane, a VTech foi vítima de um crime. Porém, a questão mais imediata são as possíveis consequências para seus clientes e os filhos deles. E a resposta inicial da VTech piorou as coisas ao invés de melhorar. Felizmente, eles ajustaram sua conduta nas últimas 24 horas e têm sido mais abertos em relação às informações.

Vamos aprender com isso. Como um profissional de segurança, isso é o que você pode fazer para garantir que sua empresa esteja melhor preparada para lidar com uma violação.

Comunique-se Abertamente

A hora de definir seu plano de comunicação pós-violações é agora. Quando você está lidando com as consequências de uma violação, deve ser capaz de implementar um plano passo-a-passo e apropriado para a situação.

Essa é uma descrição básica do que você precisará:

Um email aberto e honesto para os clientes, contendo:

  • detalhes dos dados que foram roubados
  • informações de contato para falar com alguém totalmente informado sobre a situação e pronto para responder imediatamente às preocupações dos clientes (ex: atendimento ao cliente)
  • um pedido de desculpas
  • um cronograma para comunicações futuras

Uma divulgação para a imprensa que contenha:

  • detalhes dos dados que foram roubados
  • as medidas que você está tomando para informar seus clientes
  • um contato de mídia para comentar e dar informações adicionais

Uma comunicação aberta e honesta para os acionistas, contendo:

  • detalhes dos dados que foram roubados
  • o que se sabe até o momento sobre a mecânica da violação
  • as medidas que você já tomou em resposta
  • os passos que você planeja dar
  • quem está na liderança das comunicações

Uma URL pública que você possa usar para coletar informações (como uma FAQ)

  • isso deve ser atualizado constantemente conforme a evolução da situação
  • use isso como um recurso padrão para enviar para todos
  • não esconda em um site corporativo; garanta que esteja visível onde seus clientes acessam

Esses itens devem ser escritos previamente em um template personalizável. Lembre-se disso além da resposta interna que você irá exigir.

Quando você perceber que foi hackeado, esses são os passos que você deve dar para se comunicar eficazmente:

  • reconheça que houve uma violação e que você está investigando ativamente
  • identifique e informe aos clientes afetados
  • publique a URL pública para conscientização geral
  • informe e dê um resumo para os acionistas
  • emita um comunicado para a imprensa com as informações críticas e um ponto de contato

Tudo isso deve ser escrito em um tom claro e de desculpas. Não torne as coisas mais confusas sem necessidade (por exemplo, como a redefinição de informações de identificação pessoal da VTech), nem tente desviar a culpa ou reforçar que você também é uma vítima. Você pode dar uma explicação e detalhar como isso aconteceu depois.

O objetivo imediato é reduzir o impacto da violação.

Isso significa garantir que seus clientes tenham as informações necessárias o mais rápido possível. Se eles precisam tomar algum tipo de medida (cancelar cartões de crédito, mudar credenciais de contas, etc.) você quer que eles estejam cientes disso para que possam reduzir a chance de que alguma coisa ruim aconteça.

Aja com Determinação

Assim que você começa a responder a um incidente, o processo tem 5 etapas principais:

  1. detectar
  2. analisar
  3. conter
  4. erradicar
  5. recuperar

A essas etapas, pode-se agregar “preparar” no início e “melhorar/aprender” no final. Juntas, elas formam a fundação de um processo sólido de resposta a incidentes (RI).

Mais frequentemente, os maiores desafios estão na etapa “conter”. É, muitas vezes, onde as equipes de RI se deparam com as decisões mais difíceis que têm um impacto direto na empresa.

A VTech emitiu a seguinte atualização em sua FAQ no dia 1º de dezembro de 2015:

“Como medida de precaução, suspendemos o Learning Lodge, a rede Kid Connect e os seguintes sites temporariamente enquanto realizamos uma avaliação completa de segurança.”

Isso não é algo que qualquer empresa queira ter que escrever. Mas a decisão está 100% certa apesar do potencial impacto nos resultados.

Quando é a hora certa de tomar esse tipo de decisão? Não há uma regra fixa. É uma decisão baseada nas informações que você tem no momento.

O que você pode fazer para facilitar é descobrir possíveis cenários previamente. Esse é um exercício extremamente difícil de ser feito pois supõe que seu outro trabalho na defesa da empresa falhou. Mas é fundamental trabalhar esses cenários na teoria e na prática (chamado de dia do jogo) para escrever uma cartilha de RI.

Parte desse exercício é determinar quem na equipe tem a autoridade necessária para tomar a decisão de interromper serviços. Esperamos que você nunca precise tomar essa decisão. Mas, se chegar a este ponto, você precisa saber quem chamar.

Todos os processos que você tem estabelecidos em sua prática de segurança funcionam no sentido de nunca precisar tomar uma decisão de interromper serviços. Se você for hackeado e tiver que tomar essa decisão, é bem melhor trabalhar com uma cartilha já escrita previamente do que ter que ativar um alarme.

Conheça sua Exposição

A coisa mais importante que você pode fazer agora para reduzir o impacto de ter sido hackeado é revisar os dados que você está coletando e armazenando. Ao criar um inventário do tipo de dados que você tem, fica muito mais fácil avaliar o risco que você está enfrentando.

Com a lista na mão, realize um exercício muito simples: escreva cada tipo de dado em uma nota adesiva. Use as notas para combinar vários pontos de dados criando diferentes pontos de vista.

O objetivo desse jogo é descobrir quais pontos de dados apresentam mais riscos para sua empresa quando forem ligados a outros.

Se pegarmos o exemplo da VTech: sua loja de aplicativos requer um endereço para cobrança, o aplicativo social liga pais e filhos, e o servidor de mensagens armazena temporariamente fotos e mensagens privadas. Individualmente cada um desses pontos de dados apresenta um risco. Combinados, esses riscos aumentam dramaticamente.

Mapear todas as possíveis conexões entre todos os pontos de dados que você coleta e armazena permite que você identifique melhor os riscos e estabeleça as mitigações apropriadas.

Essas mitigações podem implicar em:

  • não armazenar dados de modo algum
  • isolar os dados em sistemas finais separados
  • garantir que seus processos de monitoramento estejam atentos a sinais de alerta de agregação de dados

Antes de verificar o cenário completo de dados que você armazena e coleta, você não saberá que nível de risco está enfrentando. Sem esse conhecimento, como você pode formular uma defesa eficiente?

Prepare-se para o Pior

Ninguém quer ser hackeado. É o pior pesadelo de uma equipe de segurança. Você pode reduzir o impacto de uma violação tomando medidas agora.

Estabeleça um plano de comunicações. Crie alguns templates para as principais comunicações para que você possa preencher os detalhes durante o incidente e reduzir seu tempo de resposta.

Prática e planejamento são fundamentais. Exercite cenários de respostas possíveis previamente. Pratique-os. Certifique-se de você sabe quem tem autoridade para suspender os serviços, se precisa tomar uma medida drástica para conter uma violação.

Saiba quais dados você está coletando e onde os armazena. Entenda como esses pontos de dados podem ser combinados e como essas combinações afetam o risco (e valor) dos dados. Acrescente proteções adicionais onde for apropriado.

Quando você está focando em manter as luzes acesas ou, pior, acendê-las de novo, a última coisa que você quer fazer é tomar medidas apressadas. Escrever uma cartilha clara de todos os aspectos de resposta a incidentes é o fundamental para uma resposta de sucesso.

Categorias

Veja outras publicações

Menu