RESUMO

Neste caso fictício, a rede de computadores de um hospital é invadida por hackers, que bloqueiam o acesso ao sistema de prontuário eletrônico e pedem uma bela quantia para liberar o acesso. Paul Layman, o presidente da instituição, não levou o e-mail com a ameaça a sério e agora o hospital está praticamente paralisado. O departamento de TI parece incapaz de resolver o problema. O jurídico aconselha Paul a pagar o “resgate” para evitar prejuízos legais maiores. Já o chefe da equipe médica prepara um motim. Qual a saída?
 
Pagar o que os extorsionistas pedem, sugere Per Gullestrup, presidente da empresa dinamarquesa de navegação (a Clipper) que teve um navio sequestrado por piratas somalis em 2008. Antes de tudo, porém, Paul devia contratar um negociador para impedir que os hackers façam estrago ainda maior.
 
Ceder aos extorsionistas, nem pensar, diz Richard L. Nolan (professor da University of Washington, nos EUA), já que outras partes do sistema podem ter sido corrompidas. E Paul precisa deixar todo mundo — funcionários, conselho de administração e público — informado da situação.
 
Peter R. Stephenson, presidente do departamento de informática da Norwich University, também nos EUA, sugere que os servidores sejam desligados e todo computador do hospital checado para detecção de falhas no software. Seria preciso determinar, ainda, se os hackers são gente de dentro ou total estranhos.
 

 

NA ÍNTEGRA
 
Quando um extorsionista derruba o sistema de prontuário eletrônico de um hospital, há vidas em jogo.
 
Sua rede tá desprotegida, dizia a mensagem. Mas a gente resolve isso. Por 100 mil em dinheiro podemos evitar uma tragédia no hospital.
 
“Ridículo”, pensou Paul Layman ao ler o e-mail, que foi logo apagando. “As pessoas tentam cada uma pela internet!”
 
Paul era presidente do Hospital Sunnylake. Naquela tarde de sexta-feira, estava checando tranquilamente o correio eletrônico quando topou com a mensagem de um remetente desconhecido. O executivo viera para o Sunnylake havia cinco anos com a visão de implantar uma tecnologia de ponta na pequena instituição. Paul achava que o hospital só conseguiria crescer se se livrasse de hábitos e procedimentos ultrapassados. Achava, ainda, que trocar a velha ficha de papel pelo prontuário eletrônico melhoraria a qualidade do atendimento prestado aos pacientes. Depois de uma rigorosa seleção, contratara um rapaz de ar sério, Jacob Dale, para dirigir a área de TI do hospital. Com a ajuda de Jacob, tirara a ideia do papel.
 
O sucesso da empreitada transformara o Sunnylake. Antes um centro comunitário defasado, a instituição virara um modelo para hospitais de pequeno porte. Agora, a equipe médica inteira usava leitores eletrônicos para acessar o prontuário de pacientes. No início, muitos médicos tinham resistido à mudança, por medo de ter que dar mais atenção à tecnologia do que a sinais e sintomas do paciente. Com o tempo, no entanto, até os maiores defensores do velho sistema tiveram de admitir que o prontuário eletrônico trazia mais eficiência — ao checar automaticamente erros na administração de remédios e na interação medicamentosa, por exemplo.
 
O retumbante sucesso fizera do nascente departamento de TI um braço destacado do hospital. Para Paul Layman, o prontuário eletrônico seria seu legado — legado que daria retorno para a instituição por muito mais tempo.
 
A ameaça implícita no e-mail não causou nenhuma ansiedade no executivo. Paul confiava em Jacob. Por trás das camisas sob medida e do cavanhaque impecável do rapaz, havia uma grande energia. Durante o desenvolvimento do sistema, Paul deixara bem claro que a privacidade do paciente era algo crítico. Com toda calma, Jacob explicara que a digitalização dos prontuários também deixaria a informação mais protegida. Paul ficara nervoso quando o sistema entrara no ar, mas os últimos três anos tinham dissipado seus temores. Embora soubesse que nenhum sistema informatizado era perfeito, acreditava que a rede não estava exposta a nenhuma ameaça séria — muito menos partindo de um extorsionistinha qualquer.
 
Nem lembrou do assunto durante o fim de semana. Mas às 8 da manhã da segunda-feira, o executivo recebeu outro e-mail do mesmo remetente. No campo assunto, vinha o seguinte: A gente avisou. No corpo da mensagem não havia nada.
 
Ali começava o dia mais difícil da carreira de Paul Layman.
 
Acesso negado
— Temos um paciente entrando em cirurgia! — berrou o médico. — Preciso dos arquivos já!
 
A estagiária com quem gritava mal ergueu os olhos do aparelho que trazia na mão. Bastara uma semana no hospital, pensou o médico, para que a incompetência da garota ficasse à mostra. Arrancou o leitor digital de suas mãos e digitou afobado o código de acesso. Na tela, surgiu a mensagem Acesso negado.
 
— Será o benedito? — resmungou. — Chequei os arquivos desse paciente ainda ontem!
 
O pessoal de TI projetara a rede de modo que somente profissionais autorizados — médicos, enfermeiros, gente da área administrativa — tivessem acesso aos prontuários eletrônicos. Hoje, aparentemente, houvera uma séria falha. A estagiária ficou ali parada com as mãos na cintura, meneando a cabeça. Resistindo ao desejo de lançar o aparelho contra a mesa, o médico rumou furioso para o departamento de TI. Mal notou os enfermeiros com ar preocupado pelo corredor, ou os carri
nh
os de medicamentos vazios — carrinhos que deviam estar fazendo a ronda matinal.
 
No meio do departamento, topou com uma cena inusitada. Uma turma de médicos, todos aparentando irritação, se agrupara ao lado da sala de vidro que abrigava vários servidores. No interior do recinto um punhado de técnicos do departamento trabalhava em ritmo frenético. Ao se aproximar do grupo, o médico viu que cada um dos colegas trazia um aparelhinho com a mesma mensagem na tela: Acesso negado.
 
Pedido de resgate
Minutos depois, o terceiro e-mail chegou. Jacob estava na sala de Paul. Em total silêncio, os dois fitaram a tela do computador. Aposto que querem o material de volta. Deviam ter protegido os arquivos melhor. Pela pequena quantia de 100 mil, faremos o problema desaparecer.
 
— Mas que diabos!? — esbravejou Paul. — Os médicos estão furiosos lá fora!
 
— É um daqueles programas que “sequestram” dados, um ransomware — disse Jacob. — Só que, em vez de atacar um punhado de computadores, estão fazendo o hospital inteiro de refém. Querem 100 mil para liberar o acesso.
 
O departamento de TI inteiro estava tentando restaurar o sistema. O código que em geral permitia acesso seletivo aos prontuários fora alterado para não permitir acesso nenhum. Nem os administradores do sistema conseguiam abri-lo.
 
— E como eles entraram no nosso sistema?
 
— Pelo aparelho de algum usuário, imagino — respondeu Jacob. — Alguém aqui achou que estava baixando um antivírus, ou atualizando algum programa.
 
— Algum cretino aqui dentro pode ter causado toda essa confusão? — perguntou Paul. Naquele triste instante, o executivo percebeu que o departamento de TI do hospital não era nem grande nem sofisticado o bastante para lidar com um problema tão devastador. Nos últimos três anos a tecnologia da segurança avançara consideravelmente, mas o Sunnylake não acompanhara o passo. Dias antes Paul achara que invadir o sistema era praticamente impossível. Agora, tinha de enfrentar a terrível realidade de que a rede estivera vulnerável todo esse tempo.
 
Não que a informação estivesse perdida para sempre. Havia um backup de todos os arquivos na rede. Naquele instante, no entanto, o hospital não tinha como levar os dados aos médicos que precisavam urgentemente da informação para tratar os pacientes. O Sunnylake estava prestes a parar.
 
— Mas que, mas que… — Paul fez uma pausa, sem saber o que dizer. — …terrível. Terrível mesmo — arrematou. Fitou Jacob.
 
O diretor de TI exibia uma mescla de fúria e revolta. — Precisa ser muito baixo para atacar um hospital! — rugiu Jacob, sem tirar os olhos da tela. — Será que não veem que estão prejudicando quem está doente? A gente acha que já viu de tudo, mas a cafajestice só piora.
 
— Pelo que eu sei, um hacker não é o tipo de pessoa que segue um código moral — retrucou Paul, contendo o impulso de gritar com Jacob. — Eles devem ter percebido que depender desses arquivos deixa a gente especialmente vulnerável. Se tirar um site de uma empresa qualquer do ar por umas horas, há prejuízo. E prejuízo grande, até. Mas, se impedir o acesso aos arquivos de um hospital, a equipe médica pode acabar ferindo os pacientes que tanto tenta proteger. Não é só questão de dinheiro. Há vidas em jogo.
 
— Minha equipe está lutando com todas as armas que temos — respondeu Jacob, na defensiva. — Só precisamos de tempo para retomar o controle do sistema. Depois, vamos reforçar a segurança para que isso não volte a ocorrer. Vamos instalar um sistema de detecção de vírus em rede. De agora em diante, afastar intrusos não será suficiente.
 
— A dúvida é quando vamos retomar esse controle — disse Paul baixinho, contendo a frustração. — Não podemos ficar sem os prontuários por muito mais tempo.
 
— Isso é o equivalente digital de uma luta corporal — respondeu Jacob. — Nosso conhecimento do sistema é maior, mas eles têm a vantagem da surpresa. Não posso dizer ao certo quando vamos vencer. Não há solução rápida para um problema desses.
 
Paul apontou a tela com a cabeça. — Eles sugeriram uma solução rápida — disse.
 
— Você não está pensando em pagar o que eles estão pedindo, está? — perguntou Jacob, incrédulo. — Se pagar uma vez, vamos ser sempre um alvo. Não faça isso, não é justo. A gente vai dar um jeito no problema, só precisamos de um pouco mais de tempo.
 
Bomba-relógio
— Paul, precisamos resolver isso logo — disse Lisa Mankins, diretora do departamento jurídico do hospital. Embora tivesse o cabelo impecavelmente preso e trajasse o terninho austero de sempre, Lisa tinha o ar de quem acabara de sofrer horas de tortura.
 
Depois do último e-mail dos hackers, o sistema fora restaurado pelo pessoal de TI duas vezes. Minutos depois, voltara a cair. Apesar do empenho do departamento, explicara Jacob, os hackers tinham conseguido se infiltrar novamente. A maior parte da equipe começava a dar sinais de desânimo. Por ora, todos os médicos tinham sido instruídos a escrever à mão receitas de medicamentos e ordens para os enfermeiros. Os médicos mais jovens, que sempre trabalharam com o prontuário eletrônico, ficaram desnorteados. Até gente da velha guarda não sabia mais como rabiscar “Amoxicilina 500 mg” de forma legível.
 
Paul chamara Lisa a sua sala para acharem um jeito de conter o prejuízo.
 
— O estrago que essa sit

uação pode causar do ponto de vista legal é espantoso — disse a diretora. — Quanto mais durar, maior o risco. Nossa exposição aumenta a cada segundo, literalmente. Nos casos mais urgentes, os médicos estão usando prontuários de papel, que estão desatualizados. No começo da tarde demos a um paciente um remédio ao qual ele era alérgico. Por sorte, a reação foi branda. E se da próxima vez não tivermos essa sorte?

 
Lisa ia de um lado ao outro da sala. — Temos de avaliar nossas opções — disse. — Minha impressão é que o pessoal de TI não vai resolver esse problema com a rapidez exigida, se é que vai resolvê-lo.
 
— Pelo que o Jacob me disse, eles precisam de um tempinho para retomar o controle — disse Paul. Durante a manhã, o executivo tentara manter a confiança na capacidade do rapaz. Agora, estava desanimando. Cada vez que o sistema era restaurado, Paul se enchia de esperança. Mas a perdia logo em seguida, quando a mensagem Acesso negado voltava a aparecer na tela.
 
— Não temos tempo — insistiu Lisa. — E você sabe disso.
 
Depois de um momento de silêncio, a diretora voltou a falar, o semblante tenso. — Temos uma verba reservada para algo assim, sabia? É uma verba para perdas aceitáveis. Temos um seguro que cobre riscos ligados à tecnologia, temos dinheiro para pagar o “resgate”. Uma ação por negligência profissional podia custar ao hospital centenas de milhares de dólares só em honorários, e possivelmente milhões em indenização. Cem mil não é nada diante do prejuízo que podemos ter se não agirmos logo. Acho prático, e até ético, pagar o resgate. Quanto mais esperamos, maior o risco de prejudicarmos os pacientes e o hospital.
 
— Não gosto da ideia — disse Paul. — Nem um pouco. Aceitar uma extorsão vai contra qualquer princípio. E seria mais um estímulo para essa gente, vai incentivar o ataque a outros hospitais.
 
Depois de uma pausa, Paul concluiu: — Mas talvez seja a única saída.
 
Lisa mal deixara a sala quando o chefe da equipe médica, George Knudsen, irrompeu no recinto.
 
— Quando é que você vai dar um jeito nisso? — foi perguntando. — Você tem ideia do estrago que isso fará na nossa reputação se a imprensa ficar sabendo?
 
Grisalho, George tinha um ar que intimidava. Era parte da “mobília” do Sunnylake: chegara ali muito antes de Paul e era bem provável que durasse mais do que ele. Os dois tinham tido divergências quando da adoção do prontuário eletrônico, mas a relação voltara a ser cordial com o sucesso do projeto. Agora, George parecia tudo, menos cordial.
 
— Todo mundo está dando o máximo de si — respondeu Paul. — Está sendo difícil para todos nós.
 
— Não acho que você saiba o quão difícil está sendo — respondeu George, revoltado. — Só saberia se fosse obrigado a tratar um paciente sem ter certeza de que o que está fazendo não vai piorar as coisas. Só saberia se estivesse com medo de quebrar seu juramento só porque um geniozinho da computação achou que esse sistema era muito mais sólido do que realmente é.
 
— George, você sabe como o sistema de prontuário eletrônico foi bom para o hospital — retrucou Paul, assustado com a fúria do veterano. — Você mesmo admitiu.
 
— Não sabia o preço que teríamos de pagar! — esbravejou George. — Você está fazendo a equipe inteira parecer incompetente, ou pior até! Com o papel as coisas podiam até andar mais devagar, mas pelo menos andavam. Se não resolver isso logo, Paul, nunca mais boto as mãos naquele maldito leitor digital. E está cheio de gente aí fora que vai fazer o mesmo.
 
George saiu, indignado.
 
• • •
 
Na penumbra da sala de descanso da equipe, Paul fitava o forro, deitado no sofá. Era uma da manhã. O pessoal de TI ainda estava no hospital, travando uma ciberbatalha contra o inimigo invisível. O padrão de vitória breve seguida de derrota se repetira ao longo da noite. Jacob tentara todo decodificador que encontrara na internet; sua equipe estava por toda a instituição, varrendo os computadores atrás de pistas.
 
Fechou os olhos. Como num filme, continuava a ver imagens dos aliados decifrando códigos da máquina alemã Enigma. A situação do Sunnylake parecia tão urgente quanto. Por mais que tentasse, não conseguia relaxar e dormir. Uma culpa aterradora, a sensação de responsabilidade por tudo o que ocorrera naquele dia, oprimia seu peito.
 
Mesmo depois de três anos de sucesso — três anos nos quais a equipe, quase sem exceção, passara a apreciar a eficiência do prontuário eletrônico —, Paul lembrava claramente a dura briga que comprara para que o sistema fosse instalado e aceito. Se não conseguisse resolver logo a crise, perderia todo o terreno conquistado. Os médicos tinham batido o pé, resistido bastante no começo. George Knudsen não seria o único a jogar um “eu avisei” na sua cara. Mais um pouco e seria impossível fazer com que voltassem a confiar no sistema — e nele também.
 
Se aceitasse a chantagem — dessa vez, não mais —, o hospital podia fazer da segurança a prioridade número um e garantir que nada parecido voltasse a ocorrer. Paul virou no sofá, soltando um suspiro. Estava mesmo pensando em pagar o resgate que aqueles criminosos pediam?
 
Como o hospital deve lidar com o ataque? Três comentaristas dão sua opinião.
 
Per Gullestrup (pgu@clipper-group.com) é presidente da empresa dinamarquesa de navegação Clipper Projects.
 
A primeira providência é contratar um negociador emocionalmente neutro para abrir o diálogo com os hackers.
 
Por mais revoltante que possa soar, sugiro que o hospital Sunnylake vá em frente e pague o resgate (supondo, naturalmente, que a ameaça seja real e que haja um verdadeiro risco para quem é tratado no hospital). Pode ser a única saída para que Paul Layman garanta a integridade dos pacientes e evite a tremenda responsabilidade civil que Lisa Mankins, a diretora jurídica, tanto teme.
 
Por que recomendo isso? Como presidente de uma empresa, tive de lidar com situação parecida em novembro de 2008, quando piratas somalis atacaram um cargueiro de US$ 15 milhões do grupo Clipper no golfo de Áden. Durante 71 dias, os 13 tripulantes da embarcação foram mantidos reféns. Chefiei a equipe de emergência encarregada de garantir a segurança do navio e dos tripulantes.
 
Lidar com extorsão não está na descrição das funções de um presidente. Em nosso caso, os criminosos estavam em vantagem. Durante o confronto, descobri que a ação de piratas na costa da Somália é um negócio bem administrado, com toda uma gama de atores e investidores. Embora os piratas possam dificultar a vida dos reféns, feri-los está fora de questão, pois seria a morte de seu modelo de negócios.
 
Os piratas sabiam que o tempo estava a seu favor. Se não pagássemos o resgate, simplesmente seguiriam com o cargueiro e a tripulação. Seu sistema é eficiente — logo, fica fácil manter a embarcação sempre abastecida (embora a legislação dinamarquesa proíba o pagamento de resgate a terroristas, nada impede que uma empresa de navegação pague a piratas).
 
Para um presidente, é impossível resistir indefinidamente ao clamor de parentes desesperados, de uma imprensa ansiosa e de autoridades exigentes. É uma situação insustentável. No final, não tivemos outra opção que não pagar os milhões de dólares exigidos pelos criminosos (o seguro cobriu o custo).
 
No caso de Paul, a primeira e mais importante providência seria contratar um bom negociador, alguém emocionalmente neutro, para abrir um diálogo com os hackers e mantê-los envolvidos na conversa, para que não façam um estrago ainda maior.
 
À medida que o processo avança, o negociador pode ir transmitindo informações entre os dois lados. Enquanto isso, a equipe de TI vai tratar de reativar o sistema e reforçar a segurança e os planos para emergências — o que devia ter feito lá no começo. No meio-tempo, a polícia e especialistas forenses vão tentar encontrar os malfeitores e dar um fim a suas atividades.
 
Quando o negociador entra em cena, a coisa toda vira um jogo de xadrez. O negociador e a equipe a cargo da emergência vão definir as condições e cuidar da logística. Quando chegarem a um acordo, o resgate é pago e termina o episódio.
 
Outra pergunta é saber o que fazer com a mídia. É bem provável que a imprensa se inteire do ocorrido no Sunnylake. No nosso caso, decidimos lidar com os meios de comunicação de modo bem direto, para ajudar a despertar a atenção pública para a ameaça representada por piratas somalis.
 
Se forem capazes de entender o negócio dos piratas e estiverem preparadas para a dura negociação exigida, empresas de navegação terão muito mais condições de lidar com a ameaça. Durante o processo de negociação, descobrimos muita coisa sobre o destino dado ao dinheiro do resgate, sobre como era usado — informação que está sendo de muita utilidade para as autoridades.
 
 
 
Richard L. Nolan (rnolan2@ u.washington.edu) é titular da cátedra Philip M. Condit Chair na Foster School of Business (University of Washington), nos EUA. É autor, com Robert D. Austin e Shannon O’Donnell, de Adventures of an IT Leader (Harvar Business Press, 2009).
 
Paul precisa deixar todos os envolvidos – funcionários, conselho, pacientes, público – informados sobre a situação.
 
Este caso dá um exemplo do tipo de ataque ao qual toda organização, pequena ou grande, está sujeita hoje em dia. Toda organização depende de tecnologia; nenhuma está imune à multidão de gente no mundo todo interessada em tumultuar suas operações — às vezes por pura diversão, mas em geral com má intenção, para obter algum ganho.
 
Isso significa que o presidente e o conselho precisam ter bom senso na hora de proteger a empresa da ameaça. O primeiro erro de Paul foi ignorar o e-mail inicial. Toda ameaça tecnológica deve ser levada a sério; se tivesse a cabeça no lugar, Paul teria avisado Jacob Dale imediatamente. Nenhum sistema de TI é “à prova de bala”.
 
Além disso, a organização precisa de um plano para ocasiões em que não sabe ao certo até onde seus sistemas foram comprometidos. O Sunnylake devia ter um sistema de backup, já testado e em atividade, para garantir o atendimento ininterrupto aos pacientes e proteger toda pessoa afetada. Médicos e enfermeiros são treinados para diagnosticar, resolver problemas e tratar de forma dinâmica os pacientes. Sistemas de TI facilitam, mas não substituem, o tratamento. O fato de que o hospital não tinha um software atualizado ou um bom provedor externo de segurança — e nem um plano de emergência — é imperdoável.
 
Por pior que a crise possa parecer, é mais fácil enfrentá-la do que uma ameaça mais vaga (como um programa automatizado que alterne aleatoriamente entre um estado inativo e a sabotagem ou o roubo de dados de clientes), pois o hospital sabe que houve uma invasão: alguém parece ter alterado o código de segurança.
 
O que, então, deve fazer Paul, o presidente? A primeira coisa é levantar daquele sofá e abandonar a ilusão de que o pessoal de TI vá restaurar o sistema e colocar a rede de volta no ar. Quando hospitais na rede de medicina de grupo americana CareGroup, do estado do Massachusetts, viveram
situação parecida em 2002, o presidente, o diretor de informação, médicos, enfermeiros e pessoal de apoio voltaram a trabalhar como na década de 1970, antes da instalação do sistema integrado de prontuário eletrônico. Quem lembrava o que era trabalhar assim orientou aqueles que sempre tinham dependido de computadores. É como disse John Halamka, o diretor de informação, ao conselho da instituição: “A boa notícia é que o atendimento médico não foi prejudicado”.
 
Outra providência é intensificar a comunicação com as partes interessadas. Paul devia entender que, no mundo interligado de hoje, simplesmente não há segredos. Qualquer ataque aos sistemas de uma empresa a obriga a indagar o quanto deveria revelar sobre a ameaça. No caso, Paul precisa deixar todos os stakeholders — funcionários, conselho, pacientes, público — totalmente informados sobre a situação.
 
Sou absolutamente contra ceder à exigência dos extorsionistas, pois nada garante que outras partes do sistema não tenham sido corrompidas. O código precisa ser examinado linha por linha e rigorosamente depurado. A infraestrutura de rede e outros sistemas de TI do hospital precisam ser analisados para a detecção de problemas adicionais e protegidos com um software de segurança atualizado.
 
Por último, Paul precisa encarar a possibilidade de perder o emprego. Afinal, é o responsável por todos os recursos estratégicos do hospital, incluindo a TI. O conselho também deveria responder pela falta de supervisão estratégica.
 
O caso do hospital Sunnylake deveria despertar todo presidente e todo conselho de administração para a chegada de um seriíssimo problema.
 
 
Peter R. Stephenson é presidente do departamento de informática e diretor de segurança de informações da Norwich University, nos EUA.
 
É preciso rodar um aplicativo de detecção de malware em toda estação de trabalho.
 
Se ungisse portas e janelas da rede com alho, pendurasse espelhos e crucifixos no sistema e espalhasse água benta por tudo — na forma de firewalls, software antivírus e afins —, sua empresa provavelmente estaria protegida de vampiros. Ou seja, de hackers ou malware. Só que o hospital do caso não se preveniu contra um ataque e algum desavisado — provavelmente alguém fazendo compras pela internet de um computador ligado à rede — deve ter deixado o vampiro entrar.
 
Infelizmente, a segurança dos dados é um tema secundário em muitos hospitais. Um dia desses, passei em frente ao balcão de informações de um hospital, onde supostamente deveria haver alguém a postos. O computador estava ligado, o monitor também, mas não havia ninguém ali, o que é uma séria violação da lei americana de proteção à privacidade do paciente.
 
No Sunnylake, o sistema segue caindo porque, cada vez que o problema é solucionado, os invasores acham outra brecha para se infiltrar. Pode ser porque o malware — o programa que permitiu a invasão em primeiro lugar — transmite uma mensagem de volta aos hackers informando o que Jacob e equipe estão fazendo.
 
Se tivesse sido avisado por Paul assim que a primeira mensagem com a ameaça chegou, o departamento de TI podia ter tirado imediatamente o sistema da internet, evitando que um programa malicioso tivesse acesso à rede do hospital. Isso teria obstruído qualquer via de entrada criada pelos hackers.
 
O passo seguinte teria sido verificar se os criminosos de fato tinham obtido acesso à rede. Muitos extorsionistas mandam uma mensagem só para assustar o destinatário e fazer com que este já saia pagando. Jacob e a equipe deviam ter checado os registros do sistema para ver se o código tinha sido alterado. Se tivessem reagido imediatamente, podiam ter impedido a chegada do segundo e-mail ou novos ataques.
 
Como reparar a rede? Primeiro, os administradores do sistema precisam recuperar suas senhas e retomar o controle. Sob o risco de entrar em tecnicalidades, isso significa desconectar os servidores, apagar permanentemente todos os dados desses servidores (regravando os discos com dados aleatórios), restaurar os servidores e os dados e assegurar que todo software de segurança esteja totalmente atualizado e operacional. O departamento de TI precisa rodar um aplicativo de detecção de malware em toda estação de trabalho do hospi­tal, para o caso de a invasão ter ocorrido pelo computador de algum funcionário. Embora trabalhosa, essa varredura é extremamente importante.
 
E quanto aos extorsionistas? As mensagens dão pistas sobre sua identidade. O jeito de escrever sugere alguém jovem ou de outro país, ou um amador que baixou o programa de invasão pela internet. Também é possível que os malfeitores sejam bastante inteligentes — e sempre é mais seguro superestimar a habilidade de um hacker. Pode até ser que o invasor não seja um “estranho”. Um funcionário ou paciente contrariados, que calhem de passar por uma estação de trabalho às moscas, podem causar sério estrago. Antes de reconectar o sistema à internet, o Sunnylake precisa esperar 24 horas para ver o que acontece. Se forem de dentro e seguirem tendo acesso ao sistema, os invasores podem voltar a atacar.
 
Ainda que Paul contrate um consultor em segurança, algo que recomendo, dificilmente os malfeitores serão encontrados. Apesar disso, o consultor pode ajudar a montar um perfil dos invasores, melhorar a segurança e orientar indivíduos de papel-chave para que o Sunnylake possa se defender no futuro.
 
________________________________
Caroline Eisenmann foi estagiária da HBR.

Share with your friends









Submit