A maneira como um CISO se prepara e responde a um ataque de ransomware pode ter consequências enormes. Principalmente caso os clientes ou parceiros decidam processar a empresa. Então, é muito importante saber como se proteger contra ações judiciais caso sua empresa sofra um ataque de ransomware.
Gangues internacionais de ransomware não são as únicas pessoas atrás do dinheiro de sua empresa. Afinal, muito depois de um ataque de ransomware desaparecer na história sombria, sua organização pode enfrentar outra ameaça financeira potencialmente devastadora: advogados entrando com ações judiciais em nome de clientes lesados pelo ransomware que atacou a sua empresa. Afinal, eles podem ter perdido informações pessoais ou comerciais confidenciais para os invasores.
“À medida que os casos evoluem, os queixosos avançam com novas teorias de causalidade e danos, mesmo quando nenhum dano aos consumidores ocorreu”. É o que afirma David Balser, advogado e líder do julgamento de King & Spalding.
Contudo, Ted Kobus, presidente da prática de ativos digitais e gerenciamento digital no escritório de advocacia BakerHostetler, acredita que o cenário de ações judiciais por ransomware está mudando rapidamente.
“Historicamente, vimos consumidores entrando com essas ações. No entanto, devido ao aumento no número de ataques à cadeia de abastecimento, podemos ver empresas downstream tentando criar uma classe buscando indenização por interrupção de negócios, custos de resposta a incidentes e outros danos.”
Felizmente, um ataque de ransomware não precisa expor uma empresa a possíveis processos judiciais. Entretanto, cabe ao CISO minimizar o risco de ataques de ransomware e, caso ocorram, tomar imediatamente as medidas necessárias para limitar os danos.
Aqui estão sete ações que os CISOs podem tomar para proteger sua empresa contra ações legais relacionadas a ransomware.
1. Avalie o risco
A probabilidade de uma ação judicial depende principalmente do tipo de ataque de ransomware. No entanto, também varia conforme as informações que foram roubadas.
“Por exemplo, se você opera um site voltado para o consumidor que está congelado devido a ransomware, mas nenhuma informação do consumidor é extraída, a probabilidade de uma ação coletiva é mínima”, diz Jeff Dennis, sócio do escritório de advocacia Newmeyer & Dillion.
No entanto, se o ataque de ransomware levou à extração de grandes quantidades de dados do consumidor, as chances de enfrentar uma ação coletiva podem aumentar drasticamente. Além disso, se você for uma empresa que armazena ou gerencia dados para uma série de outras empresas e você for vítima de ransomware, você pode enfrentar uma ação coletiva movida por essas empresas se elas não puderem acessar seus dados por um período significativo de tempo.
Portanto, uma avaliação de risco adequada dirá onde estão seus pontos fracos nos pontos mais críticos da empresa, como:
- Permissões de acesso à rede;
- Monitoramento e visibilidade da rede;
- Sistemas de backup e treinamento da equipe.
Contudo, inclua seus parceiros de negócios conectados no processo de avaliação também. Afinal, isso pode garantir que eles implementem tecnologias e práticas de segurança fortes.
2. Adote as melhores práticas de prevenção de ransomware
A melhor maneira de uma organização se proteger contra ações judiciais financeiramente devastadoras é tomar medidas razoáveis para evitar se tornar uma vítima de ataque de ransomware. No entanto, essas etapas devem ser levadas à sério e incluir:
- A condução de atividades de educação e conscientização sobre segurança cibernética;
- Criação de um plano de resposta a incidentes;
- Controle e classificação dos privilégios de acesso do usuário;
- Monitoramento de possíveis exposições a malware;
- Implementação de ferramentas eficazes de monitoramento e visibilidade de rede.
3. Elabore um plano de recuperação
Estar preparado é fundamental. Afinal, um ataque de ransomware pode ocorrer a qualquer hora, em qualquer lugar e a qualquer tipo de empresa. Então, saiba que um plano de recuperação de desastres ajudará uma organização vitimada por ransomware a se recuperar o mais rápido possível. Isso com impacto mínimo sobre clientes e parceiros de negócios.
Vale lembrar que muitas organizações seguem a regra de backup e recuperação “3-2-1”. Essa estratégia requer a criação de três backups de arquivos, com dois backups colocados em diferentes tipos de mídia de armazenamento e outra cópia localizada fora do local. Entretanto, esse local não pode ser a nuvem. Isso, porque ela também pode ser afetada por um ataque. Contudo, o plano de recuperação também deve abordar a frequência de backup, que deve ser feita diariamente, e os testes de backup regulares.
4. Pratique uma boa higiene de segurança
Ao seguir as melhores práticas de segurança, é provável que a organização seja reconhecida por seus esforços de boa fé. Portanto, é menos provável que seja vista como negligente.
Um primeiro passo para garantir que os arquivos críticos sejam resistentes a ransomware é exigir autenticação de dois fatores para acesso. Outras etapas incluem:
- Criptografar dados;
- Definir arquivos de unidade de backup para somente leitura quando o processo de gravação for concluído;
- Desmontar a unidade no momento em que o backup for concluído.
No entanto, as medidas adicionais de segurança de bom senso incluem manter o sistema e o software do aplicativo atualizados, usando tecnologia de rede segmentada. Isso, além de educar a gerência e a equipe sobre as práticas de segurança geralmente recomendadas.
“Os testes de ransomware também devem ser contínuos. Afinal, assim como usar máscaras e receber vacinas contra COVID, proteger seus arquivos e dados de ransomware é o novo normal”, observa Ron Gula, presidente da empresa de capital de risco e private equity Gula Tech Adventures.
Previna-se
Em essência, a prevenção é a melhor proteção. Então, uma empresa que está comprometida em seguir as melhores práticas de segurança e atualizar sua estratégia e táticas conforme o campo de batalha do ransomware evolui, deve ser capaz de se defender com sucesso contra as partes prejudicadas hoje e nos próximos anos.
“A lei relativa aos processos de clientes por violação de dados está longe de ser clara. Afinal, alguns tribunais federais fazem com que os querelantes provem danos significativos, enquanto outros afirmam que a ameaça de danos futuros, como por meio de roubo de identidade, é suficiente para fornecer legitimidade. Contudo, independentemente disso, pode-se esperar que as empresas, no futuro, sejam submetidas a padrões mais elevados no que diz respeito à proteção de seus dados”, diz Steven JJ Weisman, advogado e professor universitário que ministra cursos sobre crimes do colarinho branco na Bentley University.
5. Incentive o apoio da gestão de cima para baixo
O compromisso da alta administração é fundamental para o sucesso de um programa de conformidade de segurança cibernética.
“Este compromisso é demonstrado quando a gestão fornece ao departamento de conformidade autoridade para implementar, comunicar e melhorar as políticas e procedimentos de conformidade”, diz Braden Perry, advogado de litígios, regulamentações e investigações governamentais do escritório de advocacia Kennyhertz Perry.
Afinal, mesmo as melhores políticas e práticas de segurança acabarão por falhar sem o suporte total dos líderes empresariais. Então, é crucial ter acesso direto ao CEO e aos comitês de supervisão da organização, diz Perry.
“O CISO deve fazer parte da alta administração, com recursos e equipe suficientes para supervisionar e gerenciar a estrutura de compliance”, aconselha. Afinal, as empresas com visão de futuro vêem e tratam seus departamentos de conformidade como um ativo, não um custo, que pode ser a chave para criar adesão de cima para baixo.
6. Apoie a transparência
O CISO deve começar a trabalhar imediatamente com os colegas de gerenciamento para encontrar maneiras de minimizar o impacto do evento nas partes externas. Kobus sugere concentrar os esforços de resposta na comunicação clara e honesta com todos os indivíduos ou parceiros de negócios afetados.,
“Nos mais de 15 anos que venho trabalhando nesses tipos de assuntos, tem havido uma constante – comunicação clara e transparência é a melhor maneira de garantir às partes afetadas que você conduziu uma investigação responsável e apropriada. Além disso, mostra que você assumiu passos para garantir que este tipo de incidente não volte a acontecer. “
Portanto, as empresas que são transparentes com seus clientes, se envolvem ativamente com eles e geralmente tentam fazer a coisa certa, têm a melhor chance de evitar ou ganhar um processo de ransomware, diz Dennis. Então, seja aberto sobre o alcance e o impacto do ataque. Detalhe as etapas tomadas para proteger os dados confidenciais do cliente. Afinal, isso pode ajudar muito a acalmar a raiva que muitos advogados em busca de abrir ações judiciais por ransomware.
7. Considere a cobertura do seguro
Dependendo da apólice adquirida, o seguro de responsabilidade civil geral pode ser capaz de proteger uma empresa contra alguns ou todos os custos de processos judiciais.
“A seguradora normalmente cobrirá a investigação, litígio – incluindo honorários advocatícios – e julgamentos / acordos”, diz Perry. Então, certifique-se de verificar a política cuidadosamente, no entanto, incluindo quaisquer atualizações ou emendas recentes. Também porque, dado o recente aumento nos ataques de ransomware, a maioria das seguradoras está começando a reavaliar suas opções de cobertura.
No entanto, também há uma desvantagem importante em confiar no seguro de responsabilidade civil geral como um escudo financeiro. “Existem desvantagens, pois sua estratégia de litígio é colocada nas mãos da seguradora e ela controla quem contrata e a estratégia / negociações de acordo”, explica Perry. Portanto, ele também alerta que as apólices de seguro geralmente não cobrem danos punitivos ou atos intencionais.
Fique atento sobre erros e omissões (E&O) ou seguro de responsabilidade profissional, uma vez que tais apólices são limitadas ao serviço prestado. “Esta é uma cobertura questionável para ataques de ransomware, portanto, uma empresa pode ficar presa à cobertura de responsabilidade tradicional”, observa ele.