Seguro Cibernético e Crime Cibernético diante da «devastadora epidemia global de ransomware»

A AXA France removeu o pagamento de resgate por ransomware de sua cobertura de seguro cibernético. Esta decisão foi tomada durante uma sessão do Senado na França, abordando «a devastadora epidemia global de resgate». A decisão da seguradora traz grande impacto, pois pode afetar diretamente as vítimas, o restante das seguradoras e o futuro em geral do ecossistema do cibercrime baseado em ransomware, que ainda está longe de ser controlado.

A Internet está cheia de artigos que explicam por que o resgate do ransomware não deve ser pago. E provavelmente, fornecem dados interessantes, mas se você não diferenciar entre o tipo de ransomware e quem é afetado, os motivos apresentados podem não fazer muito sentido. Portanto, é necessário explicar bem as circunstâncias da pessoa afetada para entender o porquê ela não deve ser paga e, acima de tudo, entender bem a situação para tomar as decisões cabíveis.

Ransomware doméstico e profissional

A primeira coisa, é deixar claro que existem dois tipos de ransomware: doméstico e profissional. O primeiro apareceu de forma massiva por volta de 2012, conhecido como “Reveton Ransomware” mais conhecido na época como “vírus da polícia” e afetou o usuário de média renda. Desde 2017, não desapareceu, mas sua incidência caiu consideravelmente. Foram ataques a vítimas aleatórias e desavisadas, utilizando táticas de intimidação para pedir resgates de até U$200, por pessoa atingida. Esse tipo de ataque «doméstico», tem uma resposta talvez mais direta: não deve ser pago a menos que haja uma boa razão para isso. Mas se falamos de organizações, PMEs ou grandes empresas, devemos ter em mente que seu negócio, sustento, clientes e futuro dependem da recuperação desses dados e, portanto, a resposta deve ser mais bem avaliada.

Em um caso de ransomware profissional, a abordagem se torna um pouco mais complexa. Estamos falando de campanhas que têm conseguido levar meses de trabalho e estudo para o atacante, com o único propósito de invadir a rede (às vezes enorme) e no momento exato, assumir o controle e criptografar tudo. A partir desse momento, perdem-se milhares e milhares de euros todos os dias por não conseguir operar, pela frustrante impossibilidade da continuidade do negócio. Nesses casos a situação se agrava, porque possibilita aos criminosos responsáveis pela invasão, escolher o valor de resgate que desejam receber, que pode chegar na ordem de milhões de euros, ou mesmo em parte proporcional do seu volume de negócios. Nesse momento, começa a negociação, porque: “Quando as apostas são altas, não pagar não é algo que está imediatamente descartado”. Como no caso de certos sequestros de pessoas, o pagamento do resgate é sempre uma opção considerada.

Situação crítica

Além disso, a extorsão acaba se tornando dupla. As vítimas enfrentam não apenas a perda de dados, mas também o vazamento de informações para o público, caso não paguem o valor do resgate. O sentimento de desamparo é generalizado. Não nos esqueçamos da situação devastadora que vivemos. Tanto é verdade que a AXA tomou uma decisão na França: a cobertura do seguro cibernético não devolverá o dinheiro do resgate aos clientes que pagam por extorsão. Uma companhia de seguros como a AXA, que poderia cobrir o custo do resgate, concluíu que essa cláusula normalizava justamente a menos traumática das saídas: pague e ceda à extorsão. E também presumimos que eles não compensaram com tantos incidentes. Parece que a normalização do pagamento não apenas tornou o negócio de seguros não lucrativo, mas também alimentou a própria indústria do crime cibernético. Lembre-se de que uma das estratégias contra os invasores é que, se eles não forem pagos, o negócio de extorsão deixará de ser lucrativo para eles.

Mas que alternativa as organizações têm que, se não pagarem, serão forçadas a fechar? Ou cedem à extorsão e alimentam o processo que fortalece os atacantes (e se perpetua contra outras empresas que serão futuras vítimas) ou resistem ao pagamento e correm o risco de perderem tudo. Porque este não é o momento de culpar a vítima (ela já tem o suficiente) porque seu backup também foi criptografado, não funcionou ou simplesmente não tinha.

Soluções fáceis de propor, complexas de implementar.

O negócio de ransomware não deve ser estrangulado apenas por evitar o financiamento da extorsão, mas também por melhorar a segurança dos negócios e por ter leis eficazes que processam os criminosos com penalidades que desencorajam os ataques. A situação requer várias abordagens de muitos ângulos. Por sua vez, o seguro de empresas requer a aplicação de medidas adequadas para cada empresa. Alguns exigirão medidas mais complexas, outros mais simples e todos vão exigir consciência. Mas ignorar o problema ou pensar que ele é estranho para você é a pior estratégia para se usar.

Do ponto de vista jurídico, também existem tantos ângulos quanto figuras coexistindo nesse ecossistema. O crime cibernético se industrializou tanto do ponto de vista de invasores quanto de vítimas que já usam seguradoras assiduamente para lidar com a crise. Muitos mais afetados do que pensamos que estão pagando, a ponto de o próprio processo de pagamento se tornar um modelo de negócio.

Intermediários e outras figuras, como seguradoras, são usados ​​para lidar com a crise. Quando a continuidade dos negócios é crítica, as empresas afetadas seguem vários caminhos. Claro, a tentativa de recuperação técnica, avaliação de danos, etc. Mas outras vias «diplomáticas» também estão sendo iniciadas, que podem incluir o contato com os atacantes e com outras empresas.

Com os atacantes você barganha e negocia, estabelecendo uma linha de diálogo como se fosse qualquer outro tipo de transação. Os extorsionários podem até oferecer conselhos úteis após o check-out da vítima. E, como qualquer negociação, pode ser delegada. À luz desse obscuro negócio de extorsão, surgiram intermediários que oferecem serviços de “consultoria”, que envolvem enfrentar a negociação e pagar o resgate. As seguradoras podem ser mais compensadas ao pagar aos invasores do que à vítima pelos danos, dependendo do que seu seguro cobre.

Enfim, um quadro complexo onde nem tudo fica tão claro quando se fala em números e, sobretudo, muito distante do ambiente doméstico onde as diretrizes costumam ser mais claras. As novas leis geralmente procuram estrangular os extorsionários impedindo que seus negócios sejam lucrativos, mas essa medida pode não ser suficiente porque a continuidade de negócios legítimos costuma pesar mais. Qual será o futuro papel das seguradoras após a decisão da AXA?