24 horas fundamentais frente a um ciberataque

Dec 3, 2020 | A MAPFRE Hoje

Rate this post
TEXTO JAVIER FERNÁNDEZ | FOTOGRAFÍAS ISTOCK
14 DE AGOSTO, SEXTA-FEIRA

Parte dos espanhóis que conseguiram se permitir estão de férias e tentam conviver com medidas que agora sabemos que foram muito relaxadas frente à Covid-19. Para as seguradoras, é véspera de um dos dias mais movimentados do ano, a mudança de quinzena é sempre um momento estressante para a maioria das empresas ligadas ao serviço rodoviário. Por mais um ano, a MAPFRE tem tudo planejado e o serviço está pronto para responder às necessidades dos clientes.

20:04

Um ataque cibernético massivo é lançado contra a MAPFRE na Espanha. Todos os dias, empresas do nosso porte detectam e neutralizam centenas de milhares de eventos semelhantes que buscam, de alguma forma, obter acesso ao interior dos sistemas. Mas logo vemos que este é diferente. Trata-se de um ataque ransomware que visa criptografar informações para impedir as operações da empresa, e que não foi lançado contra a MAPFRE por acaso.

Um ano antes, em agosto de 2019, cibercriminosos internacionais começaram a preparar o ataque contra a MAPFRE. Os primeiros passos foram dados ao comprar domínios que lhes permitiam se aproximar da empresa. Também criaram uma ferramenta de hacking personalizada contra a MAPFRE, uma ferramenta nova, que não podia ser detectada pelos sistemas de antivírus atuais, um vírus específico para atacar uma única empresa na Espanha. Ficamos sabendo de tudo isso mais tarde, graças às análises forenses realizadas pela MAPFRE em colaboração com as principais empresas internacionais especializadas no combate ao crime cibernético. Os ataques de ransomware aumentaram 500% em 2019, principalmente contra grandes empresas multinacionais, instituições de todos os tipos e até mesmo governos.

O escudo de proteção da MAPFRE é 24x7x365, assim que o ataque é ativado, um especialista do Centro de Operações de Segurança de Majadahonda o detecta e inicia o protocolo de análise de alertas que, logo em seguida, mostra a gravidade do problema e dá o sinal de alarme.

Trata-se de um ataque ransomware que visa criptografar informações para impedir as operações da empresa, e que não foi lançado contra a mapfre por acaso

Um ano antes, em agosto de 2019, cibercriminosos internacionais começaram a preparar o ataque contra a MAPFRE criando uma ferramenta de hacking personalizada contra a mapfre, um vírus específico

21:11

O Diretor do Centro de Operações de Segurança da MAPFRE é informado do ataque e inicia a mobilização das equipes contra o mesmo, de acordo com o previsto no Plano de Gestão de Crises e Continuidade de Negócios, uma vez que o ciberataque é um dos riscos analisados e previstos em nosso Plano para que possamos atuar imediatamente quando ocorre. Minutos depois é acionado o Comitê Corporativo de Crises e, uma vez detectado o primeiro impacto na Espanha, o Comitê de Crises da MAPFRE Espanha também se mobiliza pois, não por acaso, o ataque visa cegar a empresa em um dos dias mais críticos na prestação do serviço, especialmente na parte de assistência rodoviária.

Aquela sexta-feira foi uma noite muito longa. Os profissionais da MAPFRE não hesitaram em interromper suas férias e se conectar desde o lugar onde estavam ou até mesmo ir a Majadahonda para combater o ataque de forma coordenada entre todas as áreas envolvidas. Um maquinário testado e calibrado é a melhor garantia de que funcionará nos momentos mais necessários, e o tempo jogava contra nós, porque o vírus começou a criptografar equipamentos e sistemas que, em uma empresa altamente digitalizada, significa ficar “cego” em sua capacidade de responder ao cliente.

Conter, Operar e Responder são as três estratégias que começam em paralelo. A Diretoria Corporativa de Segurança e a Área Corporativa de Tecnologia e Processos se ocupam da primeira ação: identificar o vírus, analisar seu alcance, conter sua expansão… a primeira medida é isolar o data center cortando todas as comunicações com o exterior e com o centro de recuperação frente a desastres. Todos os sistemas tiveram que ser desligados sistematicamente até que o grau de impacto fosse conhecido em detalhes e uma resposta pudesse ser articulada. Esta desconexão geral é o que permitiu limitar o vírus na Espanha, isolando a operação dos demais países.

Os profissionais da mapfre não hesitaram em interromper suas férias e se conectar ou até mesmo ir a majadahonda para combater o ataque

A diretoria corporativa de segurança e a área corporativa de tecnologia e processos se ocupam da primeira ação: identificar o vírus, analisar seu alcance, conter sua expansão. Esta desconexão geral é o que permitiu limitar o vírus na Espanha

02:30

A área de Operações é ativada e coordena uma resposta alternativa rápida na Espanha para poder atender os clientes no dia seguinte. Os equipamentos estão desligados e/ou criptografados, portanto, não servem para a gestão usual com os clientes, o Sii24 deve ser reforçado e procedimentos alternativos devem ser habilitados. Passadas as duas e meia da manhã de sábado o sistema já estava montado e operando. Em apenas quatro horas foram habilitadas as conexões de voz nos ‘call centers’ para poder atender aos clientes, e funcionários da área de Operações, que estavam trabalhando remotamente, se deslocaram aos prédios da MAPFRE para atender às chamadas. Os servidores de aplicações começam a se recuperar imediatamente utilizando o sistema de backup que continha todas as informações protegidas e que não haviam sido comprometidas, demonstrando sua força técnica.

03:00

Já temos o antivírus. Embora fosse um novo tipo de vírus, específico contra a MAPFRE e que evoluiu e se aprimorou durante meses até encontrar uma porta de entrada, em apenas seis horas já dispomos do antivírus, essencial para iniciar a tarefa progressiva de recuperação dos equipamentos e sistemas da forma mais segura. Os sistemas são prioridade e, em geral, toda a tecnologia relacionada ao atendimento ao cliente, que é imprescindível especialmente naquele fim de semana.

08:00

Os cidadãos começaram seus deslocamentos massivos principalmente pelas estradas, começam a ser registrados os primeiros sinistros. O Sii24 é reforçado, mas possui limitações que o impedem de responder da forma usual, os tempos de espera são alongados.

As primeiras horas são especialmente complexas, mas a MAPFRE já conta com um ambiente seguro que permite iniciar a restauração de servidores e equipamentos de forma priorizada. O Comitê Corporativo de Crises se reúne e se tem um primeiro panorama do impacto. As medidas de contenção funcionaram, mas os danos são profundos na Espanha. O atendimento ao cliente está sendo prestado, não como normalmente, mas está ocorrendo, graças à resposta articulada pelo setor de Operações da MAPFRE Espanha e ao compromisso de todos os envolvidos no atendimento ao cliente.

15:00

A MAPFRE é uma empresa transparente que estabelece relações de confiança com todos os seus grupos de interesse. Parece bom, mas não é um claim, é um compromisso real frente ao qual não há dúvidas. Normalmente, as empresas ou instituições afetadas por esse tipo de ataque não o relatam ou o fazem quando não têm mais escolha. A MAPFRE respeita seus compromissos e decide agir com total transparência desde o início. Inicia-se a comunicação da crise aos supervisores e órgãos reguladores, não há evidências de vazamento massivo de dados, mas também são comunicadas as informações disponíveis em todos os momentos. Às três horas da tarde, ou seja, dentro das primeiras 24 horas e uma vez feita uma análise preliminar do impacto, o ataque é comunicado massivamente à opinião pública através de todos os canais. A informação e a transparência se convertem nos melhores aliados para proteger a reputação. A opinião pública entende que estamos diante de um ataque altamente profissional, frente ao qual nenhuma empresa, instituição ou governo no mundo está 100% protegido, e o fato de comunicá-lo representa um compromisso com a transparência, que é especialmente valorizado. Nas semanas seguintes, a Direção Corporativa de Segurança coordenou mais de 200 comunicados informando sobre o ataque e suas consequências não só aos órgãos obrigatórios, mas também em geral a todos aqueles que perguntavam à MAPFRE sobre o alcance do ataque.

Em apenas seis horas já dispomos do antivírus

Dentro das primeiras 24 horas e após uma análise estável do impacto, o ataque é massivamente comunicado à opinião pública através de todos os canais

A direção corporativa de segurança coordenou mais de 200 comunicados informando sobre o ataque e suas consequências

DOMINGO

Começa a ser lançada a segunda onda de medidas de reforço da segurança aos demais países para protegê-los frente a esta nova ameaça e começa a reconexão segura com eles, bem como com os nossos parceiros de negócios, enquanto continua o processo de recuperação dos servidores, bancos de dados e sistemas afetados. O mais importante: o backup está a salvo. O protocolo previsto frente a um ciberataque possibilitou, desde o primeiro minuto, tomar decisões que permitiram salvar as informações da empresa.

A partir do terceiro dia, a progressiva abertura das operações se acelerou e as operações com os clientes foram se recuperando e se estabilizando. Também foram reinstalados, em duas semanas, 18.000 postos de trabalho distribuídos em mais de 3.000 escritórios da MAPFRE, entre outras ações. No final de agosto, a MAPFRE deu como superada essa crise no que diz respeito à sua maior prioridade: o atendimento ao cliente. E tomou a decisão de indenizar com 100 euros na renovação àquelas pessoas que não pudemos servir com o nosso nível de excelência habitual, principalmente durante os primeiros dias e em relação às assistências que tiveram de ser geridas manualmente.

Internamente, seguimos trabalhando para alcançar a revisão e a recuperação completa. A análise forense profunda continua, bem como a investigação policial que combate este tipo de terrorismo a nível internacional, mas o momento crítico dos primeiros dias foi superado, e visto dois meses depois, com sucesso. Além disso, a empresa contava com um seguro de proteção contra crimes cibernéticos que assumirá parte dos custos.

A atuação rápida limitou o ataque apenas à Espanha. A informação estava bem protegida e por isso foi recuperada. Existem pouquíssimas empresas com essa capacidade ordenada de resposta. A reconstrução posterior dos fatos nos mostrou claramente por onde os criminosos entraram e por onde saíram, também nos permite intuir qual organização criminosa está por trás desse ataque, desenhado especificamente contra a MAPFRE, mas deixamos que a investigação internacional continue seu curso, para que cada vez mais instituições e países possam coordenar uma resposta global mais eficaz frente a esse tipo de ação

5 LIÇÕES APRENDIDAS

Segurança total não existe. O ataque foi lançado em agosto, mas os terroristas passaram um ano preparando-o e investindo centenas de milhares de euros apenas para atacar a MAPFRE. E isso depende de cada um de nós. Um nome de usuário e uma senha capturadas pelos invasores serviram como ponto de entrada

Maquinário calibrado. A melhor resposta se consegue estando preparados, fomos capazes de reagir com rapidez e eficácia porque tínhamos previsto e analisado os ataques cibernéticos no Plano de Crise e Continuidade de Negócios

Compromisso humano. Profissionais altamente comprometidos que reagiram com total dedicação e generosidade desde o primeiro momento

A transparência como defesa da reputação. Informar nossas partes interessadas sobre o ocorrido aumentou a compreensão de todos eles sobre a crise que a empresa estava enfrentando

A resiliência da MAPFRE . Demonstrando a capacidade do negócio de continuar operando em condições extremas

Share This