Se a sua rede estiver infectada com ransomware, aja imediatamente para proteger o seu sistema. Em vez de pagar o resgate, o que não garante que seus dados serão recuperados, relate o ataque ao FBI e às autoridades locais o mais rápido possível. Use especialistas em recuperação de dados para recuperar o acesso aos seus dados. Se estiver comprometido, você também pode precisar notificar os clientes, clientes ou associados afetados. Na sequência, analise o ataque para que possa proteger melhor seu sistema para diminuir a probabilidade de ser novamente vítima de um ataque de ransomware.
Passos
Método 1 de 3: Trabalhando com as autoridades policiais
Etapa 1. Entre em contato com o escritório local do FBI
A aplicação da lei federal lida com crimes na Internet, incluindo ransomware. Os policiais no escritório local mais próximo poderão ajudá-lo a minimizar os danos ao seu negócio e podem trabalhar com as autoridades locais e estaduais para tentar localizar o autor do crime.
O FBI possui 56 escritórios de campo nas principais áreas metropolitanas dos Estados Unidos. Para encontrar o mais próximo de você, vá para https://www.fbi.gov/contact-us/field-offices e escolha seu estado no menu suspenso denominado "Categorias"
Etapa 2. Arquive um relatório com a polícia local para lidar com as repercussões imediatas
Se houve uma violação física de suas instalações, o departamento de polícia local pode definitivamente ajudar com isso. No entanto, mesmo que suas instalações reais não tenham sido comprometidas, a polícia local ainda pode reunir evidências e aconselhá-lo sobre como proteger sua empresa.
Alguns policiais locais podem não saber como lidar com crimes na Internet, especialmente em pequenas cidades e áreas rurais. Embora eles possam não ter a experiência e o equipamento para fornecer qualquer assistência significativa, ainda vale a pena registrar um boletim de ocorrência policial local
Etapa 3. Envie uma reclamação ao Internet Crime Complaint Center (IC3)
O FBI mantém o IC3 em https://www.ic3.gov/. No site, você pode enviar uma reclamação que será encaminhada a todas as agências de aplicação da lei relevantes. Inclua as seguintes informações em seu relatório:
- A data da infecção do ransomware
- O tipo de ransomware (listado na página de resgate ou observando a extensão do arquivo de criptografia de ransomware)
- Informações sobre sua empresa, incluindo seu setor e o tamanho de seus negócios
- Como a infecção ocorreu
- A quantidade de resgate que os hackers solicitaram
- O endereço Bitcoin do hacker ou outro endereço de carteira de criptomoeda, se incluído na página de resgate
- O valor total do resgate que você já pagou (se houver)
- Perdas gerais associadas à infecção de ransomware, incluindo perda estimada de negócios
Gorjeta:
Se você registrar uma reclamação no IC3, também precisará preencher uma Declaração de Impacto da Vítima, que é um formulário separado. Algumas das informações neste formulário podem repetir informações que você já forneceu em sua reclamação.
Etapa 4. Informe ao HHS se os dados incluírem informações de saúde protegidas
Se você tem um negócio no setor de saúde coberto pela Lei de Portabilidade e Responsabilidade de Informações de Saúde (HIPAA), a lei federal exige que você relate quaisquer incidentes de ransomware ao Departamento de Saúde e Serviços Humanos (HHS) dos Estados Unidos. Com base em sua descrição da infecção de ransomware, o HHS determinará se você precisa notificar as pessoas de que suas informações foram comprometidas e o que sua notificação deve incluir.
O HHS também avaliará sua rede e sistemas de computador para garantir que você esteja seguindo os protocolos de segurança de dados exigidos pela HIPAA. Do contrário, você pode estar sujeito a sanções por descumprimento. No entanto, relatar a infecção e reparar os danos pode diminuir as sanções impostas à sua empresa
Etapa 5. Converse com todos os funcionários envolvidos
Normalmente, o funcionário que baixa o ransomware comete um erro inocente. É importante conhecer o lado deles da história enquanto os detalhes sobre o incidente ainda estão frescos em sua mente. Grave a conversa e faça anotações para as autoridades policiais.
Entreviste também os funcionários que descobriram o ransomware. Descubra o que aconteceu quando eles souberam disso e quem eles contataram para contar sobre o problema. Grave a entrevista para as autoridades
Etapa 6. Coloque todos os equipamentos afetados offline
Pode ser difícil remover o ransomware e recuperar seus dados. No entanto, colocar seu equipamento off-line pode ajudar a diminuir os danos que o ransomware pode causar e evitar que os dados sejam roubados.
- Não desligue seus computadores ou outro equipamento completamente até que os oficiais de segurança de dados ou a aplicação da lei digam que você pode. Isso pode resultar em perda de dados ou evidências valiosas.
- Tome cuidado para não destruir qualquer evidência que possa estar armazenada em seus computadores ou rede, por exemplo, tentando excluir o ransomware ou arquivos de criptografia.
Método 2 de 3: notificando clientes ou clientes
Etapa 1. Contrate um advogado para ajudar a determinar suas responsabilidades
Em algumas circunstâncias, um ataque de ransomware pode ser considerado uma violação de dados de acordo com a lei estadual ou federal. Um advogado pode ajudá-lo a determinar se você precisa notificar clientes ou clientes sobre a violação e quais informações esse aviso deve conter. Geralmente, se um ataque de ransomware constitui uma violação de dados depende de 4 critérios:
- Tipo de dados: informações de saúde, financeiras e de identidade pessoal normalmente acionam requisitos de notificação
- As leis federais e estaduais que podem ser aplicadas aos dados que você armazenou
- Como e onde os dados são armazenados, incluindo se eles são armazenados em backup ou criptografados
- Como o próprio ransomware funciona, incluindo como ele entrou no sistema e se permite que os hackers acessem ou manipulem seus dados ou simplesmente os mantenham reféns
Etapa 2. Consulte as autoridades legais sobre o momento de suas notificações
Tornar a infecção do ransomware e possível violação de dados públicas antes que a polícia tenha concluído suas investigações iniciais pode impedir essas investigações, especialmente se houver o risco de os hackers estarem cientes de que as notificações foram enviadas. Além disso, a aplicação da lei pode recomendar apenas notificar primeiro os indivíduos ou empresas afetados, com uma notificação pública potencial mais tarde.
- Liberar uma notificação pública muito cedo pode causar pânico, dependendo da natureza do seu negócio e do tipo de informação que você possui.
- Você também deseja certificar-se de não divulgar informações por meio de notificações que possam dificultar a investigação da aplicação da lei.
Etapa 3. Designe uma pessoa de contato para informações relacionadas à violação
Uma única pessoa em sua empresa deve ser responsável por lidar com todas as comunicações externas relacionadas à infecção de ransomware e possível violação de dados. Escolha alguém no nível de gestão que seja capaz de lidar com consultas públicas e coordenar a resposta da aplicação da lei, bem como lidar com ações de quaisquer agências reguladoras.
- Dependendo do tamanho do seu negócio e do número de indivíduos ou empresas potencialmente afetados, você pode configurar um site dedicado ou número de ligação gratuita que as pessoas podem usar para obter informações sobre a infecção e possível violação de dados.
- Se você não tiver as informações de contato de todas as pessoas potencialmente afetadas, pode ser necessário lançar uma campanha de relações públicas mais substancial para garantir que todas as pessoas potencialmente afetadas tenham uma notificação adequada. Por exemplo, se você é um varejista, pode não ter as informações de contato de todos os clientes que usaram cartões de crédito em sua loja.
Etapa 4. Entre em contato com as principais agências de crédito se houver risco de roubo de identidade
Se os dados envolvidos incluírem nomes e números do Seguro Social, existe o risco de que as identidades dessas pessoas sejam roubadas. As principais agências de crédito podem fornecer mais informações e conselhos sobre como notificar as pessoas sobre o risco. Normalmente, os indivíduos afetados devem colocar alertas de fraude ou congelamento de crédito em seus arquivos. Use as seguintes informações para as 3 principais agências de crédito:
- Equifax: https://equifax.com/ ou 1-800-685-1111
- Experian: https://experian.com/ ou 1-888-397-3742
- TransUnion: https://transunion.com/ ou 1-888-909-8872
Etapa 5. Envie uma notificação por escrito às pessoas e empresas afetadas
Redija uma carta que inclua uma descrição clara da infecção do ransomware, as etapas que você executou para proteger seus dados e os dados que foram potencialmente afetados. Encerre com conselhos sobre o que devem fazer para se proteger contra roubo de identidade ou outros riscos associados.
O FTC tem um modelo de carta que você pode usar, disponível em
Gorjeta:
Peça a um advogado que examine seu aviso antes de enviá-lo. Eles podem certificar-se de que está em conformidade com todas as leis aplicáveis que regem a sua situação.
Método 3 de 3: protegendo sua empresa
Etapa 1. Contrate um especialista em segurança de dados para analisar seu sistema
Um especialista em segurança de dados pode observar como o ransomware afetou seu sistema e criar protocolos que protegerão seus dados de infecções semelhantes no futuro. Eles também podem funcionar para desativar o ransomware e recuperar seus dados.
Você pode encontrar especialistas com uma simples pesquisa online. No entanto, mesmo que o tempo seja essencial, não contrate simplesmente o primeiro nome que aparecer. Observe o histórico e a reputação de qualquer especialista em segurança que você está pensando em contratar. Verifique suas referências e, se eles tiverem certificações, procure-as para ter certeza de que ainda estão ativas e em boa situação
Etapa 2. Restringir as permissões dos usuários da rede para baixar ou instalar software
Freqüentemente, as infecções de ransomware acontecem quando um funcionário clica em um link em um e-mail que parece ter vindo de uma fonte confiável. Se esse funcionário só tiver acesso às partes do sistema que ele precisa, haverá menos chance de o ransomware afetar todo o sistema e comprometer seus dados.
Apenas 1 ou 2 pessoas em sua empresa que são funcionários de TI ou administradores de rede treinados devem ter permissão para baixar e instalar um novo software. Você pode eliminar essa permissão de todas as outras contas de usuário de funcionários
Gorjeta:
Treine seus funcionários para que não cliquem em links ativos em um e-mail, mesmo que pareçam vir de um colega de trabalho. Em caso de dúvida, os funcionários devem sempre entrar em contato com o suposto remetente para saber se o e-mail veio dele.
Etapa 3. Faça backups diários ou semanais dos dados que você mantém
Faça backups em um disco rígido externo que não esteja conectado à Internet. Se você for vítima de um ataque de ransomware no futuro, poderá fazer upload de um backup de seus dados e continuar com seus negócios normalmente.
Embora você ainda precise arquivar um relatório com as autoridades policiais e notificar os clientes ou clientes se algum dado foi corrompido ou roubado, pelo menos o ataque não interromperá seus negócios nesse ínterim
Etapa 4. Mantenha seu software e sistemas operacionais atualizados
As atualizações frequentemente incluem patches de segurança que melhoram as vulnerabilidades que os hackers podem explorar. Se você não baixou a atualização mais recente, os hackers podem dizer que seu sistema ainda está vulnerável e podem tentar tirar vantagem.
- O ideal é configurar todos os softwares e sistemas operacionais para serem atualizados automaticamente no momento em que sua empresa não estiver aberta. Dessa forma, você pode ter certeza de que está sempre executando o software mais atualizado em seu sistema.
- Certifique-se de que seu software antivírus também esteja atualizado e execute varreduras diariamente ou semanalmente. Isso o ajudará a encontrar e colocar os vírus em quarentena antes que eles infectem toda a sua rede.
Etapa 5. Crie um plano escrito para responder a quaisquer ataques futuros
Infelizmente, ser atingido por um ataque de ransomware pode tornar sua empresa um alvo para ataques subsequentes. Os hackers podem tentar se passar por especialistas em segurança de dados ou oferecer soluções para proteger sua empresa quando, na verdade, estão apenas preparando você para outro ataque. Se você sabe como responderá, estará um passo à frente deles.
- Certifique-se de que todos os funcionários leiam e compreendam o plano, bem como a função que desempenharão se o seu sistema for atacado.
- Revise seu plano pelo menos uma vez a cada 6 meses e atualize-o conforme necessário para levar em consideração as mudanças em seu sistema ou atualizações de tecnologia.
