Gregory Falco. Crédito:Ian MacLellan
Em ataques cibernéticos de ransomware, os hackers roubam os dados confidenciais da vítima e ameaçam publicar ou bloquear o acesso a eles, a menos que um resgate seja pago. Em todo o mundo a cada ano, milhões de ataques de ransomware são realizados em empresas, cidades, e organizações, custando bilhões de dólares no total em pagamentos e danos. Muitas tecnologias podem impedir esses ataques cibernéticos, mas os pesquisadores do Laboratório de Ciência da Computação e Inteligência Artificial do MIT (CSAIL) e do Departamento de Estudos e Planejamento Urbano (DUSP) acreditam que há mais para resolver o problema do que implantar o software mais recente.
Com base em estratégias de negociação de negócios, os pesquisadores desenvolveram uma estrutura de "negociação cibernética", publicado recentemente no Journal of Cyber Policy, que detalha um processo passo a passo sobre o que fazer antes, no decorrer, e depois de um ataque. O autor principal e pesquisador do CSAIL e DUSP Gregory Falco, que fundou a startup de segurança cibernética de infraestrutura crítica NeuroMesh, conversou com o MIT News sobre o plano. Ele foi acompanhado no artigo pelos co-autores Alicia Noriega SM '18, uma ex-DUSP; e Lawrence Susskind, o Professor Ford de Planejamento Ambiental e Urbano e pesquisador da Internet Policy Research Initiative e do MIT Science Impact Collaborative.
P:O que são cidades, especialmente, enfrentando ataques de ransomware, e por que não inventar tecnologias melhores para se defender contra esses ataques?
R:Se você pensar em infraestrutura crítica, como sistemas de transporte ou redes de serviços de água, muitas vezes são administrados por agências municipais ou metropolitanas que não têm dezenas de milhões de dólares para pagar especialistas ou empresas para deter ou combater ataques. Dado que as cidades acumularam todos os tipos de dados sobre a atividade dos residentes ou operações de infraestrutura, os hackers visam esses tesouros de dados para vender no mercado negro. Eles interrompem a infraestrutura urbana crítica regularmente nos Estados Unidos. Se alguém invadir um semáforo e alterar os sinais que deveriam ser enviados a um veículo autônomo, ou se alguém hackear medidores inteligentes e interferir em nosso sistema de energia, a saúde e a segurança públicas estarão em risco.
As cidades têm pessoal - geralmente um indivíduo ou uma pequena equipe - encarregado de proteger a infraestrutura crítica. Mas, eles precisam de muito mais ajuda. Ransomware é um dos raros casos em que eles podem se comunicar diretamente com um hacker e podem recuperar o controle de seus dados. Eles precisam estar prontos para fazer isso.
A maior parte da minha pesquisa foi sobre o uso de ferramentas de hacker contra hackers, e uma das ferramentas de hacker mais eficazes é a engenharia social. Para esse fim, criamos "Engenharia Social Defensiva, "uma caixa de ferramentas de estratégias de engenharia social que emprega capacidades de negociação para alterar a forma como os ataques de ransomware se desdobram. A criptografia e outras ferramentas de alta tecnologia não ajudarão uma vez que um ataque tenha começado. Nós planejamos uma estrutura de negociação cibernética que pode ajudar as organizações a reduzirem seus ataques cibernéticos riscos e aumentar sua resiliência cibernética.
P:Quais métodos você usou para projetar sua estrutura de negociação cibernética? Quais são alguns exemplos de estratégias do plano?
R:Larry [Susskind] é o cofundador do Programa Interuniversitário de Negociação da Escola de Direito de Harvard. Aplicamos as melhores práticas de negociação para defender a infraestrutura urbana crítica de ataques cibernéticos. A patologia da maioria dos ataques de ransomware combina perfeitamente com o que acontece em outros tipos de negociações:primeiro, você avalia seu oponente, então você troca mensagens, e, no final das contas, você tenta chegar a algum tipo de acordo. Nós nos concentramos em todos os três estágios de negociação cibernética:antes, no decorrer, e depois de um ataque.
Para se preparar antes de um ataque, é necessário aumentar a conscientização em toda a organização sobre como lidar com um ataque, caso ele ocorra. Órgãos públicos precisam de planos de resposta a ataques. Durante um ataque, as agências precisam calcular os custos de cumprir ou não atender às demandas de um invasor, e consultar sua equipe jurídica sobre suas responsabilidades. Então, se as circunstâncias forem certas, eles precisam negociar com o hacker, se possível. Depois de um ataque, é importante revisar o que aconteceu, compartilhar informações com as autoridades competentes, documentar o que foi aprendido, e se envolver no controle de danos. A negociação cibernética não exige necessariamente o pagamento de resgate. Em vez de, ele se concentra em ser flexível e saber como manipular a situação antes, no decorrer, e depois de um ataque. Essa abordagem de negociação é uma forma de gerenciamento de risco.
Para validar nossa estrutura, entrevistamos uma amostra de operadores de infraestrutura para entender o que fariam no caso de um hipotético ataque de ransomware. Descobrimos que o processo existente poderia se integrar bem com nosso plano de negociação cibernética, como garantir que eles tenham bons protocolos de resposta prontos e prontos, e ter redes de comunicação abertas em sua organização interna para garantir que as pessoas saibam o que está acontecendo. A razão pela qual nossa estratégia de negociação é valiosa é porque todas essas operadoras lidam com diferentes peças do quebra-cabeça da segurança cibernética, mas não o quebra-cabeça completo. É essencial examinar todo o problema.
Embora descobrimos que ninguém quer negociar com um invasor, sob certas circunstâncias, a negociação é o movimento certo, especialmente quando as agências não têm sistemas de backup em tempo real instalados. Um caso clássico foi no ano passado em Atlanta, onde os hackers cortam os serviços digitais, incluindo utilidade, estacionamento, e serviços judiciais. A cidade não pagou o resgate de cerca de US $ 50, 000, e agora eles pagaram mais de US $ 15 milhões em taxas tentando descobrir o que deu errado. Essa não é uma grande equação.
P:No jornal, você aplica retroativamente sua estrutura a dois ataques reais de ransomware:quando os hackers bloquearam os registros de pacientes do Serviço Nacional de Saúde da Inglaterra em 2017, e um incidente de 2016 em que hackers roubaram dados de milhões de usuários do Uber, que pagou um resgate. Que percepções você obteve desses estudos de caso?
R:Para aqueles, nós perguntamos, "O que poderia ter sido melhor se eles se preparassem e usassem nossa estrutura de negociação?" Concluímos que havia uma série de ações específicas que eles poderiam ter realizado e que podem muito bem ter limitado os danos que enfrentaram. NHS, por exemplo, precisava de maior conscientização entre seus funcionários sobre os perigos dos ataques cibernéticos e comunicações mais explícitas sobre como evitar esses ataques e limitar sua propagação. (Para que o ransomware seja instalado com sucesso, um funcionário precisava clicar em um link infectado.) No caso do Uber, a empresa não envolveu autoridades e nunca conduziu controle de danos. Isso em parte fez com que o Uber perdesse sua licença para operar em Londres.
Ataques cibernéticos são inevitáveis, e mesmo que as agências estejam preparadas, eles vão sofrer perdas. Então, lidar com ataques e aprender com eles é mais inteligente do que encobrir os danos. Um dos principais insights de todo o nosso trabalho é não se atrapalhar na instalação de soluções técnicas caras quando suas ações defensivas de engenharia social podem reduzir o escopo e os custos dos ataques cibernéticos. Isso ajuda a ser interdisciplinar e misturar e combinar métodos para lidar com problemas de segurança cibernética, como ransomware.
Esta história foi republicada por cortesia do MIT News (web.mit.edu/newsoffice/), um site popular que cobre notícias sobre pesquisas do MIT, inovação e ensino.