Quando começa a contagem do relógio da violação de dados?

Uma das questões mais difíceis na segurança cibernética corporativa – e algo que ainda é um desafio para a Comissão de Valores Mobiliários (SEC) dos Estados Unidos – é quando uma empresa deve relatar uma violação de dados.

A parte fácil é: “quanto tempo após a empresa descobrir uma violação de dados ela deve ser divulgada?” Diferentes regimes de conformidade chegam a números diferentes, mas são relativamente próximos, desde as 72 horas da GDPR aos quatro dias da SEC.

A parte complicada é definir quando qualquer entidade corporativa realmente “sabe” que algo aconteceu. Em que momento preciso o Walmart ou a ExxonMobil sabem que alguma coisa aconteceu? (Se a linguagem dissesse “quando o CFO da empresa se convencer de que ocorreu uma violação de dados”, isso seria muito mais direto.)

Para descobrir esse problema de conscientização, primeiro precisamos dividi-lo em dois elementos distintos:

• O que constitui evidência razoável de violação de dados?
• Quem deve tomar uma decisão de violação de dados para uma empresa? O chefe do Centro de Operações de Segurança (SOC)? O CISO? O CIO? O CEO? Um subconjunto da diretoria ou do conselho? O conselho inteiro? Talvez apenas o chairman?

Comecemos pelo elemento número um. Com exceção de ataques óbvios – como um ataque de ransomware em que um resgate junto com a prova de intrusão foi recebido – a maioria dos ataques se apresenta gradualmente. Alguém no SOC detecta uma anomalia ou outra coisa suspeita. Isso é suficiente para informar? Quase certamente que não. Então alguém mais graduado no SOC se envolve.

Se as coisas ainda parecerem ruins, é relatado ao CISO ou ao CSO. Esse executivo pode dizer: “Você me ganhou. Preciso relatar isso imediatamente ao CIO, ao CFO e talvez ao CEO.” Em caso afirmativo, isso ainda não atingiu o estágio de divulgação. Esses outros executivos precisam pesar.

É mais provável, porém, que o CISO/CSO recue, dizendo algo como: “Vocês ainda não resolveram isso. Ainda pode ser qualquer coisa dentro de uma centena de possibilidades diferentes. Veja alguns backups, faça comparações, verifique a darkweb para qualquer confirmação. Continue investigando”.

A contagem já começou? Novamente, provavelmente não. Uma empresa não pode relatar todas as investigações de segurança cibernética. O nível de prova necessário para merecer uma divulgação pública é alto. Afinal, tenha pena do pobre executivo que relata uma violação que mais tarde acaba não sendo nada.

Outro fator: a maioria dos ladrões e ciberterroristas são excelentes tanto para esconder seus rastros quanto para deixar pistas enganosas. Combinar com os logs é comum, o que significa que, até o momento, a segurança de TI só pode confiar nos logs — pelo menos inicialmente. Lembre-se de quantas vezes o primeiro relatório forense difere materialmente do segundo relatório forense. Simplesmente leva tempo, mesmo para investigadores forenses experientes, para separar a verdade de algo enganoso deixado pelos atacantes.

Quanto ao ponto número dois, quem decide quem deve ser o decisor sobre uma violação de dados? Um argumento pode ser feito para o principal especialista em segurança cibernética (presumivelmente o CISO/CSO) ou as pessoas mais responsáveis pela empresa (CEO ou conselho), mas para algumas empresas, o Chief Risk Officer pode ser um bom candidato.

Cada empresa escolhe por si mesma? Os reguladores devem decidir? Ou os reguladores devem deixar que cada empresa decida por conta própria quem será a pessoa responsável e informar esse título aos reguladores?

Jim Taylor, diretor de Produtos da fornecedora de segurança cibernética SecurID, argumenta que o gatilho deve acontecer ali mesmo no SOC. “Ter algo pingando em sua cerca não é um gatilho. Talvez seja o analista sênior, talvez seja o gerente do SOC”, disse Taylor. “É preciso haver culpabilidade, responsabilidade por essas coisas”.

Mas ter que tomar uma decisão muito cedo pode ser problemático. Relate uma violação prematuramente e você terá problemas. Relate uma violação tarde demais e você terá problemas. “Você está condenado se fizer e condenado se não fizer”, disse Taylor.

A verdade é que este material é difícil e deve ser difícil. Cada violação é diferente, cada empresa é diferente e regras de definição rígidas provavelmente criarão mais problemas do que soluções.

“A natureza de como a violação ocorreu é um fator tremendo sobre quando divulgá-la”, disse Alex Lisle, CTO da Kryptowire, outra empresa de segurança cibernética. “Se você está pensando nisso o suficiente para manter uma equipe forense, deve pensar seriamente em divulgá-la”.

Havia uma ótima fala no antigo programa de TV ‘Scrubs’, onde um médico encarregado de um laboratório de testes pergunta a alguém que quer um teste refeito: “Você acha que eu estava errado ou espera que eu esteja errado?” Essa linha pode muitas vezes entrar em jogo quando várias pessoas estão tentando determinar se a empresa realmente foi atacada. A equipe meio que sabe que foi atacada e espera que uma investigação mais aprofundada refute isso? Ou a equipe realmente não sabe?

É aí que um chefe de determinação da violação nomeado precisa intervir, com base na experiência e, honestamente, em um forte pressentimento. Algumas partes da segurança cibernética são pura ciência. Tomar uma decisão muito cedo sobre se os dados foram realmente violados geralmente não é.