Socorro, o meu hotel foi Sequestrado!
No meu artigo Venha de lá o Ciberhoteleiro!, prometi abordar os temas da continuidade de negócio, segurança e privacidade no âmbito da cibersegurança. Temo até que por esta altura já me apelidem de “O paranoico de serviço”. Não porque me queiram menosprezar ou a outros que, como eu, padecem desta condição clínica, mas por parecer corresponder ao comportamento caracterizado por paranoia, com um padrão invasivo de desconfiança e suspeitas generalizadas em relação aos outros, interpretando as suas intenções como malévolas.(Vou já avisando que este artigo vai ser extenso. Apenas tento contribuir para que os nossos ciberhoteleiros lidem melhor com uma situação cada vez mais comum.)
Imaginem então que estão no pico da vossa época hoteleira e que (em função do excelente trabalho realizado) a vossa magnífica unidade hoteleira está completamente ocupada. Sem qualquer aviso, os vossos hóspedes deixam de conseguir entrar nos quartos porque as fechaduras eletrónicas não funcionam, o vosso sistema de reservas e de gestão fica bloqueado, e existe uma mensagem exigindo o pagamento de uma quantia para desbloquear a situação.
Parece absurdo, certo? Não, não é absurdo. É uma realidade!
Em janeiro passado aconteceu no Romantik Seehotel Jaegerwirt, na Áustria, uma unidade hoteleira de quatro estrelas junto a um lago nos Alpes. Após pagar 1.500,00 € aos cibercriminosos, o seu diretor resolveu tornar o caso público.
Podendo, à primeira vista, tratar-se de um caso típico de Ransomware, o que o torna diferente é que este pode muito bem ser o primeiro caso documentado de Ransomware of Things (RoT), também conhecido por Jackware. Estes termos são utilizados quando se pretende enquadrar Malware que tem como alvo os dispositivos da internet das coisas (IoT), exigindo um determinado valor para ‘resgatar’ os dispositivos e restaurar seu normal funcionamento. Com cada vez mais ‘coisas’ ligadas à internet, este é um vetor de ataque em crescimento.
No entanto, e de qualquer forma, tudo isto cai na mesma categoria e é preciso começar por entender que o que é uma ameaça para uns é um negócio para outros.
Nos últimos tempos, os cibercriminosos conseguiram infetar milhões de computadores, extorquindo dinheiro aos seus utilizadores e possibilitando que o ransomware atingisse novos níveis de maturidade e de ameaça, sendo estes grupos de crime organizado guiados por uma moderna ‘corrida ao ouro’.
Neste momento, foi detetada uma alteração de comportamento, passando do ataque indiscriminado para o ataque orientado a instituições e empresas com alvos precisos, denotando uma perícia e técnica com características de ciberespionagem.
Por outro lado, alguns destes grupos ainda disponibilizam ransomware como um serviço (RaaS), alargando a sua base de receita a outros criminosos que, com poucos conhecimentos técnicos, queiram entrar no ‘negócio’ – negócio este que o FBI calcula que em 2016 tenha rendido mil milhões de dólares aos grupos de cibercriminosos, tendo o valor médio por ‘resgate’ duplicado em apenas dois anos.
Importa ainda tratar dos vetores de ataque – forma como a infeção atinge o seu alvo – que tal como a atividade em si, têm sofrido evoluções.
O mais conhecido e talvez o que os hoteleiros mais facilmente reconhecem é o e-mail malicioso, normalmente contendo ficheiros em anexo que, uma vez abertos, libertam a infeção e deixam a máquina à mercê do atacante. Claro está, que os atacantes tentam que estes e-mails pareçam o mais legítimos possível, e é comum encontrar referências a faturas por pagar, envio de encomendas ou pedidos para confirmar detalhes de determinada conta. Por sorte, grande parte está escrita em inglês, e só por piada sugiro que teste as suas capacidades de identificação de e-mails maliciosos aqui.
Existem ainda os que se atrevem a tentar o português, e que na sua maioria são facilmente detetados em função da qualidade semântica (ou falta dela) ou da ortografia utilizada. No entanto, muita atenção porque ultimamente têm circulado alguns muito bem ‘montados’ e escritos em bom português.
Outro vetor de ataque utilizado são os Exploit Kits ou kits de exploração de vulnerabilidades (EKs), em que os atacantes aproveitam vulnerabilidades nos servidores ou nas aplicações para injetar estas ‘armas’ permitindo-lhes, por exemplo, inserir ligações (links) falsos em e-mails, em posts nas redes sociais ou em publicidade web e redirecionar tráfego para websites falsos distribuindo assim o seu conteúdo malicioso.
Existem ainda mais alguns vetores de ataque, que começam a ser abandonados em detrimento daquele que se pensa vir a ter um rápido crescimento durante 2017, como vetor e plataforma de ataque: o dispositivo IoT (internet das coisas), ou seja os dispositivos ligados à internet. Entre os carros, os telemóveis, circuitos de CCTV, smartTV, sistemas HAVAC, frigoríficos e máquinas de lavar, etc., assistimos recentemente, seja pela apresentação de provas de conceito, seja em casos reais, à utilização destas plataformas IoT para a realização de ataques. O baixo nível de segurança destas plataformas, contudo, proporciona as condições para uma tempestade perfeita nos próximos anos, permitindo aos cibercriminosos facilmente espalhar os seus ‘conteúdos’ ou coordenar ataques de larga escala.
Voltando ao nosso exemplo austríaco, analisemos as opções e decisões que o seu diretor teve de enfrentar.
Provavelmente, começou por considerar contratar uma empresa de cibersegurança para responder e mitigar a situação restabelecendo a operação, mas rapidamente percebeu que seria bastante mais caro do que pagar o resgate. De seguida, pode ter ponderado substituir os sistemas, opção que mais uma vez seria muito mais cara que pagar o resgate, para além de não ser de rápida implementação. Dada a realidade dos factos, a solução mais eficiente foi então pagar o resgate e será esta a realidade futura caso as coisas não se alterem e os cibercriminosos percebam que podem extorquir muito dinheiro com ela.
Sejamos práticos: o ransomware não é coisa nova na Hotelaria, onde já assisti a alguns casos onde a perda foi praticamente total. No entanto até agora o alvo eram os dados e neste caso podem haver cópias de segurança. Com o Ransomware of Things o objetivo passa a ser paralisar um equipamento ou sistema até que seja pago o resgate, o que - no caso das empresas - significa parar um negócio, e no caso da Hotelaria sabemos o que significa. Assim, pagar pode ser uma opção perfeitamente compreensível – se para recuperar milhões de receita tenho de pagar umas centenas de milhar, todos começamos a pensar se não será mais lógico pagar o resgate.
Espero que por esta altura já tenha conseguido transmitir a ideia de que os cartões de crédito não são o único risco e que é necessária uma cultura de cibersegurança nos hotéis. Para mim, a questão aqui é com quem preferem fazer ‘negócio’: com os cibercriminosos ou com as empresas?
É claro que, em alguma altura se pode chegar à conclusão de que pagar é uma forma de ‘resolver’ a situação, mas estar a fazê-lo porque não se atendeu aos riscos e não se investiu dinheiro e tempo na segurança dos sistemas da unidade hoteleira e, por consequência, dos seus sistemas, colaboradores e hóspedes, é perpetuar a situação.
Um ambiente seguro, seja ele físico ou digital, depende em primeira instância das pessoas. Sendo esta uma componente essencial da prevenção e deteção de ameaças, é preciso ensinar, formar e treinar os colaboradores da sua unidade hoteleira.
A segurança informática numa unidade hoteleira deve ter uma estratégia e objetivos concretos, devendo existir uma análise de risco para cada uma das componentes tecnológicas a considerar. Assim, para prevenir e detetar, seja o que for, implica antes pensar, definir e aplicar.
Quando já existe uma estratégia, objetivos e política definidos para os sistemas de informação então resta aplicar a tecnologia tendo em conta o que se definiu e os riscos associados.
A maior parte dos rescaldos realizados após um ataque revelaram que foram aproveitadas várias deficiências nos sistemas, tais como ausência de atualizações, implementação e configuração dos sistemas sem alteração das palavras-passe por defeito e deficiente aplicação de políticas e procedimentos internos. A defesa do seu hotel passa por coisas tão simples como:
Lembre-se que normalmente o cibercriminoso precisa da ‘colaboração’ dos utilizadores para atingir o seu objetivo – clicar em alguma coisa, visitar um endereço web ou fazer um download.
De volta aos acontecimentos na Áustria, e aos 1.500,00 € que custou resolver a situação. O diretor hoteleiro confirmou já ter sofrido três ataques anteriormente, mas que desta vez os ‘amigos do alheio cibernético’ conseguiram bloquear os sistemas, nomeadamente as fechaduras, impossibilitando a entrada dos hóspedes nos seus alojamentos e afetando fortemente as operações, vendo-se sem outra opção senão pagar pois nem polícia nem seguro ajudam nestes casos.
A ajuda policial pode acontecer, mas está sempre mais orientada para a proteção de outro tipo de infraestrutura do que a de um hotel. No entanto, a apresentação de queixa deve sempre acontecer. Relativamente aos seguros, começam a aparecer, sobretudo no estrangeiro, algumas apólices para empresas com cobertura para incidentes cibernéticos, em que a seguradora disponibiliza ajuda profissional na resolução das situações, mas como devem calcular não são propriamente baratas, devendo ser considerado o custo-benefício da solução.
No entanto, o nosso diretor austríaco afirmou ainda que após o pagamento do respetivo resgate, aconteceram mais ataques e que um quarto ataque foi repelido pois os sistemas já tinham sido atualizados, novos standards de segurança tinham sido implementados e algumas das redes reorganizadas.
Não querendo julgar este diretor hoteleiro, até porque obter orçamento para a cibersegurança é sempre uma batalha, a verdade é que só à terceira vez é que esta unidade hoteleira implementou a segurança necessária para impedir as consequências deste ataque.
O custo deste problema não foi de apenas 1.500,00 € (mais o que terá sido pago anteriormente). O verdadeiro custo de um ataque vai muito para além disso:
Assim, e porque “mais vale prevenir do que remediar”, meu caro ciberhoteleiro, lute por um orçamento dedicado à proteção da produtividade, continuidade, reputação e segurança do negócio, que inclua a capacidade de lidar com o “antes que aconteça” e assim dificultar e muitas vezes impedir um sequestro no seu hotel.
Lorem ipsum dolor sit amet, consectetur adipiscing elit. Suspendisse varius enim in eros elementum tristique. Duis cursus, mi quis viverra ornare, eros dolor interdum nulla, ut commodo diam libero vitae erat. Aenean faucibus nibh et justo cursus id rutrum lorem imperdiet. Nunc ut sem vitae risus tristique posuere.
QUER SABER MAIS?