Negociar com cibercriminosos não é recomendado por uma série de razões, tanto práticas quanto éticas. Primeiro, ao pagar ou negociar com criminosos, as organizações estão financiando atividades ilícitas, o que incentiva a continuidade e o aumento desse tipo de crime. Além disso, não há garantias de que os cibercriminosos cumprirão com suas promessas após o pagamento, como restaurar o acesso aos dados ou interromper a divulgação de informações sensíveis.
Outro fator crucial é que, ao demonstrar disposição para pagar, a organização pode se tornar um alvo recorrente para novos ataques. Isso pode levar a uma espiral de extorsões futuras, não apenas pela mesma entidade criminosa, mas também por outros grupos que possam descobrir essa vulnerabilidade.
Do ponto de vista legal, em muitos países, o pagamento de resgates pode violar leis locais ou internacionais, especialmente se os fundos forem canalizados para organizações terroristas ou outras entidades sancionadas. Por fim, confiar em criminosos para resolver uma crise de segurança cibernética demonstra uma fragilidade nos processos de gerenciamento de incidentes e pode comprometer a reputação da empresa, afetando negativamente a confiança de clientes, parceiros e investidores.
"Segundo o artigo da CISO Advisor – “Investigações da Operação Kronos revelou ainda que o LockBit mantinha dados roubados mesmo após o pagamento de resgates, desmascarando a falsa promessa de exclusão de informações. A análise do código-fonte do grupo mostrou que apenas um administrador específico poderia remover os dados manualmente, e as vítimas raramente tinham garantias de que suas informações seriam destruídas, confirmando os riscos de negociar com cibercriminosos”.
O maior motivador para as empresas pagarem cibercriminosos em ataques de ransomware é a pressão para restaurar rapidamente o acesso aos seus sistemas e dados críticos, minimizando o impacto operacional e financeiro. O tempo de inatividade causado pelo ransomware pode resultar em enormes perdas financeiras, interrupções nos serviços, impacto na produção e até danos à reputação da empresa.
Quando uma organização não tem backups atualizados ou não consegue restaurar rapidamente seus sistemas, a tentação de pagar o resgate aumenta, já que essa pode parecer a solução mais rápida para voltar à normalidade.
Sem dúvidas as empresas que prestam serviços essenciais podem sentir a pressão externa de clientes e parceiros, levando-as a buscar uma solução rápida para evitar danos a essas relações. Sem um plano de resposta a incidentes cibernéticos eficaz muitas vezes se encontram despreparadas para lidar com um ataque, e pagar o resgate pode parecer a única saída para mitigar os danos rapidamente. Com o aumento das técnicas de "double extortion" (extorsão dupla), onde os atacantes não apenas bloqueiam os sistemas, mas também ameaçam divulgar ou vender dados roubados, as empresas podem ser pressionadas a pagar para evitar violações de dados e multas regulatórias. Esses fatores fazem com que muitas empresas optem por pagar o resgate, mesmo sabendo que isso não garante a recuperação dos dados ou a proteção contra futuros ataques.
Em vez de negociar, as empresas devem investir em medidas preventivas robustas, como backups frequentes, soluções de segurança avançadas e um plano de resposta a incidentes bem estruturado.
O foco deve estar em mitigar o impacto do ataque e restaurar as operações de forma independente, sem depender de cibercriminosos.
Por tanto o pagamento de um resgate em um ataque de ransomware pode parecer uma solução imediata para restaurar sistemas e dados, mas essa escolha traz consequências sérias e duradouras para a organização. Ao pagar, a empresa incentiva atividades criminosas, aumentando a probabilidade de futuros ataques, não apenas contra ela, mas contra outras organizações. Além disso, não há garantias de que os dados serão totalmente recuperados ou de que os criminosos não exploraram ou compartilharam informações sensíveis. A empresa também corre o risco de violar regulamentações, especialmente se os fundos forem direcionados a grupos sancionados, expondo-a a penalidades legais e reputacionais.
O foco deve estar em mitigar o impacto do ataque e restaurar as operações de forma independente, sem depender de cibercriminosos. Citando a Artigo 46 da LGPD exige que as empresas adotem medidas de segurança adequadas para proteger dados pessoais contra acessos não autorizados e situações acidentais ou ilícitas de destruição, perda, alteração ou difusão. Ao pagar um resgate, a empresa pode estar admitindo que essas medidas de proteção foram insuficientes. Dados pessoais que forem comprometidos e divulgados, a empresa deve notificar a Autoridade Nacional de Proteção de Dados (ANPD) e os titulares dos dados afetados. O pagamento de resgate não exime a empresa dessa obrigação. Se os dados não forem protegidos adequadamente, a empresa poderá enfrentar sanções, como advertências, multas e até a suspensão de suas atividades relacionadas ao tratamento de dados.
Como consequência se o pagamento for realizado, e os dados pessoais forem vazados ou divulgados pelos criminosos, a organização poderá enfrentar multas de até 2% do faturamento anual, limitado a R$ 50 milhões por infração.
Em vez de optar por pagar, as organizações devem se concentrar em fortalecer suas defesas cibernéticas, adotar práticas de backup eficazes, e implementar um plano robusto de resposta a incidentes para mitigar os danos de futuros ataques.
Na sua empresa, qual seria a escolha? vale a pena pagar?.