Funções especializadas em cibersegurança estão se multiplicando, o que não é surpreendente dado o cenário de ameaças em evolução e o impacto devastador do ransomware em muitas empresas.
Entre essas funções, os negociadores de ransomware estão se tornando cada vez mais essenciais. Esses negociadores operam na linha de frente da defesa cibernética, interagindo diretamente com os cibercriminosos para mitigar o impacto dos ataques de ransomware nas organizações.
Os negociadores de ransomware possuem uma combinação única de conhecimento técnico, insight psicológico e habilidades de negociação que permite que eles naveguem no ambiente de alto risco das negociações de ransomware. O trabalho deles envolve entender as complexidades dos ataques de ransomware, avaliar a gravidade e o impacto potencial na organização, além de negociar termos que possam minimizar danos e recuperar dados criptografados.
Nesta sessão de perguntas e respostas exclusiva e esclarecedora, conversamos com Andrew Carr, diretor de programas de pós-graduação em cibersegurança e professor de cibersegurança na Utica University.
Carr passou muitos anos em funções de supervisão em organizações líderes, com experiência em análise forense digital, táticas de agente da ameaça, técnicas e procedimentos, negociações de ransomware, aplicação da privacidade de dados relativa a eventos de violação, considerações de auditoria financeira para incidentes cibernéticos, investigações de roubo de propriedade intelectual e rastreamento de criptomoedas.
Recebi meu diploma de bacharel e mestre em cibersegurança pela Utica University. Minha especialização foi em forense digital e, portanto, ao longo dos anos, obtive diversas certificações nessa área, que já expiraram. Atualmente, tenho as certificações GIAC Certified Incident Handler e CipherTrace Cryptocurrency Tracing Certified Examiner. Também participei de mais de 1.000 horas de treinamento na disciplina de forense digital e resposta a incidentes.
Minha primeira função foi como analista forense digital para um laboratório regional de crimes em Nova York. Antes disso, fiz estágio no laboratório de perícia criminal de um departamento de polícia local, então não segui o caminho que muitas pessoas trilham, começando em uma função na área de infraestrutura. Eu tinha um grande interesse por forense que se desenvolveu durante minha graduação, me dediquei totalmente a ela assim que me formei e nunca mais olhei para trás.
Uma negociação típica começa com ambas as partes buscando o resultado mais favorável para si, respeitando a integridade da outra parte e do processo. Infelizmente, as negociações de ransomware muitas vezes começam com o negociador e seu cliente em desvantagem desde o início.
Nessas situações, o grupo do ransomware geralmente tem uma vantagem significativa, pois tentam controlar a cadência e o foco das comunicações devido às necessidades urgentes da organização afetada de recuperar arquivos criptografados ou suprimir dados exfiltrados. Cabe ao negociador tentar recuperar o máximo de controle possível da situação e usar a comunicação estratégica para retomar o controle do ritmo das negociações, obter insights valiosos sobre o roubo de dados e, em última análise, garantir um acordo que proporcione ao seu cliente o melhor resultado possível, considerando a situação.
No geral, é uma batalha difícil, mas com insight e experiência suficientes, os negociadores podem frequentemente garantir condições aceitáveis para seus clientes e, ao mesmo tempo, minimizar sua exposição ao risco.
A habilidade mais valiosa que aprendi é a capacidade de resolver problemas de forma rápida. A resposta a incidentes ocorre em um ritmo acelerado e, muitas vezes, lida com novos ataques e ferramentas. Você aprende rápido que precisa pensar de maneira crítica e descobrir as coisas na hora.
O mesmo se aplica às negociações de ransomware. Muitas vezes, você tenta equilibrar simultaneamente as necessidades de uma organização, como descriptografia, exfiltração de dados e insights de vetores de ataque, com os riscos inerentes às sanções federais, origens e afiliações de grupos de ameaça. Frequentemente, nos deparamos com um novo grupo e precisamos solucionar problemas tanto do ponto de vista da negociação quanto do pagamento, buscando maneiras de garantir que nosso cliente possa retomar suas operações normais sem se expor ao risco de violar sanções. Pode ser uma tarefa difícil sem o envolvimento das pessoas certas.
Habilidades sólidas de comunicação oral e escrita são essenciais para o sucesso em negociações de ransomware. Você frequentemente se depara com situações envolvendo grandes somas de dinheiro e tópicos altamente técnicos, em prazos acelerados, com pessoas cuja língua materna é diferente da sua. Portanto, sua comunicação deve ser concisa, precisa e bem transmitida. Até mesmo pequenos problemas na sua comunicação podem criar problemas significativos mais tarde no processo de negociação.
Essas mesmas habilidades são importantes na interação com o cliente. Uma organização geralmente está no seu nível mais baixo durante uma negociação de ransomware, e as pessoas geralmente estão exaustas, estressadas e confusas. É importante que o negociador de ransomware transmita confiança liderando a discussão, antecipando as necessidades da organização e aderindo ao mesmo estilo de comunicação claro que o torna um bom negociador.
As organizações estão confiando em nós para fazer o melhor para elas, e devemos sempre garantir que se sintam ouvidas e compreendidas, ao mesmo tempo em que as ajudamos a entender completamente um processo que pode ser totalmente estranho para elas.
O sucesso das negociações de uma organização em casos de ransomware depende, em grande parte, da experiência das pessoas que negociam em seu nome. É imprescindível que uma organização procure uma empresa com experiência em negociações. Tentar negociar por conta própria pode ter consequências graves que poderiam ser evitadas com a ajuda das pessoas certas. Seguradoras de cibersegurança, escritórios de advocacia cibernética e provedores de resposta a incidentes de boa reputação normalmente podem fornecer recomendações de qualidade sobre quem seria uma boa opção para suas negociações, mas a chave é envolvê-los o mais rápido possível.
O ransomware é uma parte infeliz da nova realidade do cenário de negócios, mas existem pessoas que podem ajudar você a percorrer esse difícil caminho.