.
Duas semanas após o ataque cibernético do Medibank, a pergunta que permanece sem resposta é: a empresa pagará um resgate?
O Medibank disse que determinou por meio de comunicações com o suposto hacker que os dados de todos os 3,9 milhões de clientes da empresa foram expostos. Os registros incluem informações pessoais como nomes, datas de nascimento, endereços e identidades de gênero, bem como números do Medicare e declarações de saúde.
O hacker alegou ter extraído cerca de 200 GB de arquivos e forneceu 1.000 registros à seguradora para provar que eles têm os dados reivindicados.
Além desses detalhes, o Medibank foi discreto sobre suas comunicações com o hacker. Ele não respondeu a perguntas sobre se pagou ou pagará um resgate para impedir a liberação dos dados online ou a venda dos dados a terceiros.
Richard Buckland, professor de cibercrime da UNSW, disse que o caso do Medibank era um dos poucos em que uma empresa deveria pagar o resgate.
“Este seria um dos casos muito raros em que acho que os custos de não pagar são tão extraordinariamente altos que provavelmente justificariam o custo do pagamento”, disse ele ao Guardian Australia.
“Isso está causando danos a pessoas inocentes que não tiveram nada a ver com a incompetência da organização em cuidar dos dados. Eles foram forçados a entregar esses dados e esse dano colateral, eu acho, é o que torna isso diferente.”
O conselho oficial do governo federal Australian Cyber Security Center é nunca pagar um resgate.
“Não há garantia de que você recuperará o acesso às suas informações, nem impedirá que elas sejam vendidas ou vazadas online. Você também pode ser alvo de outro ataque”, afirmou a agência.
Mas, na realidade, muitas empresas o fazem.
A empresa de segurança cibernética Sophos divulgou um relatório State of Ransomware em abril deste ano, que descobriu que na Austrália 43% das empresas pagaram resgates após ataques de ransomware, em comparação com 46% globalmente.
O ataque ao Medibank não é um ataque de ransomware, pois os sistemas do Medibank não são bloqueados por um invasor, mas o comportamento é o mesmo em termos de negociação dos dados obtidos.
Buckland disse que o Medibank deve procurar aconselhamento jurídico antes de fazer qualquer pagamento. Embora não seja ilegal que as empresas paguem um resgate, as empresas que o fazem podem infringir outras leis, como as que proíbem pagamentos a uma organização proibida – incluindo organizações terroristas e muitas organizações russas.
Geralmente as empresas não devem pagar resgates, disse Buckland.
“Acho que pagar um resgate permite que esse mercado floresça. É um daqueles casos de tragédia dos comuns, onde você faz algo que o beneficia, mas prejudica um pouco os outros.”
O Medibank disse à Bolsa de Valores australiana na quarta-feira que o impacto financeiro para a empresa seria entre US$ 25 milhões e US$ 35 milhões, sem incluir possíveis compensações de clientes ou custos regulatórios ou legais.
A empresa não indicou que isso cobriria os custos de pagamento de qualquer resgate. O Medibank disse aos investidores que o custo incluiria os custos de comunicação com o cliente, suporte especializado e custos de tecnologia e o custo para proteger as identidades dos clientes.
A empresa atribui esse custo ao fato de não ter seguro cibernético, o que o diretor financeiro do Medibank, Mark Roger, disse que se deve ao alto custo do seguro que “aumentou significativamente nos últimos dois anos”.
Roger disse que o Medibank não tinha certeza de que teria seus custos cobertos, mesmo que tivesse seguro cibernético.
Buckland disse que foi uma decisão “perigosa” da empresa não ter seguro cibernético, já que a seguradora também poderia ajudar a negociar. Ele sugeriu que o alto custo do seguro pode ser devido à forma como as empresas australianas são “mal protegidas”.
“É como o seguro contra inundações, o custo do seguro está subindo porque o risco está subindo.”
.
