Ainda demorará algum tempo para que corporações de todo o mundo calculem os prejuízos causados pelo que foi considerado o maior ataque cibernético da história.

Afinal, em menos de vinte e quatro horas foram aproximadamente 176 países afetados e várias centenas de milhares de computadores parados em uma tela pedindo US$ 300,00 de resgate para ter os dados devolvidos.

Tão impressionante quanto ao impacto causado pelo WannaCry é o fato de não termos, ao longo da história, aprendido o que normas como PCI-DSS e a série 27000 da norma ISO nos recomendam: “mantenha seu computador sempre atualizado”. E não é à toa. A partir do momento que um fabricante coloca à disposição dos consumidores uma atualização de segurança, aquilo que era de conhecimento de meia dúzia de pessoas que podem viver trancadas em laboratórios lembrando personagens do cinema, se torna público.

O mundo inteiro, começa a saber que aquele dispositivo ou sistema possui uma determinada falha de segurança. É como se a construtora do seu prédio anunciasse na TV em horário nobre que todos os prédios construídos por ela não têm tranca nos portões. Basta apenas pensar o quão feliz aquele ladrão que circunda a vizinhança ficará com esta informação. E vamos registrar que, no caso WannaCry este anúncio foi feito em 16 de Março de 2017. Isso mesmo, quase dois meses antes do ataque, a Microsoft anunciou a falha de segurança.

O que deveria ser uma corrida contra o tempo vira (no caso de vulnerabilidades graves), na prática, um emaranhado de desculpas corporativas. Desde “tenho outras prioridades” até “o meu negócio é crítico e não posso parar jamais”, passando pelo famoso “eu não tenho budget” são ouvidos pelos profissionais de Segurança da Informação quando o assunto é gestão de vulnerabilidades. É importante lembrar que não é a primeira vez que um malware causa prejuízo em escala global: Conficker e Slammer, são exemplos de problemas acontecidos em um passado não tão longínquo, em situação análoga ao WannaCry que causaram muita dor de cabeça aos profissionais de TI.

O que poucas organizações percebem é que manter seus dispositivos atualizados pode ser um dos controles mais baratos que existem. Comumente não é necessária aquisição de nenhuma nova tecnologia ou produto para manter o ambiente atualizado. Os próprios fabricantes de tecnologia já dispõem de mecanismos (em vários casos até mesmo automáticos) para manter os seus dispositivos livres de problemas.

Cabe às empresas apenas planejar a forma com que estes itens seriam incorporados ao seus tumultuados cotidianos (causando o menor impacto possível), além de perceber que, neste caso, é realmente mais barato prevenir do que remediar.

Wesney Silva é gerente do escritório de projetos da CIPHER e coordena o acompanhamento da execução de todas a solução oferecidas para os clientes da companhia