Ataque cibernético ao CICV: Compartilhando a nossa análise

Um mês se passou desde que nós do Comitê Internacional da Cruz Vermelha (CICV) determinamos que servidores que hospedam dados pessoais de mais de 515 mil pessoas no mundo todo foram hackeados.

As nossas equipes estão trabalhando arduamente para entender como ocorreu esse ataque, as suas ramificações, como podemos melhorar os nossos sistemas de segurança e como comunicar os fatos dessa situação deplorável às pessoas a quem devemos proteger e ajudar.

Sentimos que, como organização humanitária, temos a responsabilidade perante os nossos parceiros e as pessoas a quem atendemos de compartilhar o que pudermos sobre esse ataque inaceitável.

Hoje estamos compartilhando informações adicionais sobre essa violação como parte do nosso firme compromisso para com as pessoas que procuramos proteger e ajudar. É uma maneira pela qual estamos nos esforçando para ganhar a sua confiança contínua.

Primeiro gostaria de ressaltar um fato estabelecido: este foi um ataque sofisticado — um ato criminoso — que violou dados humanitários confidenciais. Sabemos que o ataque foi direcionado porque os invasores criaram um código projetado exclusivamente para execução nos servidores do CICV em questão, uma técnica que acreditamos ter sido criada para proteger as atividades dos hackers contra a detecção e as investigações forenses subsequentes.

Os hackers aproveitaram uma vulnerabilidade que nenhum dos nossos sistemas de defesa cibernética detectou e, uma vez dentro da nossa rede, implementaram técnicas para se fazer passar por usuários legítimos. Quando essa infiltração foi identificada, fizemos alterações imediatas em alguns dos processos e ferramentas, e estamos acelerando as atividades já planejadas como parte do nosso programa de aprimoramento de segurança cibernética.

Compartilhar tais informações não é um exercício confortável, mas acredito que somente sendo transparentes sobre os nossos desafios podemos aprender com eles e aprimorar as nossas políticas e práticas.

Estamos trabalhando lado a lado com os nossos parceiros das Sociedades Nacionais da Cruz Vermelha e do Crescente Vermelho do mundo todo em maneiras de informar melhor as pessoas cujos dados foram violados. A nossa principal preocupação é mitigar os riscos que elas podem enfrentar. Estamos fazendo isso por meio de telefonemas, linhas diretas, anúncios públicos, cartas e, em alguns casos, visitas pessoais a comunidades remotas.

As pessoas afetadas incluem pessoas desaparecidas e as suas famílias, pessoas detidas e outras pessoas que recebem serviços do Movimento da Cruz Vermelha e do Crescente Vermelho como resultado de conflitos armados, desastres naturais ou migração. Conseguimos garantir que o trabalho vital de localização de familiares desaparecidos continue, ainda que em níveis mínimos de serviço, por meio de soluções de baixa tecnologia (p. ex.: usando planilhas simples), enquanto trabalhamos para retomar o serviço completo com recursos de segurança aprimorados.

Trabalhar em desastres naturais e nas linhas de frente do conflito traz consigo um risco real. O enfoque neutro e imparcial do Movimento é fundamental para poder trabalhar com segurança nesses contextos. Estabelecemos contato com autoridades governamentais e grupos armados para minimizar os perigos enfrentados pelos funcionários e voluntários do nosso Movimento, instalações médicas, veículos e outros ativos físicos. Temos o mesmo enfoque tanto no mundo digital quanto no físico: não devemos ser alvo em nenhum dos casos.

Temos a esperança de que este ataque aos dados de pessoas vulneráveis seja um catalisador para a mudança. Agora, fortaleceremos o nosso envolvimento com atores estatais e não estatais para exigir explicitamente que a proteção da missão humanitária do Movimento da Cruz Vermelha e do Crescente Vermelho se estenda aos nossos ativos de dados e infraestrutura. Acreditamos que é fundamental ter um firme consenso – em palavras e ações – de que os dados humanitários não devem ser atacados nunca.

Gostaria de encerrar dizendo o seguinte às pessoas que atendemos e aos nossos parceiros do Movimento Internacional da Cruz Vermelha e do Crescente Vermelho, que nos confiam os seus dados: Lamento profundamente que os seus dados tenham sido violados neste ataque inaceitável. Prometo que faremos tudo o que estiver ao nosso alcance para aumentar ainda mais a proteção dos nossos dados hoje e no futuro e, crucialmente, pressionar pela proteção da ação humanitária no espaço digital.