AEPD aponta Mapfre como exemplo de resposta a ciberataque

A agência espanhola de Proteção de Dados investigou a sucessão de acontecimentos ligados a um ataque cibernético (malware) dirigido à Mapfre, em agosto de 2020, e face à inexistência de queixas (de terceiros) visando o grupo segurador, o organismo estatal decidiu arquivar o processo, tecendo avaliação positiva à forma como a companhia respondeu e geriu a crise.

Desde o momento da deteção do ciberataque, passando pela notificação às autoridades de proteção de dados a 16 de agosto, à restauração das ligações informáticas, a rapidez das diligências encetadas, a forma transparente como a seguradora informou o público e conduziu todo o processo são aspetos salientados pela Agência Española de Protección de Datos (AEPD), noticiou a Inese.es, entidade especializada em informação de seguros.

Na comunicação em que anuncia o arquivamento do processo, a Agência Española de Protección de Datos (AEPD) refere que, a 14 de dezembro de 2020, solicitou informação à Mapfre España sobre o incidente, de suspeito ransomware, direcionado aos servidores da companhia.

De acordo com a cronologia do incidente e os procedimentos adotados pela seguradora na resposta ao ciberataque, detalha um documento da AEPD, entre as 18h41 do dia 14 e o dia 16 de agosto, a Mapfre identificou a tentativa dos cibercriminosos executarem software malicioso (“ransomware Ragnar Locker”) e distribuição dos ficheiros de execução pelos servidores da companhia. Nas horas que seguiram e ao longo da jornada seguinte, foi detetada a falha de algumas aplicações e ativado o protocolo de segurança da Mapfre, que mobilizou o comité de crise, implementou os planos de contenção do ataque, contingência e continuidade de negócio em coordenação com parceiros de negócio.

Na manhã de 16 de agosto, enquanto a companhia averiguava a possível extensão do incidente às operações fora de Espanha e já se procurava restaurar ligações dos funcionários da companhia, o Instituto Nacional de Cibersegurança, a Direção Geral de Seguros e Fundos de Pensões, a Proteção de Dados e a comunicação social já haviam sido informados dos acontecimentos.

As medidas de segurança, não só em Espanha mas também nos restantes países onde opera e o pouco tempo que levou a restabelecer os serviços aos clientes e a qualidade com que o fez “não são habituais”, afere a agência espanhola de Proteção de Dados. A disponibilidade da Mapfre, de compensar todos os clientes que pudessem ter sido afetados pelo incidente, foi outro aspeto valorizado pela AEPD.

A gestão diligente, a rapidez da reposta e a transparência demonstradas pela Mapfre, junto de clientes, colaboradores e fornecedores possibilitaram “reação eficaz contra o ataque”, cita o Inese.

Segundo refere ainda o comunicado da AEPD, face ao volume de dados vulneráveis, o impacto da tentativa criminosa foi praticamente nulo. Na decisão que arquiva a investigação, a Proteção de Dados conclui que a Mapfre “dispunha de medidas técnicas e organizacionais razoáveis” para evitar um incidente daquela natureza.