Tim Brown será lembrado para sempre em 12 de dezembro de 2020.
Foi no mesmo dia que a empresa de software SolarWinds recebeu a notícia de que havia sido hackeada pela Rússia.
Brown, diretor de segurança da informação da SolarWinds, compreendeu imediatamente as implicações: qualquer um dos mais de 300 mil clientes globais da empresa também poderia ser afetado.
A exploração permitiu que os hackers acessassem remotamente os sistemas de clientes que instalaram o software de rede Orion da SolarWind, incluindo o Departamento do Tesouro dos EUA, a Administração Nacional de Telecomunicações e Informações do Departamento de Comércio dos EUA, juntamente com milhares de empresas e instituições governamentais.
Brown diz que estava “com adrenalina” nos primeiros dias após o ataque.
Foi durante os estágios iniciais da pandemia de Covid que o trabalho em tempo integral em casa era a norma, mas o e-mail da empresa estava comprometido e não podia ser usado para comunicação com os funcionários.
“Desistimos dos telefones e todos vieram ao escritório e fizemos testes de Covid”, diz Brown. “Perdi 25 quilos em cerca de 20 dias… apenas andando, andando, andando.”
Ele apareceu na CNN e no 60 Minutes, e em todos os principais jornais.
“O mundo está em chamas. Você está tentando divulgar informações e fazer com que as pessoas entendam o que é seguro e o que não é seguro.”
A empresa mudou para o e-mail Proton e Signal enquanto seu e-mail estava comprometido, diz Brown. Ele atendeu ligações de empresas e agências governamentais em todo o mundo, incluindo o Exército dos EUA e o programa de vacinas Operação Warp Speed Covid.
“Você tem o mundo que quer comunicação verbal e não comunicação escrita. E essa é uma lição importante: você pode escrever as coisas, mas eles querem conversar (com o diretor de segurança da informação)”, disse Brown, que falou na CyberCon de Melbourne na sexta-feira.
“Eles querem poder ouvir as cores do lado de fora, por isso é muito importante estar preparado para esse tipo de resposta.”
Como o ataque cibernético se desenrolou
O anúncio do hack veio por meio de um telefonema de Kevin Mandia, fundador da empresa de segurança cibernética Mandiant, para o então CEO da SolarWind, Kevin Thompson.
Mandia disse a Thompson que a SolarWinds “enviou código contaminado” para seu software Orion, que ajuda as organizações a monitorar interrupções em suas redes de computadores e servidores.
A exploração do Orion foi usada para atacar agências governamentais, disse Mandia a Thompson.
“Pudemos ver naquele código que (ele) não era nosso, então, quando o obtivemos, foi: ‘OK, isso é real’”, lembrou Brown.
A SolarWinds, com sede no Texas, determinou que 18.000 pessoas baixaram o produto sujo, que os hackers, mais tarde atribuídos à inteligência estrangeira russa, conseguiram inserir no Orion no ambiente de construção onde o código-fonte é transformado em software.
A notícia veio no domingo. A SolarWinds fez o anúncio antes da abertura do mercado de ações na segunda-feira.
A estimativa original de que até 18.000 clientes poderiam ser afetados foi posteriormente revisada para cerca de 100 agências governamentais e empresas.
“Teria sido bom saber disso desde o primeiro dia, mas essa era a verdade, não era?” diz Brown. “Não éramos realmente o objetivo. Éramos apenas um caminho para o objetivo.”
A SolarWinds contratou CrowdStrike, KPMG e o escritório de advocacia DLA Piper para lidar com a resposta e investigação.
Consequências: o ataque cardíaco
A SolarWinds interrompeu o trabalho em novos recursos nos seis meses seguintes, e sua equipe de 400 engenheiros se concentrou em sistemas e segurança para colocar a empresa de volta em pé.
“Nós realmente levamos a transparência a sério – como podemos garantir que as pessoas percebam (quais) os atores da ameaça (estão por aí), o que eles fazem, como fazem o reconhecimento, como eles então atacam (e) como eles saem.”
Brown diz que a taxa de renovação de clientes da empresa caiu para 80% nos primeiros meses após o incidente, mas desde então se recuperou para mais de 98%.
Mas então vieram as consequências jurídicas.
A administração Biden impôs sanções e expulsou diplomatas russos em 2021, em parte em resposta ao ataque.
A SolarWinds resolveu uma ação coletiva sobre o ataque de 2022 por US$ 26 milhões. A Securities and Exchange Commission (SEC) então entrou com uma ação judicial contra SolarWinds e Brown pessoalmente em outubro de 2023, acusando a empresa e Brown de enganar os investidores sobre suas alegações sobre proteções de segurança cibernética e de não divulgar vulnerabilidades conhecidas.
Brown estava em Zurique quando soube que estava sendo acusado.
“Quando subi uma colina, perdi o fôlego. Meus braços ficaram pesados, meu peito ficou tenso. Eu simplesmente não estava recebendo oxigênio suficiente”, diz ele. “Eu fiz uma coisa estúpida. Voei para casa… não conseguia andar do terminal até meu carro sem parar. É uma caminhada que já fiz milhares de vezes.”
Ele teve um ataque cardíaco. Ao chegar em casa, sua esposa o levou ao hospital, onde foi submetido a uma cirurgia. Desde então, ele se recuperou.
“O estresse continua aumentando e pensei que estava lidando bem com isso e não fui proativamente ao médico”, diz ele.
Brown diz que agora defende que as empresas que passam por incidentes semelhantes contratem psiquiatras para ajudar os funcionários a lidar com o estresse.
“O nível de estresse aumentou e depois ultrapassou o limite, mas o estresse continuou aumentando.”
Uma proposta de acordo conjunto confidencial com a SEC foi anunciada em julho, mas ainda não foi aprovada. A paralisação do governo dos EUA atrasou a conclusão do acordo.
Brown permaneceu na SolarWinds durante todo o processo.
“Aconteceu sob meu comando, é assim que vejo. Há razões para isso ter acontecido, ataques de um Estado-nação, etc., mas ainda assim aconteceu sob meu comando”, diz ele.
“Acho que sou teimoso. Mas era muito importante para nós passarmos por todo esse ciclo, então partir não era uma opção até que fosse feito.”
