Backup Contra Ransomware na Contabilidade: O Protocolo 3-2-1 que Salva Escritórios

Existe uma frase que resume o pior dia da vida de um sócio de escritório contábil: “o backup também foi criptografado”. É a frase que transforma um incidente de segurança em uma catástrofe de negócio. O escritório até tinha backup — rodava todo dia para um NAS na rede. O problema é que, quando o ransomware entrou, ele encontrou esse NAS acessível como qualquer outra pasta e criptografou as cópias junto com os dados originais. Sobrou nada.

Esse é o ponto que quase todo escritório entende tarde demais: ter backup não é o mesmo que estar protegido contra ransomware. Um backup comum protege contra o HD que queima, contra o arquivo apagado por engano, contra o servidor que morre. Não protege contra um atacante que entrou na rede e está caçando ativamente as suas cópias para destruí-las antes de pedir o resgate. Contra ransomware, o backup precisa ser de um tipo diferente.

Já falamos de backup de forma geral em outro post. Aqui o recorte é específico: como estruturar backup para sobreviver a um ataque de ransomware real, usando o protocolo 3-2-1 (e sua versão moderna) e o conceito de imutabilidade. Se o seu escritório já tem “algum backup” mas você não sabe dizer se ele resistiria a um ataque, este post é para você.

Ransomware e escritórios contábeis: por que os ataques aumentaram e quem está na mira

Escritórios contábeis subiram na lista de alvos por um motivo simples: são cofres de dados sensíveis com baixa tolerância a ficar parados. CPFs, CNPJs, folhas de pagamento, declarações de IR, certificados digitais — tudo concentrado num só lugar. E, no meio de um fechamento, com prazos legais correndo e clientes cobrando, um escritório paralisado é um alvo que tende a pagar rápido para voltar a operar. Para o criminoso, é o cenário ideal.

Os ataques também ficaram mais fáceis de executar. O ransomware virou serviço: grupos vendem a estrutura pronta para afiliados aplicarem o golpe. E os vetores de entrada se sofisticaram — não é mais só o e-mail com anexo, é a engenharia social bem feita, inclusive por dentro de ferramentas corporativas, como mostramos no post sobre engenharia social via Microsoft Teams. O atacante convence alguém a abrir a porta, e a partir daí ele se move pela rede procurando os dados — e os backups.

É importante entender a sequência do ataque moderno, porque ela explica por que o backup comum falha: o criminoso primeiro explora a rede, mapeia onde estão os dados e as cópias, muitas vezes fica dias em silêncio, e só então dispara a criptografia — de tudo ao mesmo tempo, incluindo o NAS de backup que estava ali, montado e acessível. Quando o alerta soa, já é tarde. Por isso a defesa não pode depender de um backup que o atacante alcança.

O problema do backup convencional: por que o NAS local não salva contra ransomware

O backup convencional foi pensado para um mundo de falhas acidentais, não de adversários ativos. Um NAS na rede local, com uma pasta compartilhada onde as cópias caem todo dia, resolve muito bem o HD que queima. Mas ele tem uma fragilidade fatal contra ransomware: ele está acessível. Se está montado como unidade de rede, se o servidor consegue escrever nele, então o ransomware que comprometeu o servidor também consegue — e vai criptografar as cópias com o mesmo comando que criptografa o resto.

O mesmo vale para o backup em nuvem mal configurado. Sincronizar uma pasta com um serviço de nuvem não é backup — é replicação. Se o arquivo é criptografado localmente, a versão criptografada é sincronizada para a nuvem, sobrescrevendo a boa. Você “tem tudo na nuvem”, mas tudo na nuvem está criptografado também. Backup de verdade guarda versões e mantém cópias que o processo comprometido não consegue alterar.

A conclusão incômoda é que o backup que a maioria dos escritórios tem — cópia diária num NAS ou numa pasta sincronizada — é exatamente o tipo de backup que o ransomware foi feito para derrotar. Não é questão de ter backup; é questão de ter o backup certo, estruturado para que uma parte dele esteja fora do alcance de qualquer coisa que rode na rede.

O protocolo 3-2-1 explicado de forma prática para escritórios contábeis

O protocolo 3-2-1 é a regra clássica de backup, e ela existe justamente para eliminar pontos únicos de falha. Traduzida para o escritório contábil, ela diz: mantenha 3 cópias dos seus dados (a original mais duas cópias de backup), em 2 tipos de mídia diferentes (por exemplo, um disco local e a nuvem), com 1 cópia fora do escritório (offsite). A ideia é que nenhum evento único — incêndio, furto, falha de disco, ataque — consiga atingir todas as cópias ao mesmo tempo.

Mas o 3-2-1 clássico, sozinho, ainda não vence o ransomware moderno, porque uma cópia offsite acessível pela rede continua alcançável pelo atacante. Por isso a versão que a Altcom aplica é a 3-2-1-1-0: 3 cópias, 2 mídias, 1 offsite, 1 cópia offline ou imutável (fora do alcance de qualquer processo na rede), e 0 erros verificados — ou seja, backups cujo teste de restauração confirmou que funcionam. Esses dois números finais são o que transforma a regra antiga numa defesa real contra ransomware.

Na prática, para um escritório com servidor rodando o sistema contábil, isso se traduz em: uma cópia local para restauração rápida do dia a dia, uma cópia em nuvem offsite, e uma cópia imutável que nem o administrador consegue apagar dentro do período de retenção. Três camadas, cada uma cobrindo a falha da anterior.

Backup imutável: o conceito que muda tudo (e o que significa para o Domínio, Alterdata e Questor)

Imutabilidade é o conceito que vira o jogo. Um backup imutável é uma cópia que, uma vez gravada, não pode ser alterada nem apagada por ninguém — nem pelo ransomware, nem por um administrador com credencial roubada, nem por engano — até o fim de um período de retenção definido. É como um cofre com temporizador: gravou, trancou, e não abre para escrita até a data combinada. Se o ransomware tentar criptografar essa cópia, simplesmente não consegue: o armazenamento recusa a alteração.

É exatamente esse recurso que soluções como o Acronis Cyber Protect — que a Altcom trabalha como parceira — oferecem: backups imutáveis integrados à proteção do endpoint. A vantagem de unir as duas coisas é que a última linha de defesa (a cópia intocável) e a primeira (a detecção no endpoint) ficam na mesma plataforma, o que fecha o ciclo e simplifica a gestão. O backup imutável é a apólice que garante que, mesmo se todo o resto falhar, existe uma cópia limpa de onde recomeçar.

Na prática dos sistemas contábeis, o backup imutável precisa cobrir os dados que realmente importam: as bases de dados. Isso significa a base Sybase SQL Anywhere do Domínio — cujos detalhes de nuvem e banco discutimos no post sobre Domínio Sistemas em nuvem —, as bases Firebird do Alterdata e do Fortes, e a base SQL Server do Questor. O backup dessas bases, gerado de forma consistente e enviado para armazenamento imutável, é o que garante que, depois de um ataque, o escritório reconstrói a contabilidade dos clientes a partir de uma cópia que o criminoso não conseguiu tocar.

RTO real: quanto tempo leva para recuperar um escritório contábil após ataque

RTO significa Recovery Time Objective — o tempo que leva para voltar a operar depois do desastre. É a métrica que ninguém pensa até precisar, e que faz toda a diferença. Ter a cópia imutável garante que você vai recuperar; o RTO define em quanto tempo. E, para um escritório contábil em fechamento, cada hora parada é obrigação atrasada e cliente ligando.

O RTO depende de três coisas: de onde a cópia precisa vir (restaurar de um disco local é minutos; baixar terabytes da nuvem pode ser muitas horas), quão organizada está a rotina de recuperação, e se as pessoas sabem executá-la. Um escritório com uma cópia local limpa e um procedimento testado pode voltar a operar em poucas horas. Um escritório que precisa baixar tudo da nuvem, reinstalar sistemas do zero e descobrir a senha do banco na hora pode levar dias. A diferença não é o valor gasto em backup — é o planejamento.

Por isso o desenho correto combina camadas: a cópia local para RTO curto no dia a dia, e a cópia imutável offsite como garantia final quando a local também for comprometida. E vale lembrar que o backup é a última linha de defesa — antes dele vem a detecção que impede o ataque de chegar tão longe, assunto que tratamos no post sobre EDR vs antivírus. Backup e EDR não competem: o EDR reduz a chance de precisar do backup, e o backup garante a sobrevivência quando o EDR não foi suficiente.

Testando o backup: o passo que ninguém faz (e como fazer em 30 minutos)

O “0” do 3-2-1-1-0 — zero erros verificados — é o passo mais ignorado e o mais importante. Backup que nunca foi restaurado não é backup, é esperança. A quantidade de escritórios que descobriram, no dia do ataque, que o backup estava corrompido, ou que faltava a base do sistema, ou que ninguém tinha a senha para restaurar, é assustadora. E tudo isso é evitável com um teste simples.

O teste de restauração, feito direito, leva pouco tempo e cabe numa rotina mensal. O caminho é: pegar a cópia de backup mais recente, restaurá-la num ambiente de teste separado (não em produção), subir o sistema contábil sobre essa base e abrir um cliente qualquer para confirmar que os dados estão íntegros e atuais. Se abriu e os dados estão lá, o backup funciona. Se não abriu, você acabou de descobrir um problema num dia tranquilo, e não no meio de um ataque.

Esse teste deveria ser tão rotineiro quanto conferir se a porta do escritório está trancada à noite. Meia hora por mês para ter certeza de que, no pior dia possível, existe um caminho de volta. É o melhor retorno sobre investimento de tempo em toda a TI de um escritório contábil.

Conclusão

Backup contra ransomware não é o backup que a maioria dos escritórios tem. É um backup estruturado para que o atacante não alcance todas as cópias: três cópias, dois tipos de mídia, uma fora do escritório, uma imutável fora do alcance da rede, e zero dúvidas de que ele funciona — porque foi testado. Um escritório que aplica o 3-2-1-1-0 pode ser atacado e, ainda assim, recomeçar de uma cópia limpa em horas. Um que não aplica pode perder anos de escrituração num único clique. A diferença entre os dois é planejamento, não sorte.

Perguntas frequentes

Backup em NAS local protege contra ransomware?
Não, se o NAS estiver acessível pela rede. O ransomware que compromete o servidor alcança o NAS montado e criptografa as cópias junto com os dados. É preciso ter também uma cópia offline ou imutável, fora do alcance de qualquer processo da rede.

O que é backup imutável?
É uma cópia que, uma vez gravada, não pode ser alterada nem apagada por ninguém — incluindo ransomware e administradores — até o fim de um período de retenção. Soluções como o Acronis Cyber Protect oferecem esse recurso.

O que significa a regra 3-2-1-1-0?
3 cópias dos dados, 2 tipos de mídia, 1 cópia offsite (fora do escritório), 1 cópia offline ou imutável, e 0 erros verificados — ou seja, backups testados por restauração. É a versão moderna do 3-2-1, ajustada para resistir a ransomware.

Com que frequência devo testar o backup?
No mínimo mensalmente. Restaurar a cópia mais recente num ambiente de teste, subir o sistema contábil sobre ela e abrir um cliente para conferir a integridade leva cerca de 30 minutos e é o único jeito de ter certeza de que o backup funciona.

A TI do seu escritório está pronta para o próximo fechamento?

Faça o Diagnóstico gratuito da Altcom e descubra o que pode ser melhorado antes que vire um problema.

Quero meu Diagnóstico Gratuito →

TI Especializada para Contabilidade por Região
Atendemos escritórios contábeis em:
TI para Contabilidade em São Paulo |
TI para Contabilidade em São Bernardo do Campo |
TI para Contabilidade em São Caetano do Sul

Altair Correa - Fundador Altcom Tecnologia

Sobre o Autor

Altair Correa

Altair Correa atua há mais de 20 anos no mercado de tecnologia, dedicando-se ao desenvolvimento de soluções inovadoras em TI. É especialista em gestão, suporte técnico, segurança da informação e consultoria estratégica, com paixão por construir relações duradouras e entregar eficiência aos clientes. Altair acredita no poder da tecnologia personalizada e segura para transformar empresas, prezando sempre pela proximidade, confiança e excelência nos resultados entregues. “Em movimento, com propósito.”

blog

Posts Recomendados

Diagnóstico

Quer evoluir
a T.I da sua empresa?

Descubra como a Altcom transforma desafios tecnológicos em soluções seguras e eficientes para o seu negócio.