Por Zainab Ghadiyali
No início deste ano, em uma manhã de janeiro, eu entrei em um pesadelo de fundadora.
Minha empresa, Eat Cook Joy, que constrói ferramentas alimentadas por IA para chefs particulares, estava a duas semanas de seu lançamento público. Durante dois anos e meio, eu havia me preparado e coletado o conjunto de dados mais sofisticado e abrangente para a indústria de chefs particulares.
Mas, ao me sentar em meu computador, fui bloqueada do meu site. O acesso à plataforma que eu havia montado com tanto esforço e que valia milhões de dólares desapareceu.
Graças a informações do FBI, rapidamente soube que o ataque ao site da minha empresa mostrava todos os sinais de um sofisticado grupo criminoso internacional que visa startups em estágio inicial para resgate.
Se as estatísticas estiverem corretas, a maioria dos líderes empresariais na minha posição teria escolhido fazer um acordo com o extorsionista e seguir em frente. Mas quando a ameaça velada de um pedido de resgate surgiu, capitular estava fora de questão.
Primeiro, os investidores confiaram em mim com seu dinheiro. Em segundo lugar, meu treinamento como engenheira e empreendedora simplesmente não me deixaria desistir. Tendo construído infraestrutura em larga escala no Facebook e Airbnb, eu sabia como navegar por sistemas complexos sob pressão. Abordei a recuperação como qualquer outro problema de negócios: definir um objetivo, montar uma equipe, construir uma estratégia, executar.
Objetivos claros com a equipe certa
Desde o início, meu objetivo era inegociável: recuperar todos os dados, restaurar a plataforma e colocá-la online com segurança. Eu também sabia que precisava da equipe certa – consultores jurídicos que entendessem a lei, antecipassem o próximo movimento dos criminosos e tivessem fortes laços com a aplicação da lei.
Igualmente importante, eles precisavam acreditar na missão. Encontrar isso não foi fácil. A maioria dos consultores descartou a perda ou me aconselhou a simplesmente registrar uma reclamação, uma resposta desmoralizadora para uma fundadora em crise.
Amy Mushahwar, da Lowenstein Sandler, foi diferente. Ela entendeu a missão e o que isso significava para mim. Nunca duvidei de sua determinação. A colega de Amy, Tricia Wagner, por exemplo, passou seu aniversário consolidando evidências-chave para a aplicação da lei.
Execução estratégica destemida
Nossa estratégia foi projetada para encurralar a quadrilha criminosa com suas próprias mentiras. Ela se baseou em três pilares: paciência, evidências detalhadas e destemor.
Essencialmente, se a quadrilha criminosa recusasse uma demanda (por exemplo, acesso ou devolução de dados) ou alegasse que algo havia sido deletado, como dados de treinamento de IA ou validação, nós apresentávamos a eles evidências detalhadas que contradiziam diretamente suas alegações.
A estratégia funcionou porque eu conhecia os detalhes técnicos do site melhor do que eles. Aproveitando os relacionamentos da minha equipe jurídica, também utilizamos a experiência da aplicação da lei.
Com múltiplos encontros negociados, cartas e interações, respondemos à interminável sequência de negações de que os dados não estavam disponíveis e que o acesso a certas plataformas não era essencial. Mas eu sabia quais plataformas e dados eram essenciais e lutei por eles.
Enquanto as negociações se desenrolavam, mudei as operações da Eat Cook Joy para offline para proteger os dados dos clientes. Ao mesmo tempo, dobramos os recursos de engenharia, abordamos vulnerabilidades de segurança e reforçamos as proteções em torno da propriedade intelectual. No final, nossa estratégia funcionou: dentro de semanas após a demanda de resgate, a quadrilha criminosa havia devolvido tudo.
Lições para fundadores
Foi um resultado extraordinário. Mas resistir com sucesso a um ataque de ransomware não deveria ser tão incomum quanto é. Acredito que minha experiência oferece lições para outras startups enfrentando a ameaça de resgate:
Defina um objetivo claro. Defina o sucesso desde o início – recuperação total sem compromissos.
Não pague. Pagar resgate alimenta mais ataques e não garante resultados. Pode haver circunstâncias em que o pagamento seja necessário (como falta de backups e a necessidade de uma chave de criptografia), mas se essas necessidades não existirem, lute.
Monte a equipe certa. A equipe certa com o objetivo certo pode navegar até mesmo nas crises mais difíceis. Procure advogados com experiência relevante e bons relacionamentos com a aplicação da lei. Mas, igualmente importante, procure seu compromisso com o objetivo declarado.
Documente tudo. Evidências fortalecem sua posição tanto com a aplicação da lei quanto com os adversários.
Proteja a confiança e o capital. Proteger clientes e investidores deve permanecer a principal prioridade. Mova ou reforce contas bancárias, se necessário, para evitar roubo monetário direto.
Duas semanas após recuperar o controle total, a Eat Cook Joy estava de volta online e recebendo tráfego de produção. Dentro de seis meses após o lançamento, nossa rede de chefs triplicou. A Eat Cook Joy está agora a caminho de gerar $1 milhão em receita anualizada neste outono, tornando-se uma das startups de crescimento mais rápido no espaço alimentar. O que poderia ter sido um revés devastador se tornou um momento definidor para minha empresa.