Autor: Eder Alvares Pereira de Souza
Nesses últimos meses um dos assuntos mais comentados da mídia foi a espionagem executada pela NSA e pelo governo americano. Além de autoridades e políticos brasileiros, empresas como a Petrobrás, tiveram seus dados monitorados e provavelmente analisados.
O ponto é que, apesar de toda repercussão que o fato gerou e está gerando, isso não é uma novidade para muitos e já foi apresentado até em livros de ficção, como Fortaleza Digital, de Dan Brown.
Espionagem eletrônica é uma técnica utilizada há anos, algo natural nesse meio, pois estamos presenciando uma migração maciça das informações que anteriormente estavam suportadas e acondicionadas em meios físicos, tais como papéis, gavetas, armários e para o suporte eletrônico, que agora, possibilita o acondicionamento dessas informações em banco de dados, sistemas de armazenamento de arquivos na nuvem, discos rígidos e removíveis, entre outros.
Essa migração, por um lado, trás reduções de custos e oportunidades para as pequenas e médias empresas, que atualmente não precisam investir em recursos computacionais e de telecomunicação como, por exemplo, servidores, links de dados etc, agora podem ter todos esses dispositivos disponibilizados através de serviços na nuvem.
Por outro lado, essa facilidade representa um grande risco para empresas que precisam preservar o sigilo de informações estratégicas e que poderiam comprometer seu diferencial no mercado atual ou até expor clientes e parceiros.
Existe um mercado e profissionais especializados em espionar e até roubar informações sensíveis, e apesar da repercussão referente à espionagem que a Petrobrás sofreu, inúmeras outras empresas já sofreram esse tipo de ação, algo que está se tornando cada vez mais comum.
Em 2010, Neil MacDonald, vice-presidente da Gartner, havia dito que 75% das empresas estavam sendo espionadas, outro estudo feito pela Kroll, em 2010, revelava que 4 entre 10 empresas tiveram dados importantes roubados por crackers.
Com isso, apesar da dimensão na qual a NSA colocou a espionagem eletrônica, a técnica já vem sendo utilizada há anos, podendo trazer grandes prejuízos para as empresas, seja tornando pública informações confidenciais ou entregando essas informações a empresas concorrentes.
E a pergunta principal é: estamos preparados para esse novo tipo de espionagem?
As empresas estão se adaptando a esse novo cenário, onde as informações agora estão mais susceptíveis a ataques e podem ser mais facilmente copiadas e roubadas?
Como estamos protegendo as informações sensíveis da empresa?
Há a algum tempo visitei um potencial cliente e nessa ocasião ele havia dito que estava vivendo um momento muito importante, pois a empresa estava crescendo rapidamente devido a um produto desenvolvido para atender um determinado segmento do varejo, que só eles haviam investido e estavam colhendo os frutos desse investimento.
Nesse momento eu havia percebido que ele tinha um grande time de desenvolvimento e que todos utilizam notebooks para executar suas atividades.
Assim, não resisti em perguntar como ele protegia o seu produto principal e, para meu espanto, não existia qualquer controle ou proteção com esse objetivo.
Os desenvolvedores frequentemente trabalhavam home office e esse era até um diferencial da empresa, desta forma eles podiam levar nos notebooks o código fonte do produto. Não existia qualquer mecanismo de criptografia destinado a proteger as informações transportadas e era comum o uso de serviço de armazenamento de arquivos na nuvem destinados a permitir o transporte desses códigos.
A empresa também permitia o uso de sistemas de mensagem instantânea, redes sociais, e-mails particulares, tudo sem qualquer monitoramento eficiente.
A minha conclusão foi, realmente a empresa estava vivendo aquele momento virtuoso talvez por sorte e seu negócio poderia estar gravemente ameaçado, pois qualquer um poderia ter acesso a esses códigos e com um investimento muito menor colocar um produto concorrente, já que toda a pesquisa e desenvolvimento havia sido feito pela empresa.
Assim, precisamos responder as simples perguntas, mas realmente importantes, com a finalidade de sabermos se estamos realmente em risco.
Qual o impacto de um vazamento das informações sensíveis da empresa?
Como estou protegendo essas informações?
Com isso, tenho convicção que, se fizermos uma avaliação das empresas brasileiras, vamos perceber que a NSA não precisou de muito esforço para monitorar as autoridades e os crackers não estão tendo muita dificuldade em vazar informações sensíveis, comprometendo a competitividade e os diferenciais estratégicos dessas empresas.
Eder Alvares Pereira de Souza é consultor sênior em Segurança da Informação pela e-Safer.