Monthly Archives: dezembro 2010

Vazamento de informações pelo “WikiLeaks”: uma lição para o Brasil e empresas.

WikiLeaks

O  já mundialmente famoso sítio da internet “WikiLeaks” continua postando informações classificadas como secretas pelo Departamento de Estado do governo dos Estados Unidos, situação ainda mais crítica na medida em que o mesmo informa que em breve estará postando novos documentos internos de um dos maiores bancos dos EUA, o que tem alimentado preocupações com segurança de dados entre os governos e grandes empresas ao redor do mundo.
“WikiLeaks” não revelou como obteve dezenas de milhares de documentos do Departamento de Estado norte americano, ou os documentos bancários que alega possuir.
No entanto, um oficial de inteligência do Exército dos Estados Unidos, de nível relativamente baixo de acesso de segurança, é acusado de um vazamento anterior de documentos classificados para o “WikiLeakes”, sendo agora suspeito de vazar os dados do Departamento de Estado para o site.
Um militar de nome Bradley E. Manning também afirma ter acessado ilegalmente e baixado documentos de estado, enquanto se encontrava numa base militar em Bagdá. Bradley foi preso no início deste ano, depois de ter confessado suas ações para um ex-hacker.
Em conversas “on-line” com um profissional de segurança e “ex-hacker”, Adrian Lamo, cujos detalhes foram publicados pelo sítio “Wired.com” no início deste ano, Manning teria se gabado de ter realizado “acesso sem precedentes”, ele teria acessado redes classificadas por até 14 horas ao dia.
Manning reclamou de ter tido autorização para acessar a rede “SIPRNET”, uma rede classificada utilizada pelo Departamento de Defesa e o Departamento de Estado, e à “Joint Worldwide Intelligence Communications System” utilizadas pelas duas agências para compartilhamento de informações classificadas como secretas.
Mesmo tendo sido mantido em segredo o seu afastamento, o fato evidente de que Manning foi tão facilmente capaz de acessar e vazar dados ultra-secretos, indica sérios problemas de segurança.
Tim O’Pry, um ex-criptoanalista da Força Aérea dos EUA, disse que com base nas informações disponíveis, “os sistemas simplesmente foram mal projetados para manter e controlar a informação.
Ainda segundo Tim O’Pry, Manning teria acessado uma quantidade significativa de informações e assim demonstrado que o acesso às redes altamente confidenciais não foi controlado.
Para os gerentes corporativos de TI, as divulgações do sítio “Wikileaks” destacam a importância da adoção de uma política de “confiar, mas verificar” como abordagem à segurança da informação. O’Pry disse. “Isso não significa que você precisa ser paranóico ou desconfiar de seus funcionários – justamente o oposto: Confiar, mas verificar e, que eles saibam que você vai verificar”, acrescentou.
Torna-se absolutamente necessário que os controles em vigor numa instituição incluam segmentação e restrição de acesso a informações com base em papéis de trabalho. Todo o acesso a dados e tentativas de acesso devem ser rotineiramente registrados e controlados.
Mesmo se a informação for devidamente classificada e armazenada em um nível adequado, o acesso à mesma primordialmente requer um acompanhamento eficaz.
Embora seja importante ter funções adequadamente definidas, privilégios e níveis de acesso, protocolos secundários são necessários para controlar a forma como os dados são manipulados em um ambiente confiável.
Por exemplo, dados classificados precisam conter “tags” para impedir que possam se deslocar para fora de um domínio protegido sem controle ou permissões. Quanto mais sensíveis os dados que estão sendo protegidos, mais camadas de proteção devem ter.
Igualmente importante é a necessidade de controles para monitorar adequadamente as pessoas, por mais confiáveis que elas possam ser, uma vez que ser confiável não deve implicar em menos controle, uma vez que uma maior confiança atribuída a um indivíduo permite um maior potencial de perda.
Matt Kesner, CTO da “Fenwick & West”, um escritório de advocacia de San Francisco, disse que os incidentes “Wikileaks” devem provar para os gerentes de TI que “o segredo não pode ser presumido em sistemas de dados.”
“Políticas claras, sistemas auditáveis e supervisão gerencial real são necessárias para assegurar que os segredos de permaneçam em segredo”, disse ele.
Os executivos, em especial os executivos de TI, bem como os departamentos de RH, finanças e marketing, devem questionar quem tem acesso aos dados mais importantes de uma empresa, sendo claro que isso não pode ser uma caça às bruxas. Todos os profissionais de segurança precisam saber que existem muitos problemas entre segurança de um lado e disponibilidade e facilidade de uso, na outra ponta.
A ameaça de vazamento de dados por “insiders” tem sido um sério problema entre os especialistas em segurança. Numerosos estudos têm mostrado que o maior risco para dados corporativos sensíveis vem de dentro da própria empresa através de políticas descuidadas, negligentes e/ou maliciosas, não pelo acesso indevido de hackers fora das corporações.
Na atualidade, pequenos dispositivos de armazenamento removíveis, como drives USB e até mesmo “smartphones”, têm exacerbado em muito o problema. Manning, por exemplo, é acusado de ter baixado os documentos do Departamento de Estado em um “pen drive” e em discos regraváveis que são fáceis de transportar, sem atrair atenção.
A utilização desses dispositivos está aumentando substancialmente, de acordo com os resultados de uma pesquisa realizada por uma empresa de segurança chamada “Credant Technologies”.
A “Credant” pesquisou mais de 225 pessoas e descobriu que mais da metade dos pesquisados possuem entre três e seis unidades de armazenamento, muito embora 21% possuam dez ou mais dispositivos. Mais de 85% dos entrevistados disseram que suas companhias permitem que os dispositivos sejam utilizados em sistemas corporativos. E 10% disseram que já perderam dispositivos USB contendo dados corporativos, sendo que a maioria deles disse não terem relatado estas perdas.
Por fim, estaria o governo brasileiro gerenciando adequadamente suas informações mais sensíveis? Qual a política de segurança da informação adotada pelas agências governamentais brasileiras no que diz respeito a circulação de suas informações vitais?
Mas estas perguntas bem que poderiam ser encaminhadas para muitos dirigentes de empresas que vez por outra acabam sendo surpreendidos pelo vazamento de informações que muitas vezes comprometem a própria existência de seus negócios.