Nos últimos meses, ouvimos falar sobre o surgimento dos computadores quânticos como uma ameaça iminente à segurança dos dados confidenciais globais. É que esses dispositivos, supostamente, poderão resolver facilmente os problemas matemáticos que são a chave da criptografia atual. “Um computador quântico pode decifrar tão facilmente quanto um computador regular pode criptografar; não haverá um intervalo entre criar e decifrar esses códigos. Toda nossa informação criptografada torna-se vulnerável e temos um problema sério em nossas mãos”, disse Michele Mosca, do Instituto de Computação Quântica, em Waterloo, no Canadá, em entrevista ao The Wall Street Journal.
A previsão para esse cenário potencialmente perigoso é de 10 a 20 anos. Entretanto, bem antes disso, aqui e agora, temos um problema mais urgente quando o tema é segurança de dados sensíveis: os insiders, isto é, o pessoal de dentro, os que têm a ‘chave de casa’; o elo mais fraco da corrente que se propõe a assegurar a privacidade.
Edward Snowden é um exemplo de insider, mas que acabou se tornando, parcialmente, um herói por denunciar as más práticas de espionagem dos americanos. Suas motivações supostamente foram ideológicas. Os insiders sobre os quais queremos tratar neste artigo são aqueles que têm como motivação para suas ações o lucro ilícito ou vingança em relação às empresas para as quais trabalharam ou ainda trabalham. Eles costumam roubar bancos de dados de clientes, deletar dados, enviar e-mails em nome de executivos da própria empresa, vazar informações confidenciais, fornecer suas senhas em troca de vantagem financeira, entre outras violações.
Como você acha que bancos de dados de cadastros de clientes de algumas grandes empresas foram parar na Santa Efigênia, em São Paulo?
Pesquisas apontam que quase metade dos ataques às empresas vem de dentro. Então, a questão é: porque os gestores parecem não se preocupar tanto com isso quanto se preocupam com vírus ou hackers? Quero repetir aqui uma frase que ouvi recentemente: os insiders são os novos malwares. Isso é verdade, especialmente em relação aos mainframes, pois dificilmente teremos um malware entrado na alta plataforma, mas temos muitos insiders acessando diretamente os mainframes e essas pessoas precisam ser monitoradas.
Algumas regulamentações internacionais, como a lei Sarbanes-Oxley, exigem esse monitoramento. A certificação PCI-DSS (Payment Card Industry – Data Security Standard) exige duplo fator de autenticação para os insiders, para os administradores de sistemas. Quer dizer, isso já está previsto, mas quem o faz efetivamente?
O mercado está acostumado a fazer monitoração de perímetros e de eventos tecnológicos, mas é preciso fazer a monitoração de dados, pessoas, aplicações e comportamentos. E a monitoração tem que ser em tempo real, cíclica — porque é um processo em que as regras devem ser refeitas a todo o momento — não intrusiva e que não gaste recursos dos servidores.
Muitas outras atitudes de prevenção podem e devem ser tomadas, como o controle rígido de senhas, acessos e recursos utilizados; workflow com autorização dupla de mais de um funcionário; suspensão de acesso imediato ou anterior ao comunicado da demissão; além, é claro, de uma boa política de RH de esclarecimento de códigos de conduta.
No entanto, os comportamentos dos seres humanos são muitas vezes imprevisíveis, comandados por fatores subjetivos. Assim, o que nos resta é monitorar esses comportamentos com ferramentas capazes de reconstruir os passos de cada um que acessou o sistema, que seja capaz de alertar, em tempo real, ao menor sinal de atitude suspeita. Só assim, efetivamente, será possível minimizar esses riscos.
Já existem soluções eficazes e avançadas para monitorar os insiders. A única mudança que se exige agora é a de maturidade e de mudança de paradigmas. E que o único compromisso seja mesmo com a segurança dos dados sensíveis de clientes que confiaram em nossas empresas.
* Aloysio Honorato é CEO da MSCS-X e parceiro de segurança da 3CON Consultoria e Sistemas