Sem dúvida, o volume de notícias sobre vazamento de dados cresceu em 2019. De acordo com um estudo global da IBM sobre privacidade feito em 11 países, com cerca de 11 mil pessoas, indica que há uma insatisfação com a maneira com que as empresas lidam com suas informações. No Brasil, 96% dos consumidores concordam que as organizações devem melhorar a proteção dos dados. A pesquisa revela, ainda, que de cada 10 brasileiros, seis sofreram algum tipo de vazamento de dados.
Entre as respostas aos incidentes enviados para a imprensa, o mais comum é justificar com uma falha gerada por um parceiro. A questão é que há diversas maneiras de uma vulnerabilidade ter sido, de fato, originada pelo parceiro. Com a LGPD, essa questão será tratada com medidas severas, desde multas aos terceiros até rescisão de contratos. Mas, será que a culpa é realmente do parceiro ou foi uma falha interna?
Nesse sentido, as empresas devem olhar para as cinco camadas onde podem gerar possíveis vulnerabilidades: na Web, falha no código fonte das aplicações (tanto no ambiente web quanto mobile), arquitetura dos sistemas, infraestrutura e atualizações de softwares. Parece simples, mas não é.
Segundo o country manager da Genexus no Brasil, Ricardo Recchi, quando alguém desenvolve um app para a Web normalmente é para um ambiente que já existe na empresa ou numa instalação na nuvem ou externo. “Nesse cenário, há milhares de possíveis vulnerabilidades, seja na infraestrutura da empresa e isso é bastante comum. O Nessus, por exemplo, tem uma base capaz de aplicar e ele produz um relatório com vários níveis de vulnerabilidades. Se sou um cara mal intencionado, pego isso de um determinado site e uso a técnica para invadir um website”.
Há soluções que também investigam a vulnerabilidade do código fonte das aplicações, tanto na web quanto mobile. A questão é que geram muito falso positivo”, comenta Recchi quando aponta um certo cuidado com notícias que são publicadas na mídia. “Há muita fakenews”.
Ele aponta, ainda, para questões de gestão de acesso aos sistemas, uma vez que os mecanismos internos de autenticação de segurança devem ser constantemente verificados. “Imagina alguém do departamento de compras que foi para contas a pagar. Deram todas as permissões para o novo cargo e no antigo ainda tinha permissão. Esse profissional pode se aborrecer com alguma coisa em relação à empresa e combina com um fornecedor externo para roubar dados em troca de dinheiro da empresa”. Recchi sinaliza que essa é a quarta camada que as empresas devem se preocupar com a segurança.
Na visão dele, tanto a infraestrutura quanto a gestão de identidade são as camadas mais sensíveis, as outras duas do meio também são essenciais. “Por último vem a vulnerabilidade de como o software é construído. A Genexus oferece toda a biblioteca com as melhores práticas. No entanto, o desenvolvedor pode ou não usar. Recentemente, um parceiro nosso desenvolveu uma solução para um cliente de uma grande empresa multinacional e este encontrou seis vulnerabilidades na aplicação. A Genexus enviou para o seu laboratório e todos os pontos detectados foram falsos positivos. Por exemplo, API de geolocalização. Quando você usa a geolocalização o Google apresenta alguma vulnerabilidade. Se houver algum software que acusa essas coisas, não significa que seja um problema”.
No entanto, o problema é quando o parceiro desenvolve o código na mão sem processo preventivo. “No nosso caso, usamos o Low Code, permitindo que o desenvolvedor escreva pouco e o código é constantemente atualizado em nosso laboratório com as melhores práticas de teste de vulnerabilidade”.
Recchi acredita que de todas as camadas que devem seguir as melhores práticas de segurança, a quarta é a mais comum de colocar a culpa no terceiro porque cada vez mais elas são terceirizadas.
Finalmente, a falta de atualização de versões de sistemas, como upgrade nos servidores de sistemas operacionais, banco de dados, etc. é um alto risco para oferecer brechas aos cibercriminosos, abrindo caminho para o envio de ransomware usando, ainda, técnicas de engenharia social.