Espionagem digital
Longinus Timochenco, CISO – Chief Information Security Officer e diretor de governança corporativa na KaBuM!
A cada dia buscamos maior comodidade, agilidade, integridade e disponibilidade de serviços e recursos, e a tecnologia está aí nos servindo muito bem, porém é importante estarmos atentos e sempre questionarmos a exposição das nossas vidas e o quanto realmente estamos seguros. Não devemos terceirizar a nossa responsabilidade.
Sabemos que “tudo” é amplamente digital, integrado e sem fronteiras. Temos observado, como exemplo, o quanto o coronavírus afetou o mundo dos negócios; o mesmo acontece no mundo virtual, impactando vidas e gerando a necessidade de pensarmos em sobrevivência e defesa de cibercrime e ciberguerra.
Olhando para esses casos, o cenário pode parecer assustador e apenas uma boa política de segurança da informação não é suficiente. Para que os sistemas de segurança sejam eficientes o treinamento é fundamental e ele deve ser atribuído a todos, desde o board, colaboradores, fornecedores e parceiros de negócios, com monitoramento e auditoria interna e externa, periodicamente.
Com segurança não podemos mais nos enganar: a conta chegará cada vez mais rápido, podendo acabar com o seu negócio e ocasionando prisões. Vamos juntos viver com qualidade, seguros e com as empresas operando com tranquilidade para garantir bons negócios com transparência e integridade aos nossos clientes e investidores: acreditem isso é possível.
Novas leis, como a LGPD e GDPR, surgem para garantir que as empresas tomem as medidas necessárias para resguardar os dados pessoais dos titulares. Por favor, parem de discutir se realmente essa “Lei vai pegar”; não façamos por obrigação e sim porque ações desse gênero serão sempre positivas para todos, além de ser ético e integro, provendo longevidade para as nossas empresas com visão empreendedora. O nosso país precisa crescer e merece ser visto como uma potência.
Um vazamento de informações pode causar a exposição não só da empresa, mas de clientes e dos negócios realizados entre as partes. A consequência é a confiabilidade da organização caindo vertiginosamente e abrindo margem até mesmo para processos judiciais. Por isso, há uma responsabilidade jurídica envolvida, principalmente se sua empresa lida com dados de clientes, como é o caso das lojas virtuais, por exemplo.
Precisamos ter em mente que não se trata apenas de vazar dados bancários e outras informações extremamente delicadas, como um nome e um e-mail; um cibercriminoso pode colocar em prática um plano de fraude, enviando mensagens em nome de sua empresa. Além disso, não são apenas hackers que podem usufruir dos dados roubados. A espionagem industrial, por exemplo, é um risco crescente em todo o mundo. Patentes e dados comerciais têm um valor financeiro real, tornando o sigilo indispensável.
Vamos falar com o público “pessoa física”
Culturalmente, no mundo digital há ainda uma distorção de entendimento entre as fronteiras do público e do privado e isso nos convida a sermos, ao mesmo tempo, controladores e controlados.
Estamos vivendo a “Era do Exibicionismo”. Somos submetidos a um constante apelo de “publicidade” coletiva, estimulados a anunciar espontânea e voluntariamente tudo o que se refere à vida privada, transformando os segredos pessoais em um livro aberto, portanto, uma verdadeira distorção entre as fronteiras do controle e da visibilidade, do público e do privado, que se retroalimentam e constituem, simultaneamente, uma “estética da vigilância”, convidando todos a serem ao mesmo tempo controladores e controlados.
A prevenção e cuidados constantes são necessários não somente para o setor privado e público, a pessoa física tem que se responsabilizar pelo seu nome; o nome agora é um produto, uma marca e uma indústria de dados do “bem e do crime” muito rentável para um novo mercado bilionário.
Com a disseminação do uso da Internet, as relações sociais passaram a ser mediadas pelas tecnologias digitais de comunicação em níveis nunca alcançados, potencializando a criação de vínculos associativos e comunitários, a socialidade digital. Essa socialidade é caracterizada por um conjunto de práticas cotidianas e experiências coletivas baseado num politeísmo de valores, mediado pela arquitetura em rede, que ampliará exponencialmente e contribuirá para um processo chamado de retribalização do mundo.
Isso que dizer que as agregações passarão a acontecer via interesses comuns, independentes de fronteiras ou demarcações territoriais fixas. Nesse sentido, o virtual é a materialização de uma desterritorialização contínua do real, que afeta a maneira como lidamos com o tempo. A ideia de futuro, espaço, tempo e território sofrem modificações em tempo real com a introdução da microeletrônica e das redes telemáticas, trazendo a sensação de compressão do espaço e do tempo por meio de agregações sociais.
Ainda que tenham dinâmicas próprias e pouco conhecidas, tais relações digitais não estão isentas das mesmas formas de configuração de poder de gênero, classe e étnicas (marcadores importantes das desigualdades sociais do “mundo offline”).
Espionagem digital
Podem ser consideradas como ameaças virtuais os fatores que colocam em risco a segurança da informação, ou seja, integridade, confidencialidade e disponibilidade dos dados. Garantir que os dados estejam acessíveis somente a profissionais autorizados é tão importante quanto evitar que informações sigilosas ou críticas se percam.
Algumas questões para reflexão:
- O dispositivo está enviando ou recebendo mensagens estranhas de texto?
- Celular foi invadido?
- Apps instalados sem sua autorização?
- Aumento no uso de dados ou mensagens de texto (SMS) em seu smartphone?
- Conta de telefone celular mostra cobranças e mensagens inesperadas?
- Problemas no e-mail e acesso a sites hackeados?
- Interrupções incomuns de serviço?
- O ambiente corporativo é auditado? Se sim, a entrega do relatório é para quem?
- As áreas de controles tais como: Segurança, Compliance, Auditoria, Jurídico, Controles Internos, Fraudes, Ouvidoria, Gestão de Riscos são estratégicas para sua companhia? Se sim, para quem respondem na sua estrutura?
- As áreas de controles são integradas e inteligentes ou atuam somente nos incidentes?
Após a constatação de alguns desses sintomas, o ambiente deve ser monitorado periodicamente, e de forma preditiva. As áreas devem ser integradas não somente no processo, mas também nas estruturas e equipes, provendo a real “governança inteligente”.
10 dicas para proteção contra espionagem cibernética
1 – Para elevar o nível da segurança e proteção contra qualquer tipo de ataque, segue algumas boas práticas para serem implementadas.
2 – Faça parceria e integração com especialistas em segurança da informação para entender completamente o cenário de ameaças.
3 – Saiba quais ativos precisam ser protegidos e o risco operacional associado a cada um.
4 – Identifique onde podem estar as suas vulnerabilidades.
5 – Corrija periodicamente ou atenue as vulnerabilidades com uma estratégia de defesa profunda.
6 – Entenda os adversários que desenvolvem táticas, técnicas e procedimentos que permitem reformular suas contramedidas defensivas, conforme necessário.
7 – Tenha uma equipe treinada, preparados para impedir um ataque ou responder o mais rápido possível, se você estiver comprometido.
8 – Enquanto a prevenção é preferida; detecção e respostas rápidas são essenciais.
9 – Tenha um plano alternativo para o que você fará se for vítima de guerra cibernética.
10 – Garanta que os fornecedores críticos de infraestrutura não tenham sido comprometidos e tenham salvaguardas/seguros para garantir a integridade dos sistemas fornecidos.
Plano de recuperação e desastre (PCN) para médias e grandes empresas de forma extensivamente treinada, testada, evidenciada e auditada, principalmente no que se refere a infraestrutura básica (energia, água, etc.). Para empresa de menor porte e pessoa física um bom backup e teste de recuperação documentado e plano de contingência de sua infraestrutura critica o ajudará bem.
É CISO – Chief Information Security Officer & Diretor de Governança Corporativa na KaBuM!. Tem mais de 25 anos de experiência em tecnologia e possui forte atuação em defesa, governança corporativa, risco & fraude, compliance e gestão de TI. Membro do Comitê Brasil de Segurança da Informação ISO IEC JTC1 SC 27 na ABNT Brasil, Timochenco desenvolveu uma série de trabalhos junto a consultorias e grandes corporações globais no gerenciamento de projetos estratégicos, auditorias e combate a crimes cibernéticos. Premiado – Security Leaders Brasil 2014 e 2016.