Considerada hoje uma solução necessária em diversos setores, a computação em nuvem (cloud computing) permite a contratação flexível de espaços para processamento, armazenagem de dados, memória e banda de rede em servidores externos, tornando operações mais ágeis no acesso e compartilhamento de ferramentas e projetos.
Porém, esses benefícios inegáveis da hospedagem em nuvem podem acrescentar ameaças e riscos de vazamentos de informações estratégicas ou confidenciais que não existiam no modelo tradicional não baseado em nuvem (on premise), principalmente se esses serviços de cloud alugados nos servidores passam a ser ocupados ou divididos por mais de uma empresa, algo chamado de cloud squatting.
O cloud squatting, que pode ser livremente traduzido para "grilagem da nuvem", ocorre quando uma companhia utiliza serviços de uma cloud pública, como Amazon, Google ou Microsoft, baseados em endereços de IP (Internet Protocol) e depois de algum tempo os libera de volta aos fornecedores da nuvem.
Uma vez feito isso, esses mesmos fornecedores geralmente atribuem o mesmo espaço e endereços a outras empresas. Nessa operação, é possível para a nova ocupante no servidor tirar vantagem de informações enviadas para os antigos donos do espaço, podendo utilizá-las, inclusive, para praticar crimes cibernéticos, como roubo de identidade ou de dados financeiros. É o equivalente virtual em receber cartas ou pacotes destinados aos locatários anteriores de um imóvel.
Embora esse tipo de risco de vazamento seja pouco conhecido pela maioria das empresas, um recente estudo da Penn State University, nos EUA, mostra que a vulnerabilidade pode ser alta. Em parceria com a Amazon Web Services, os cientistas programaram uma série de operações de contratação de hospedagem em nuvem por até 10 minutos, liberando os espaços após o recebimento de informações de empresas que estavam antes nos mesmos servidores. Ao todo 5,4 mil empresas tiveram informações vazadas, a exemplo de dados móveis, análise e monitoramento, transações financeiras entre terceiros e domínios de internet.
Alguns fatores de governança na gestão da tecnologia da informação podem ampliar a vulnerabilidade corporativa diante do cloud squatting. Em situações em que precisam mudar de fornecedores de serviço de nuvem ou realocarem por necessidade de mais espaço, as empresas podem pecar em três quesitos: falta de controles organizacionais mais rigorosos, pouca diligência na transferência e limpeza de dados e falha no cumprimento de práticas recomendadas de cibersegurança.
Todavia, tanto fornecedores de hospedagem em nuvem quanto seus clientes podem prevenir o problema. A primeira e mais óbvia das dicas é evitar a reutilização de endereços de IP. Para tanto, os fornecedores podem fazer reservas de blocos de endereço ou atribuir uma determinada quantidade de endereços recicláveis para seus clientes. Já as empresas que utilizam a infraestrutura em cloud nos seus projetos, devem sempre disponibilizar o acesso a estes serviços através de um serviço de resolução de nomes (DNS) e, ainda, trazer os seus próprios endereços privados para a nuvem. De todo modo, é importante que os profissionais de TI e Ciência da Computação estejam atentos às configurações, políticas de gestão dos serviços contratados e ao monitoramento constante da segurança dos serviços em nuvem.
Professor Ricardo Destro, docente do departamento de Ciência da Computação da FEI, possui graduação em Engenharia Elétrica com Ênfase em Computadores pela FEI (1999), mestrado (Escola Politécnica da Universidade de São Paulo – 2002) e doutorado (FEI – 2016) em Engenharia Elétrica. Atualmente é professor da FEI e atua como executivo na área de Tecnologia da Informação. Também é Conselheiro de Administração certificado pelo Instituto Brasileiro de Governança Corporativa (IBGC) desde 2010.
