A expressão "agente infiltrado" refere-se ao funcionário que rouba informações de sua empresa e as vende para concorrentes. Há um bom tempo, esse conceito foi introduzido em nosso vocabulário e, sem dúvidas, veio para ficar.
Os ataques de agentes infiltrados – vazamentos de informações pessoais e confidenciais – entre outros crimes cibernéticos são os que possuem o maior nível de ocultação e o menor índice de detecção. Dependendo do grau de preparação anterior ao "vazamento", os ataques de agentes infiltrados podem ser divididos em:
Situacionais: Um novo funcionário recém-contratado tem a oportunidade de realizar um roubo, seus princípios morais o permitem fazê-lo e ele comete a fraude. Outra situação bem comum: o profissional trabalha há um bom tempo na empresa, mas não é devidamente reconhecido. Ou é reconhecido, mas não o quanto acredita merecer. Obviamente, o funcionário não está satisfeito. Ao roubar informações, ele tenta "compensar" o que, em sua opinião, lhe foi negado injustamente.
Como exemplo, podemos citar o caso de um dos clientes da SearchInform. O departamento de segurança de uma loja atacadista de materiais de construção detectou documentos estatutários em uma intercepção do sistema DLP. Descobriu-se que estes documentos foram usados pelo vice-diretor comercial que, sentindo-se desvalorizado, há dois meses se desentendia com a direção da empresa e, por fim, decidiu abrir o seu próprio negócio. A vigilância dos profissionais do departamento de segurança da informação impediu a retirada de informações valiosas, mas não conseguiu evitar outras perdas. O ex vice diretor conseguiu "persuadir" parte do quadro de funcionários e, ao demitir-se, levou os subordinados consigo.
Planejados: O exemplo mais simples é a espionagem industrial, que chega ao conhecimento público por meio de filmes, livros e, menos frequentemente, pela imprensa. Um exemplo comum é o do funcionário que "vaza informações" por motivo de vingança. Ele planeja minuciosamente suas ações, sabe como pode ser pego e está familiarizado com os protocolos internos de segurança.
Um caso assim ocorreu em uma empresa panificadora. Com o auxílio do sistema DLP, descobriu-se que o recém-contratado gerente de redes comerciais era, na verdade, um "agente infiltrado". Ele se estabeleceu na função para ter acesso aos programas da empresa e obter informações sobre as contrapartes. Se essas informações chegassem aos concorrentes, a empresa sofreria danos consideráveis – haveria perda de clientes e os prejuízos financeiros anuais totalizariam pelo menos US$ 5 milhões.
Como identificar funcionários com inclinação à prática de ataques internos?
Como observado por Christopher Barnes, a predisposição de uma pessoa para práticas fraudulentas, pode ser identificada através da análise de seus valores morais, particularidades durante a tomada de decisões morais, auto regulação, determinação de suas relações consigo mesmo, com outras pessoas, com o trabalho, com o dinheiro e com as normas legais.
As pessoas com inclinação para fraudes podem ser identificadas através:
– do predomínio de valores universais baseados no individualismo e pragmatismo
– atitude gananciosa em relação ao dinheiro
– desvalorização do trabalho honesto e produtivo
– descaso para com as normas morais tradicionais
– auto regulação moral sem escrúpulos
– cinismo destrutivo
– impulsividade e inclinação ao risco na tomada de decisões
– egoísmo
O alto desenvolvimento desses sinais indica a prontidão psicológica da pessoa para a fraude. Mas é importante lembrar, também, a atmosfera saudável dentro da empresa.
De acordo com Roger Martin, "o mundo dos negócios exerce uma pressão terrível, nos forçando a agir contrariamente às regras de uma sociedade saudável e genuína e, gradualmente, a base moral do ser humano é corroída. Ele se acostuma a viver mentindo, acreditando em uma coisa, mas fazendo outra coisa. Ele entende a importância dos relacionamentos de longo prazo com o cliente, mas age como se o mundo inteiro só precisasse de uma coisa: um relatório trimestral".
"Infelizmente, a suposição de que o comportamento antiético no local de trabalho é o produto de algumas maçãs podres cegou muitas organizações para o fato de que todos nós podemos ser influenciados negativamente por forças situacionais, mesmo quando nos importamos muito com a honestidade. No entanto, as abordagens para afastar o problema deste campo escorregadio não precisam ser drásticas" – observa Francesca Gino em sua pesquisa.
O que é necessário para evitar fraudes e ataques internos no trabalho?
Ao realizar testes, os departamentos de RH utilizam programas especializados que analisam e interpretam dados automaticamente, o que simplifica bastante o processo de diagnóstico. Em geral, o trabalho pode ser feito de acordo com o seguinte algoritmo:
– o departamento de RH realiza testes para a admissão no trabalho ou processo de certificação regular;
– os resultados do teste são repassados para o serviço de segurança da informação;
– o funcionário do departamento de SI identifica os funcionários propensos a cometer ataques internos;
– caso o funcionário seja detentor de algum tipo acentuado, enquadrando-se no "grupo de risco", é assegurado o controle primário de suas atividades.
E o que deve ser feito?
1- Determine claramente as funções atribuídas ao grupo de risco: quem trabalha com informações confidenciais, dados pessoais, documentos com segredos comerciais, etc.
2 -Desenvolva documentos normativos que expliquem como os funcionários dessas funções devem trabalhar com os dados confidenciais.
3 – Defina o perfil do cargo: que competências o departamento de RH gostaria ou não de encontrar no profissional para a função determinada.
4 – Selecione métodos para a identificação de qualidades morais e psicológicas.
5 – Tome medidas preventivas: use soluções para evitar vazamentos de dados, como sistemas DLP.
6 – Implemente uma política de proteção de dados, monitorando o uso não autorizado de informações confidenciais. Informe os funcionários sobre violações, pois isso ajuda a aumentar a conscientização da equipe, impedindo o roubo de dados.
7 – Realize um trabalho informativo constante: apenas a existência de uma política, sem sua compreensão e aplicação efetiva por parte dos funcionários, não produzirá resultados.
8 – Lembre-se de que o roubo é precedido por algumas condições fundamentais: os principais problemas associados à motivação do agente infiltrado surgem antes mesmo que ele cometa o roubo.
9 – Tenha em mente que o funcionário pode "induzir a ação" de outros trabalhadores. Isso geralmente acontece em caso de rebaixamento de cargo ou quando as expectativas sobre a carreira não são correspondidas.
10 – Informe à gerência, ao departamento de RH e ao pessoal responsável pela segurança da informação, todos os casos em que um funcionário, durante o desempenho de sua função ou após sua demissão, acessa dados críticos importantes, realizando o seu carregamento de maneira atípica e assim por diante.
Seguindo essas regras sua empresa poderá proteger-se da transformação de pessoas potencialmente inclinadas a prática de ataques internos, agindo como verdadeiros agentes infiltrados. Afinal, é melhor prevenir o incidente do que lidar com suas consequências. Um manual de proteção contra ameaças internas pode ajudar a identificar riscos e a planejar o trabalho com antecipação.
Vladimir Prestes, diretor Geral da SearchInform no Brasil.
