Vazamento de dados olímpicos começou com as credenciais de um usuário

0

Minha intenção aqui não é debater os fundamentos políticos ou as informações vazadas. Provavelmente você deve ter visto, há alguns dias, o vazamento de dados referente a alguns atletas olímpicos. É claro que existe uma série de coisas importantes em torno deste tema, mas quero falar de um aspecto que tem passado despercebido: como esses hackers entraram no sistema do Comitê Olímpico Internacional.

De acordo com o "The New York Times", os hackers entraram no ambiente da Agência Mundial Antidoping para roubar os arquivos e o ataque começou com um… email! Um e-mail de phishing enviado para um dos usuários internos, com a engenharia social suficiente que o fez clicar no link ou no arquivo anexado, dando controle à máquina do usuário e permitindo que os criminosos roubassem suas credenciais e as utilizassem, de forma não-autorizada, para obter as informações. O resto da história vocês já sabem. Mas claramente esse episódio nos ensina algumas coisas.

Primeiro: usuários são o maior problema da segurança hoje. Você pode implementar o sistema mais seguro do mundo na sua empresa, mas se você não educar o seu usuário do fato de que uma simples ação dele pode comprometer todo o negócio, não há sistema que resolva o problema.

Outro aspecto fundamental: gerenciamento de permissões. Há quanto tempo seu gestor de Segurança não revisa a estrutura de permissionamento de usuários? Pesquisas realizadas por entidades importantes, como o Instituto Ponemon, revelam que as empresas por vezes deixam a desejar (e muito) nesse quesito. Imagine ter 40 mil links de usuários ativos – de ex-funcionários, etc. – e que ninguém utiliza. Isso é uma realidade comum, infelizmente, em muitas organizações. Mais do que isso, muitas dessas credenciais têm acesso a dados importantes da empresa – como dados financeiros de clientes, por exemplo. Esse descuido, tão simples, é capaz também de causar um problema de proporções enormes.

Um terceiro aspecto é a análise constante. Se a entidade contasse com alguma gestão de monitoramento e avaliação constante de incidentes de segurança, talvez tivesse detectado um comportamento fora do padrão daquele determinado usuário – muito provavelmente acessando informações dos atletas que não deveriam estar disponíveis a todos. Existem inúmeras tecnologias, hoje em dia, que fazem o rastreamento do comportamento do usuário de maneira bastante eficaz.

Observe que são pequenos descuidos, que acabam acontecendo no dia a dia de qualquer empresa, que proporcionaram o vazamento da informação. O descuido do usuário, que não tem consciência das táticas de engenharia social para roubar informações e do fato de que é sempre uma vítima potencial; o descuido da instituição ao não ter uma política de permissão clara e, por fim, o que não é exatamente um pequeno deslize, mas uma falta de visão na condução estratégica da segurança.

É preciso que CIOs, CSOs e gestores de Segurança da Informação comecem a olhar a segurança como uma questão que envolve mais a simples implementação de um software. É preciso pensar também em termos de engenharia social, em comportamento de usuário e, principalmente, trabalhar ativamente em processos para seja possível mitigar a única falha que nenhum software detecta, e que é largamente utilizada pelos hackers: a falha humana.

Carlos Rodrigues, vice-presidente Latam da Varonis.

DEIXE UMA RESPOSTA

Por favor digite seu comentário!
Por favor, digite seu nome aqui

This site is protected by reCAPTCHA and the Google Privacy Policy and Terms of Service apply.