UNIVERSITÁRIOS 2.0
ESPECIAL SEGURANÇA DE DADOS NA INTERNET: A ESPIONAGEM INDUSTRIAL
por: Adinaldo Diniz
O caso de Edward Snowden emergiu com grande ímpeto as discussões sobre sistemas de vigilância. Neste caso não se tratava apenas de invasão a privacidade de dados, tratava-se de vigilância contínua sobre governos, empresas e possíveis suspeitos de ligação com terroristas.
O caso reabre uma séria discussão ética sobre segurança de dados na internet. Será que mesmo com todos estes sistemas de proteção e segurança de redes estamos protegidos? Protegidos contra invasão dos dados pessoais, profissionais e mais íntimos?
E se o caso assusta ao usuário que utiliza mais a rede para fins de relacionamentos sociais, imagine o que provoca de reação nas empresas!
Um grande risco para qualquer negócio é a espionagem industrial. Dados de projetos confidenciais, e-mails trocados internamente na rede, de repente correm o risco de serem capturados por sistemas de vigilância de dados.
Arquivos de projetos, imagens, desenhos de protótipos, relatórios de vendas, participação de mercado, layout de novos produtos, tudo isso, pode ser extraído da organização com um simples pen-drive. E quando o acesso a estas informações, principalmente para a linha decisória da empresa, ocorre por Smartphones? E olha que nem ao menos mencionamos o risco oferecido pelo sistema de trabalho HOME OFFICE.
São tantas questões que entraríamos em paranóia e deixaríamos de utilizar estes sistemas por desconfiar dos riscos de segurança que ele oferece.
Das centenas de crimes que podem ser praticados dentro da empresa com o uso da tecnologia da informação, por qualquer funcionário, como pedofilia, baixar arquivos piratas, pornografia, assédio moral, vamos nos ater neste artigo somente ao crime de espionagem industrial.
Usualmente, os crimes de espionagem industrial ocorrem na linha decisória da empresa, onde um ou outro diretor descontente repassa as informações para seu concorrente em troca de uma boa recompensa financeira e posteriormente um cargo de prestígio na organização. Poucos são os casos descarados em que funcionários se disfarçam em seus concorrentes usando crachás falsos, como o caso envolvendo Phillips e LG, na Zona Franca de Manaus, em 2001. Também são isolados os casos em que se infiltram diretores da empresa para espionar a concorrente de perto, como o caso envolvendo a rede de hotéis Hilton e Starwood, em 2008.
O mais comum mesmo segue duas linhas de orientação: contratar detetives para espionar diretores, grampear ligações telefônicas, invadir e-mails particulares e, a segunda linha, mais aplicada hoje no mundo, inclusive e principalmente por militares de diversas nações. Um exemplo clássico de espionagem utilizando detetives é o caso Procter & Gamble, cujo acordo com a Unilever resultou em multa de dez milhões de dólares em 2001.
Já, casos envolvendo invasão de servidores, espionagem industrial através de sistemas de ataques a redes de segurança tanto de empresas quanto governamentais são elevados. O caso mais recente trata da acusação de empresas americanas de que a China estaria por trás do roubo de informações sigilosas das empresas, através de ataques maliciosos na internet. O uso da espionagem industrial internacional recebeu até o nome de cyber-espionagem.
A Constituição brasileira trata da espionagem industrial nos artigo V, inciso XXIX. O tema é tratado também pela Lei Federal 9.279/1996, artigo 195, incisos X e XI. Como não poderia de deixar, a espionagem industrial pode ser enquadrada no Código Penal, Decreto-Lei 2.848/1940.
O fato é que mesmo com leis que tornam a prática ilegal, em um crime de espionagem industrial tipicamente bem realizado, não existem quaisquer evidências que comprovem o fato. Qualquer um, a qualquer momento dentro das organizações pode se envolver nesta prática. Porém, os maiores riscos deste tipo de crime estão relacionados aos dados digitais, armazenados em computadores, notebooks e smartphones. Qualquer descuido da equipe de TI na empresa pode permitir a extração dos dados digitais através de pen drives ou outros dispositivos móveis.
Projetos de anos podem ser comprometidos e empresas levadas a falência. Um caso que podemos citar é o das empresas SAMSUNG x LG, que levou 11 pessoas para a cadeia por espionagem industrial na tecnologia Amoled, que estava sendo desenvolvida pela SAMSUNG.
Ninguém, absolutamente ninguém está livre de ser vítima ou por empresas concorrentes, ou por funcionários corruptos, que se apropriam indevidamente de dados e informações da empresa para se beneficiarem no futuro. A ingenuidade e o despreparo da empresa com relação a segurança corporativa podem levá-la a ruína e a falência total.
Para discutir melhor o assunto, pedimos a Orácio Kuradomi, especialista em Segurança da Internet há 20 anos, consultor de segurança virtual da Rede Globo, Rede Record, Rádio Jovem Pan e fundador da Micro Frequency, que nos esclareça sobre como se proteger deste crime usando tecnologia dentro das empresas.
Bom, para impedir que uma agência de espionagem extraia dados privados, contamos com diversos recursos no mercado.
O primeiro recurso é a utilização de um bom Firewall, que tenha atualizações constantes e que esteja bem configurado.
O segundo recurso é a implantação de um kit ANTI completo que contenha um anti-vírus, um anti-SPAM e um anti spyware. Dê preferência aos mais conhecidos do mercado, e os mesmos devem estar bem configurados e que as atualizações sejam feitas diariamente.
O terceiro recurso é ter criptografado todos os aquivos de dados e informações da empresa, dificultando que a pessoa que consiga ter acesso ao arquivo, não consiga decifrar seu conteúdo.
Orácio existe alguma proteção contra dispositivos móveis como pen drives, ou melhor, tem como saber de onde um dado foi extraído, com todos os detalhes que ajudem a identificar o possível crime?
Atualmente não há como identificar de onde foi gravado um arquivo, o que é possível e viável, é a prevenção, desabilitando o acesso de portas USB de máquinas e terminais, bloqueando a função de gravação em memórias externas como HD Externo, Drive DVD e pen drives.
Por quais outras vias os criminosos se infiltram nas redes das empresas para realizar espionagem industrial ?
O mais comum é através de e-mail, onde eles criam curiosidade fazendo com que o próprio usuário aceite a entrada do programa espião método conhecido como engenharia social. Geralmente solicitam que cliquem em um link, exemplo: seu nome está no SERASA clique aqui para ver, Foi realizado o depósito em sua conta conforme combinado, clique aqui para ver o comprovante...
Outra maneira é rastreando a segurança da sua rede de internet, há vários programas que procuram por redes vulneráveis, aquelas que não possuem firewall ou que possui porém está desatualizado ou mal configurado, se a rede estiver vulnerável a invasão é realizada em segundos e todos os dados e arquivos podem ser copiados, desviados e monitorados até em tempo real.
E em caso de extração de dados feitas através de Smartphones? Como evitar que estes casos ocorram? Como proteger dados que são acessados de forma móvel, fora da empresa?
O melhor meio é não deixar disponível o acesso direto a arquivos, somente pesquisas em tela, sem opções de downloads.
No caso de vendedores, bloquear acesso a lista completa de clientes, deixar visível somente os que forem de sua competência, através de níveis de acesso.
E no caso do Home Office? Um funcionário pode muito bem salvar estes dados ou imprimi-los em seu trabalho em casa, ou pode fornecer estes dados na própria residência. O que se pode fazer? Há tecnologia disponível para saber por exemplo se um documento foi extraído com fins criminosos?
O Home Office está sendo muito difundido atualmente e não há como saber qual é a real intenção em se imprimir listagens ou fazer downloads de arquivos de dados.
Mas como medida preventiva, deve-se dificultar ao máximo o acesso a dados gerais, tais como listagem geral de clientes, download de arquivo de clientes por região, dentre outros... evitando e dificultando assim o interesse mal intencionado, como vender ou repassar a listagem ou arquivos para outros.
Hoje sua empresa atende empresas do Brasil todo. Há dados ou estatísticas de crimes de espionagem industrial realizadas nas empresas que hoje atende? Existe algum caso em que conseguiu evitar ou descobrir um caso de espionagem industrial através do seu produto tecnológico?
A grande maioria das empresas que atendemos, sofrem com este tipo de problema, posso dizer que 50% de nossos clientes já pegaram algum tipo de espião infiltrado em sua organização, seja repassando dados e clientes para concorrentes até recebendo propinas como a tão conhecida "bola".
Citarei 4 casos:
Caso 1 - Parente de uma indústria infiltrado dentro da concorrente.
Um jovem foi infiltrado no departamento de marketing de uma indústria, trabalhando como funcionário, porém de lá repassava informações através de e-mail e msn para o parente que é dono de outra indústria concorrente.
Com a implantação do ÚnicoNET, descobriu-se esse espião e o mesmo além de ser mandado embora por justa causa ainda sofre processo.
Ele participava da criação de novos produtos e de todas as ações promocionais, repassando tudo para a indústria concorrente.
Com a implantação do ÚnicoNET, descobriu-se esse espião infiltrado e a mesmo além de ser mandado embora por justa causa ainda sofre um processo.
Caso 2- Vendedor recebendo "Bola por fora" de outra empresa.
O vendedor de uma distribuidora da fábrica, recebia uma comissão maior em 2 produtos que a empresa fabricava e toda vez que um cliente solicitava os tais produtos ele desviava a venda para a empresa concorrente, dizendo não ter em estoque, porém havia, tudo isso começou com 1 vendedor e se extendeu a 5 outros de um total de 25 vendedores.
Com a implantação do ÚnicoNET descobriu-se todo processo, uma vez que foi monitorado todas as conversas e também gravado os emails enviados e recebidos, os 6 vendedores forma demitidos por justa causa no mesmo momento que foi comprovado.
Caso 3- Empresa tinha tudo monitorado.
Uma empresa tinha toda sua rede monitorada, ou seja, implantaram programas espiões que monitoravam em tempo real tudo que as pessoas digitavam e também observavam em tempo real o vídeo de cada um dos 30 computadores que havia na rede.
Com a implantação do ÚnicoNET toda rede ficou segura, foi detectado as máquinas que enviavam dados automaticamente e outras que estavam conectadas on line e sendo monitoradas.
Caso 4- Industriário com problemas ao dispensar o profissional de TI.
Numa média indústria o dono desconfiou que o profissional de TI era mais amigo dos funcionários do que dele, quando pegou relatórios fraudados e alterados fazendo com que vendedores recebessem comissões maiores, além de casos que comprometiam um ou outro funcionário ele excluia dos relatórios não comprometendo então os seus colegas de trabalho porém causando diversos prejuízos na indústria.
Ao descobrir ele resolveu mandá-lo embora por justa causa, foi quando começou as ameaças, afinal de contas tudo ficava na mão deste profissional e o mesmo tinha acesso a todas as conversas, informações e toda movimentação de dados da empresa e disse que queria um acerto bem alto para não expor tudo na mídia social.
Após a implantação do ÚnicoNET toda a rede de internet da empresa ficou organizada e monitorada e os acessos a dados confidenciais e relatórios ficou somente para a diretoria da empresa.
Por fim, Orácio Kuradomi, porque é importante a empresa ter controle da segurança da sua rede e investir em sistemas de controle e segurança de internet? Há uma visão de que investir em segurança de redes e controle de internet é um custo extremamente elevado, essa premissa é verdadeira?
Realmente o custo elevado e a exigência de um profissional especializado torna o investimento na segurança da informática totalmente para segundo ou até terceiro plano.
Além de todos os dados da empresa ficar na mão de uma só pessoa, imagine todos os departamentos e até o próprio diretor ficar a mercê de um técnico que monitora tudo.
Hoje para se ter uma gestão de qualidade a empresa deve adquirir mais de 10 ferramentas somente para o controle da internet da mesma.
Pensando em tudo isso, criei o ÚnicoNET, um sistema prático, fácil que não requer um profissional especialista, qualquer pessoa com um mínimo conhecimento com 4horas de treinamento estará habilitado para operar as mais de 15 ferramentas essenciais para uma boa gestão da rede e os dados confidenciais poderá ser acessado somente pela pessoa responsável que pode ser o próprio diretor.
entrevista concedida por: Oracio Kuradomi
Especialista em segurança da internet.
Algumas fontes utilizadas:
http://www.eletronicaromualdo.com.br/assistencia-samsung/samsung-foi-alvo-de-espionagem-industrial
http://exame.abril.com.br/gestao/noticias/10-casos-de-espionagem-industrial#7
http://jus.com.br/artigos/22668/a-espionagem-no-direito-brasileiro/2
Orácio, até que ponto os sistemas de segurança existentes podem impedir uma agência de espionagem de extraírem dados privados de empresas?
Quando o assunto é segurança da rede de informática de uma empresa, chegamos a conclusão que o tema é amplo consequentemente complexo e custoso.
A informática está em todas as áreas da empresa, seja monitorando através de câmeras, seja fornecendo dados e informações através de um sistema de gestão, seja conectada a internet para realizar transações financeiras, comerciais e de pesquisas em geral, além de interligar matriz e filiais e fazer toda gestão de telefonia através da rede de Voz sobre IP (VoIP), documentos e arquivos trafegam a todo instante através de e-mail, redes sociais e outros...
