Administrando empresas na era do cibercrime

Estratégias de contrainteligência podem ajudar as empresas a se proteger de ciberataques

O Estado de S.Paulo

02 Setembro 2015 | 02h05

Até pouco tempo atrás, segurança era uma questão que a maioria das empresas resolvia instalando boas fechaduras, portas e janelas reforçadas e câmeras de vigilância, contratando recepcionistas para controlar entrada e saída dos visitantes e prevenindo os funcionários para que não esquecessem documentos confidenciais na máquina de xerox. Mas os ataques aos sistemas de informática das corporações - sejam eles conduzidos por empresas concorrentes, ativistas políticos, criminosos ou governos estrangeiros - representam uma ameaça contra a qual é muito mais difícil se proteger e cujas consequências podem ser bem mais desagradáveis do que as deixadas por um arrombamento físico.

Entre os possíveis alvos estão a própria reputação da companhia, sua propriedade intelectual ou sua capacidade de prestar serviços aos clientes - para não falar de seus saldos bancários. Muitas vezes nunca se descobre quem foi autor do ataque, qual sua motivação, ou mesmo a real extensão das informações subtraídas, de modo que, uma vez invadidas, as empresas não têm como ter certeza de que fizeram o bastante para estancar o vazamento.

Atualmente, se há um item com o qual os conselhos de administração se mostram tentados a gastar quantias vultosas é a cibersegurança. Antes do recente ataque ao site Ashley Madison, uma espécie de intermediário online de encontros adúlteros, o exemplo mais famoso, re

gistrado no ano passado, era o da Sony Pictures, em que invasores desconhecidos despejaram na internet uma enxurrada de e-mails constrangedores, informações pessoais de funcionários e cópias de filmes ainda inéditos. Mas diversos outros casos menos proeminentes, que resultaram em prejuízos elevados para as companhias atingidas, vêm se sucedendo com regularidade.

No início de agosto, o FBI (polícia federal dos Estados Unidos) informou ter descoberto um esquema em que alguns hackers, depois de invadir os computadores de três empresas dedicadas à distribuição de comunicados corporativos, embolsaram uma fortuna vendendo informações comercialmente sensíveis antes de elas serem oficialmente divulgadas. Também em agosto, a americana Ubiquiti Networks, uma fabricante de equipamentos de redes sem fio, admitiu ter sido vítima de criminosos que falsificaram e-mails de um de seus executivos, determinando que o departamento de finanças da companhia transferisse US$ 46,7 milhões para contas bancárias espúrias. Os clientes da britânica Carphone Warehose, uma varejista de telefones celulares, estão pondo a boca no trombone depois de muitos deles terem tido suas informações financeiras furtadas por hackers que invadiram os computadores da empresa.

Muitas companhias agora contratam "testes de penetração", a fim de verificar a solidez de suas defesas, tanto no mundo online, como no real. Esses testes podem ajudá-las a identificar fragilidades imprevistas, antes que elas sejam usadas por alguém com más intenções. Acontece que, tão logo um buraco é tampado, os hackers saem em busca de outros. Por isso, é importante que os executivos adotem algumas artimanhas do mundo da espionagem. Agentes de contrainteligência partem do princípio de que seus adversários estão, a todo momento, à procura de fragilidades para explorar. Em vez de tentar identificar cada uma das possíveis linhas de ataque de que podem ser vítimas, seu objetivo é minimizar os prejuízos quando alguma invasão acontece e, se possível, tirar proveito da situação.

A primeira lição dos mestres da espionagem é que manter todas as coisas acessíveis numa rede interna é uma facilidade que às vezes precisa ser sacrificada. Em certos casos, as agências de inteligência nem recorrem a computadores para armazenar suas informações mais importantes - as máquinas de escrever e o papel carbono ainda têm sua utilidade. Informações sensíveis são repartidas entre diferentes agentes, sem que nenhum deles as conheça em sua inteireza. Quem precisa saber o quê, de que maneira serão estabelecidas as normas que regularão o compartilhamento de informações e quem ficará encarregado de fazer com que elas sejam cumpridas são questões sobre as quais os órgãos de inteligência costumam queimar as pestanas. As empresas podem adotar essa mesma estratégia de "defesa em profundidade", a fim de evitar que intrusos eletrônicos reúnam quantidade suficiente de informações para causar prejuízos mais sérios.

Com muita frequência, os ataques de hackers são facilitados pela negligência. Mas, com punições e incentivos adequados, pode-se adquirir bons hábitos de segurança informática e descartar práticas imprudentes. De qualquer forma, o exemplo tem que vir de cima - e é por isso que os responsáveis pela inteligência americana não entendem como Hillary Clinton pôde ter sido tão descuidada a ponto de manter e-mails oficiais num computador particular no período em que foi secretária de Estado dos EUA. Quando o chefe não leva a cibersegurança à sério, seus subordinados também não levam.

Outra lição a ser aprendida com os espiões é a prática do despiste. A melhor maneira de descobrir se alguém está sendo vítima de um ataque é oferecer um alvo tentador. As "iscas" são computadores, redes e arquivos falsos, mas de aspecto convincente, que chamam a atenção de eventuais hackers, ao mesmo tempo em que denunciam sua presença a observadores ocultos. Exemplo: um banco americano introduziu em sua rede interna vários perfis de funcionários imaginários, com seus respectivos endereços de e-mail. Sempre que recebia solicitações de transferência eletrônica endereçadas a um desses perfis falsos, a instituição sabia que o remetente provavelmente era alguém tentando aplicar um golpe.

Quando se sabe a identidade do invasor e seus objetivos, a vítima têm algumas opções. Muitas vezes dá para chamar a polícia: na maioria dos países, invadir a rede de terceiros é crime. Mas isso não ajuda muito se o invasor estiver num país que não respeita os tratados da comunidade internacional. Nesse caso, o jeito é reunir mais informações sobre o invasor, a fim de obter uma visão sobre seus objetivos e recursos. Se, por exemplo, ele estiver tentando roubar detalhes técnicos de determinado produto, trata-se de fazer com que ele tenha acesso a documentos fictícios que talvez o enganem. Em 2012, agentes de inteligência da Geórgia colocaram um arquivo com o nome de "Acordo entre Geórgia e Otan" numa rede de computadores que eles sabiam ter sido invadida por hackers russos. O documento era falso, claro - e também continha um vírus que permitiu aos georgianos contraespionar os russos. Se bem que, para a maioria das empresas, isso já seria ir longe demais.

Dando trela à paranoia. Os executivos das empresas também fariam bem se experimentassem um pouco da paranoia construtiva que os agentes de inteligência adotam quando lidam com tecnologia. Exemplo: em viagens de negócios ao exterior, o ideal é levar um laptop descartável, que não contenha informações sensíveis; e partir do pressuposto de que alguém tentará introduzir spywares nele.

Os espiões sabem que a vida íntima e familiar das pessoas são uma vulnerabilidade a ser explorada: um executivo de uma companhia de segurança corporativa diz saber de casos em que criminosos furtaram os smartphones do cônjuge ou dos filhos de presidentes de empresas familiares, a fim de acessar informações bancárias ou outros detalhes eventualmente úteis. E-mails de velhos conhecidos ou colegas de trabalho devem ser sempre tratados com desconfiança: pode ser que tenham sido enviados por alguém que, tendo vasculhado a conta de um executivo no LikedIn ou no Twitter, esteja tentando se fazer passar por um de seus contatos. Não é preciso ser paranoico para comandar uma empresa na era do cibercrime, mas ajuda.

© 2015 THE ECONOMIST NEWSPAPER LIMITED. DIREITOS RESERVADOS. TRADUZIDO POR ALEXANDRE HUBNER, PUBLICADO SOB LICENÇA. O TEXTO ORIGINAL EM INGLÊS ESTÁ EM WWW.ECONOMIST.COM.

 

Mais conteúdo sobre:
theeconomist tecnologia

Encontrou algum erro? Entre em contato

O Estadão deixou de dar suporte ao Internet Explorer 9 ou anterior. Clique aqui e saiba mais.