E quando o vazamento de informações é interno?

por

Embora se dê muita ênfase ao vazamento externo de dados, o acesso interno à informações confidenciais também pode impactar o negócio. E um incidente recente mostra que isto independe da área de atuação da empresa.

Violações de segurança por usuários internos podem ser tão ou mais perigosas do que as de um hacker. Por definição, o usuário interno já tem certo grau de confiança nos sistemas, podendo até mesmo ter acesso privilegiado a determinadas informações. Ele sabe o que procurar e onde procurar. E também sabe quem pode sair beneficiado ou prejudicado em um evento de vazamento de dados.

Insider Threat

A mídia repercute diariamente o escândalo conhecido como SwissLeaks, referente à divulgação de mais de 100.000 nomes de correntistas do HSBC na Suíça, com a suspeita de que várias destas contas envolvem dinheiro de corrupção ou ao menos valores não declarados ao fisco. O que pouca gente sabe é que o vazamento se deu via um funcionário do banco, que foi preso ao tentar vender as informações roubadas. Seu laptop foi apreendido, mas os dados já haviam sido copiados para servidores na nuvem. Uma vez em liberdade provisória, ele entregou a lista para jornalistas franceses e passou a fugir das autoridades e possivelmente de seus cúmplices também.

Aqui no Brasil, um caso sacudiu um tradicional colégio privado de São Paulo. O Colégio Bandeirantes migrara boa parte da sua infraestrutura de TI para a nuvem, mas um erro nas permissões de acesso possibilitava que qualquer um de posse de uma conta válida acessasse as fichas dos alunos, contendo informações privadas dos estudantes e observações por vezes constrangedoras por parte dos professores. Um aluno descobriu isto, gravou um vídeo com o passo a passo de como acessar e compartilhou as instruções com seus colegas via WhatsApp. O teor das informações divulgadas colocou os pais dos alunos em pé de guerra com o colégio, e não se descarta que isto termine nos tribunais.

E quem são estes indivíduos?

Segundo o CERT, existem três perfis típicos de agentes internos de ameaça:

  1. Modificação ou roubo de dados com objetivo de ganho pessoal;
  2. Roubo ou venda de informações de clientes ou produtos para concorrentes;
  3. Sabotagem de dados, sistemas e redes internas.

Esta lista só considera as ações maliciosas, mas muitas vezes os vazamentos podem se dar de maneira acidental. Imagine o estrago do envio por email de informações sobre folha de pagamento e remuneração para um destinatário errado. Ou quem sabe a lista com cortes de pessoal previstos.

O caminho para lidar com estas ameaças começa na Política de Segurança. Mas ela por si só tem eficácia limitada para educar ou dissuadir os usuários, se não for acompanhada de um programa amplo de Conscientização de Segurança. Feitos os fundamentos, é necessário monitorar o que está acontecendo e coibir abusos. Aqui entram desde soluções de gerenciamento de contas privilegiadas, monitoramento e alerta em caso de acesso a arquivos confidenciais, controle granular de logon, entre outras. Sem os mecanismos de controle e auditoria previamente implementados, só restará lamentar em caso de um incidente e arcar com os seus custos.

Categoria : Conscientização de Segurança
Tags : , , ,