Renato Farias (*)
Até onde governos e empresas se preocupam com a privacidade de nossas informações? Até onde eles deveriam se preocupar em manter esses dados seguros e se responsabilizar caso algo aconteça?
Nos últimos dias, os dados pessoais de mais de 50 milhões de cidadãos turcos foram expostos na internet por um ativista chamado Thomas White, mais conhecido no Twitter como @CthulhuSec. Em seu site, White informa que a base hackeada foi a do cadastro nacional da polícia turca, porém algumas fontes externas dizem que a base hackeada na verdade seria a do cadastro eleitoral turco de 2009.
Independente de qual seja a origem destes dados, este vazamento de informação nos traz uma séria reflexão: a privacidade e segurança dos nossos dados; questionando até onde as autoridades tomam as medidas necessárias para manter a privacidade de nossas informações pessoais e quais seriam os controles de segurança efetivos implementados para tal proteção.
De acordo com o White, o governo turco já sabia das falhas de segurança em seu sistema e as providências tomadas não foram suficientes para impedir o vazamento das informações, como por exemplo: Criptografia fraca; Utilização de senhas dentro do código de programação; e Estrutura de banco desorganizada e não indexada. Não sabemos ainda quais serão as reais consequências do vazamento para a população turca, que podem ser muitas, tais como falsidade ideológica, falsificações de documentos particulares e até mesmo compras ou empréstimos indevidos. Em qualquer uma das situações, os desdobramentos podem ser ainda piores.
Mas uma coisa podemos afirmar sobre esse episódio: sem o mínimo de investimento e controle de segurança dos dados, qualquer governo ou empresa estará suscetível a este tipo de ataque. Existem diversos controles que podem ajudar a aumentar o nível de segurança da informação para se manter os pilares básicos: integridade, confidencialidade e disponibilidade. Entre os muitos controles críticos de segurança e suas respectivas ações, podemos destacar algumas fundamentais:
Monitoração de segurança com controle e auditoria nos acessos, utilizando ferramentas de apoio como SIEM para análise e correlação de logs a fim de detectar e responder incidentes de segurança; Criptografia forte com a utilização de chaves privadas; Atualização constante dos sistemas para sua última versão estável; e Autenticação multifatorial (token, SMS e etc.)
Ainda que estes e outros controles de segurança estejam implementados na rede de uma organização, não há garantia de segurança e os dados nunca estarão 100% seguros. Por isso as medidas de segurança se fazem tão importantes para que se mitiguem os riscos, aumentando a dificuldade de um ataque ser bem-sucedido.
(*) – É especialista em Segurança da Informação da Arcon Serviços Gerenciados de Segurança.