Como evitar as sabotagens internas
Definir claramente quais membros da equipe de TI têm privilégios é crucial para prevenir ataques internos
Prevenção de ataques externos para sistemas de TI é uma tarefa enorme e crítica para a maioria das empresas. Mas o que as empresas estão fazendo para impedir ataques semelhantes quando eles vêm de dentro? Essa é uma pergunta que mais empresas devem estar se perguntando diante do número crescente de casos de sabotagem, causadores de grandes perdas monetárias e, muitas vezes deixando-as off-line por dias ou semanas.
Em meados de agosto, Jason Cornish, ex-consultor de TI da subsidiária da empresa farmacêutica japonesa Shionogi nos EUA, se declarou culpado de ter se infiltrado remotamente e sabotado a infraestrutura de TI da empresa, em fevereiro deste ano. Ele apagou 15 sistemas VMware que serviam de base a sistemas de e-mail, rastreamento de pedidos, dados financeiros e outros serviços da companhia de Nova Jersey.
“O ataque de fevereiro congelou as operações da empresa por alguns dias, deixando funcionários sem poder enviar mercadorias, descontar cheques ou mesmo se comunicar por e-mail”, afirmou o Departamento de Justiça dos EUA em uma ação judicial. O custo total para a Shionogi foi de 800 mil dólares.
Usando uma conta da Shionogi, Cornish pôde entrar na rede da empresa e disparar o console de gerenciamento vSphere VMware que ele havia instalado em segredo na rede da companhia algumas semanas antes. Pelo vSphere, ele apagou 88 servidores da empresa dos sistemas de hospedagem VMware, um a um.
Analistas de segurança de TI dizem que incidentes deste tipo devem servir de alerta de que as empresas trabalhem duro contra ataques semelhantes, observando etapas básicas de segurança e bom senso. É fundamental lembrar que as ameaças de intrusão podem vir de dentro de suas paredes corporativas a qualquer momento, e não apenas de fora de seus firewalls.
"A única coisa a fazer é tentar separar as funções de modo que tudo o que aconteça exija complicidade entre duas pessoas ou mais para realizar a fraude ou causar danos", diz Pete Lindstrom, analista de Segurança da Spire. "A maneira mais simples de fazer isso é adotar medidas pró-ativas e um sistema de registro ou acompanhamento que grave as atividades de cada sistema."
O desafio, diz Lindstrom, é que os funcionários encarregados da interface entre as áreas de negócios e as equipes de TI são frequentemente tidos como peritos em seus departamentos e sabem como contornar tais proteções. " Um atacante muito inteligente pode fazer muita coisa para se esconder", completa.
Além de manter uma separação de funções, é importante saber quem realmente sua empresa está contratando para assumir as tarefas essenciais da TI. "Certamente você deveria verificar os antecedentes", diz Lindstrom. "Se contratar alguém que sabidamente tenha um histórico de pirataria, esse é um risco que você precisa avaliar."
As empresas também devem trabalhar duro para limitar o uso de contas de administrador de TI que são compartilhadas entre integrantes da equipe, diz ele. "Você deve tentar convencer os administradores que eles não devem querer a responsabilidade de ter todos os acessos, uma vez que todo policial parte do princípio de que toda sabotagem pode partir, inicialmente, de alguém da própria empresa e se algo acontecer, eles serão os primeiros suspeitos."
Delinear claramente quais membros da equipe de TI têm privilégios e responsabilidades específicas é crucial para prevenir ataques internos, diz Lindstrom.
Dan Twing, presidente e COO Enterprise Management Associates, alerta para o fato de que vários passos importantes podem ser tomados pelas empresas para se proteger contra sabotagem interna antes que ela ocorra:
1:: Criar e manter uma boa documentação para redes e recursos utilizados por diversos integrantes do departamento de TI. Isso significa ter registros e controles fimes de senhas e pontos de acesso, bem como documentação clara da infraestrutura de sistemas, no local e fora das instalações. "Há tanta coisa que não está documentado pelos departamentos de TI", diz ele. "Algumas pessoas de TI não escrevem as coisas para que possam posar de heróis em uma emergência ao correrem para consertar as coisas, ou por serem preguiçosos demais para isso."
2:: Manter sempre uma conta de acesso do tipo "super administrador", para que sua empresa possa manter o alto nível de controle sobre seus sistemas de modo a combater e evitar a infiltração. Certifique-se que as atribuições dessa conta estejam claramente documentadas e sob controle de poucos funcionários seniores e de confiança da corporação.
3:: Crie procedimentos para mudanças rápidas e claras para as senhas administrativas, para que nenhum trabalhador possa fazer mudanças no sistema ao deixar a empresa. Se eles precisam de acesso para alguma coisa, eles podem ter acesso compartimentado, supervisionado por outros membros da equipe de TI.
4:: Use ferramentas de TI que permitam que você defina limites e alertas quando atividades inesperadas ocorrerem na rede. Esse cuidado pode ser fundamental para detecção de possíveis sabotagens. "Lembre-se que você precisa estar monitorando processos e sistemas internos, tanto quanto monitora o seu perímetro para manter os hackers afastados", diz ele. "Pelo menos você pode parar algo interno antes que se torne grande. Não basta assumir que o seu perímetro externo é o único lugar onde as coisas ruins podem acontecer."
Segundo Andrew Walls, analista de segurança do Gartner, o ponto crítico em tudo isso é garantir que o seu pessoal de TI tenha os poderes necessários para fazer seu trabalho e, ao mesmo tempo, estabelecer limites sobre os sistemas.
"Muitas organizações têm essa idéia de que a infraestrutura de TI é um mundo misterioso e que os magos que residem lá têm que ser sempre confiáveis", diz Walls. "Essa ideia caiu por terra há muito tempo. As mesmas regras que governam o resto do pessoal da sua empresa têm que se aplicadas à sua equipe de TI."
No caso da Shionogi, Paredes chama atenção para a ironia do fato de o ex trabalhador de TI ter usado ferramentas licenciadas pela empresa para causar o dano, que poderia ter sido evitado se o seu acesso à rede tivesse sido removido de imediato, antes ou até 20 minutos após a sua saída da empresa. "Em termos inequívocos, se você demite uma pessoa, seu acesso deve desaparecer imediatamente, e não em cinco ou 20 horas. Em muitas organizações, eles realmente começam a remover os privilégios de acesso antes que a pessoa tenha deixado o prédio. Foi esse descuido que permitiu o ataque."
No caso da Shionogi, Cornish renunciou depois de uma disputa, mas a empresa o contratou como temporário para que pudesse terminar um projeto para eles, de acordo com o IDG News Service. Poderia ter sido um erro fatal, diz Paredes.
"Preocupo-me com uma organização que diz: 'Nós não gostamos do que esse cara está fazendo. Vamos transformá-lo em um terceirizado e, por isso, manter seus privilégios de acesso", diz Walls. "Se alguém não é confiável para ser empregado, não deve ter acesso ao seu ambiente. E se o seu sistema é tão complicado que você não possa substituir um membro de sua equipe rapidamente, então você tem um problema maior."
Uma maneira simples de ajudar a evitar tais problemas é trabalhar em conjunto com as áreas de negócios, como uma única equipe, e conhecer bem cada membro dessa equipe.
"O gerente de negócios precisa ter relação pessoal com os seus gestores de TI e conhecê-los pelo primeiro nome," opina Walls. "Precisam se falar regularmente. A empresa precisa saber quando uma pessoa de TI está saindo dos trilhos e a única maneira de fazer isso é ter relações pessoais e conhecer uns aos outros. Pessoas de TI não deve ser tratadas como “pessoal de suporte”, isoladas em uma mesa separada, mas como parte da empresa e parte da equipe."