Se você se preocupa com a segurança dos dados de sua empresa, deve também ter cuidado com a presença dos elofants na rede. Eu mesmo tenho visto muitos casos. Por isso, se a rede de sua empresa é estatisticamente normal, é possível que (estatisticamente) abrigue pelo menos um ELOFANT, também conhecido em inglês como: Employee Left Or Fired, Access Not Terminated (empregado que pediu demissão ou foi despedido, mas que não teve sua permissão de acesso cancelada).
Embora ninguém pense mal das pessoas que por algum motivo já não fazem parte da empresa (podem ter sido colegas e amigos), a dura realidade da cibersegurança e a natureza humana fazem com que essas “contas fantasma” não canceladas possam se transformar em uma ameaça para a organização.
Para ser mais claro, podem colocar em risco a confidencialidade, integridade e disponibilidade da segurança do sistema informático corporativo.
No entanto, antes de continuar falando sobre os riscos e medidas, quero compartilhar alguns dados que respaldam as minhas considerações.
O enfoque do relatório DBIR
Desde os últimos anos, nos Estados Unidos, a Verizon publica a cada segundo trimestre do ano, o Relatório de pesquisa sobre vazamento de dados (DBIR, sua sigla em inglês). A publicação é o relatório mais abrangente de incidentes de segurança e estatísticas de violação e análise rotineiramente disponibilizado ao público em geral.
O conjunto de dados de 2016 superou os 100.000 incidentes, dos quais mais de 3.000 foram fugas de dados confirmadas. Os assuntos destacados do relatório do ano passado foram os seguintes:
- O ganho financeiro voltou a ser o principal motivo por trás de ataques internos.
- O número de “ataques secundários” (ou seja, os realizados em uma instituição para ajudar a concretizar ataques a outra instituição) é cada vez maior.
- Muito mais pessoas (não menos) abrem os emails de phishing (a taxa de abertura foi de 23% a 30%).
- O phishing está ganhando terreno nas duas principais categorias de ameaças: os ataques e o malware (uma descoberta amplamente ressaltada no último relatório do APWG).
- A detecção dos crimes está demorando muito mais: o tempo que transcorre entre o momento de infecção e detecção aumentou 35% desde o relatório DBIR publicado em 2015.
Enquanto o público em geral, provavelmente não lê o DBIR, quem trabalha com segurança normalmente busca ter acesso às informações e, inclusive, se interessaria em ler o documento mesmo que não fosse escrito de forma tipicamente bem-humorada. No entanto, esse senso de humor é o que nos ajuda a engolir outra dose mais evidência de que o esforço coletivo (que ocorre no mundo inteiro) para proteger os dados e os sistemas contra o acesso não-autorizado ainda é insuficiente.
Para mencionar um exemplo do estilo do relatório, transcrevo a observação que é feita sobre a categoria de infrações denominada “Uso indevido causado por pessoal interno e os privilégios de acesso”. O DBIR alerta que: “Em geral se refere exclusivamente a TGYFBFTDHRA”. Essa sequência de letras em maiúsculo tem um rodapé onde explica seu significado “That guy you fired but forgot to disable his remote access”. (Esse cara que você despediu, mas esqueceu de cancelar o acesso remoto).
E isso me deixou pensando em algumas coisas, entre as quais incluo uma sigla mais simples: estou falando do ELOFANT. Por que? Porque as pessoas que você despediu da empresa não são a única fonte de acesso que deve se preocupar.
Embora esteja por dentro dos casos nos quais um incidente de segurança se remeta a um empregado despedido, mas que a permissão de acesso não foi cancelada, também existem casos nos quais funcionários que pediram demissão por sua conta, em seguida, utilizaram indevidamente seu acesso a informações da empresa.
A realidade é que as circunstâncias vão mudando e surgem novos motivos para realizar atos maliciosos. Também é possível que um concorrente o contrate e, em seguida, o pressione para roubar segredos comerciais, a lista de preços ou a base de dados confidenciais de clientes. Por mais que tenham tido bons momentos profissionais na empresa, às vezes, mudam sua atitude: talvez considerem que sua indenização não foi o que na realidade mereciam ou esteja desiludido com a cobertura do plano de saúde depois do processo de demissão.
Os elofants continuam sendo o pessoal interno
Para aprender a administrar melhor essa ameaça, em particular, os profissionais de segurança podem pesquisar os inúmeros estudos de casos documentados pelo Centro de Ameaças Internas do CERT (veja referências mais abaixo). O Centro documentou centenas de crimes informáticos realizados internamente que afetaram a empresas de diversos setores, como bancos (Randazzo, Keeney, Kowalski, Cappelli, e Moore, 2004), tecnologia da informação e telecomunicações (Kowalski, Cappelli, Moore, 2008), infraestrutura crítica (Keeney, Kowalski, Cappelli, Moore, Shimeall e Rogers, 2005), e serviços financeiros (Cummings, Lewellen, McIntire, Moore, e Trzeciak, 2012).
Embora o principal objetivo do Centro seja descobrir e difundir os métodos práticos para minimizar as ameaças internas, os estudos de casos são analisados de acordo com os padrões acadêmicos: por exemplo, foram consideradas as limitações metodológicas, como a impossibilidade de gerar os resultados para todas as empresas (Cappelli et al, 2012).
Os estudos nos revelam a forma na qual uma ampla gama de pessoal interno aproveita qualquer oportunidade para cometer delitos, com frequência, por meio da simples traição da confiança depositada neles como funcionários ou contratados. Alguns deles, como Edward Snowden (Poitras, 2014), contam com um amplo acesso de “super usuário” aos ativos da organização, tanto físicos ou digitais; no entanto, o CERT registrou muitos casos nos quais os delitos foram cometidos por um empregado com poucos conhecimentos técnicos e com apenas um acesso limitado.
Enquanto continuam tendo acesso, os elofants devem ser considerados pessoal interno de confiança, e a seguinte frase é, sem dúvidas, correta quando falamos deles: nunca tenha muitas pessoas com acesso a tanta informação computadorizada de muito valor. Por outro lado, nunca foi tão fácil como agora transferir a informação roubada e transformá-la em dinheiro (Ablon, Libicki y Golay).
Além disso, o fato de serem pessoal interno complica ainda mais a situação, assim como indica o relatório do DBIR de 2016: “Descobrimos que os incidentes maliciosos que mais demoram para serem detectados são os relacionados com os funcionários internos”. Então, quais são as empresas que são mais infectadas pelos ataques internos? Segundo o DBIR, em 2015, eram as empresas dos setores público, sanitário e financeiro, tais como as empresas de cartões de crédito, os bancos e os credores.
A defesa contra a ameaça interna é um sério desafio para todas as empresas. Nestes casos, é muito útil ler a série de estratégias de defesa explicadas com detalhes pelos guias do CERT (veja os links abaixo). O relatório DBIR em si oferece três sugestões que considero muito assertivas e que podem ser resumidas da seguinte forma:
- Monitore o acesso dos empregados aos dados valiosos (é útil contar com um bom programa de prevenção de fuga de dados).
- Controle o uso das mídias removíveis (por exemplo, instale um bom pacote de segurança ou de criptografia).
- Administre e limite os privilégios de acesso, excluindo esses elofants do sistema!
Leia também: Após a autenticação, é hora da autorização e do controle do acesso.
Referências em inglês (arquivos em PDF)
Ablon, L., Libicki, M., y Golay, A. (2014). Markets for Cybercrime Tools and Stolen Data: Hackers’ Bazaar. Rand Corporation.
Cappelli, D., Moore, A., y Trzeciak, R. (2012) The CERT Guide to Insider Threats: How to Prevent, Detect, and Respond to Information Technology Crimes (Theft, Sabotage, Fraud), Upper Saddle River, NJ: Addison-Wesley Professional.
CERT (2011) 2011 CyberSecurity Watch Survey: How bad is the insider threat? CERT Insider Threat Team, Pittsburgh: Carnegie Mellon University, Software Engineering Institute.
Coles-Kemp, L. y Theoharidou, M. (2010) ‘Insider Threat and Information Security Management’ en Insider Threats in Cyber Security – Advances in Information Security, 49, (Eds, Probst, C., Hunker’, J., Gollmann, D. y Bishop, M.), Nueva York: Springer, 45-72.
Cummings, A., Lewellen, T., McIntire, D., Moore, A., y Trzeciak, R. (2012), Insider Threat Study: Illicit Cyber Activity Involving Fraud in the U.S. Financial Services Sector, Software Engineering Institute, Carnegie Mellon University, (CMU/SEI-2012-SR-004).
Keeney, M., Kowalski, E., Cappelli, D., Moore, A., Shimeall, T., y Rogers, S. (2005) Insider Threat Study: Computer Systems Sabotage in Critical Infrastructure Sectors, CERT, Software Engineering Institute, Carnegie Mellon University.
Kowalski, E., Cappelli, D., and Moore, A. (2008) Insider Threat Study: Illicit Cyber Activity in the Information Technology and Telecommunications Sector, Software Engineering Institute y United States Secret Service.
Poitras, L. (Director) (2014) Citizenfour (Film), Estados Unidos: HBO.
Randazzo, M., Keeney, M., Kowalski, E., Cappelli, D. y Moore, A. (2004) Insider threat study: Illicit cyber activity in the banking and finance sector, Philadelphia: Carnegie Mellon University, Software Engineering Institute.