A questão é tão crítica e potencialmente danosa que podemos até dizer, sem sombra de dúvida, que o assunto está nos ‘trend topics’ das inquietações diárias de quem trabalha com tecnologia.

Não é segredo que vazamentos de dados e roubos deliberados de informações comerciais importantes, sigilosas, delicadas e de alto valor para os negócios, capazes de negativamente impactar mercados e até pessoas físicas, estão cada vez mais desenfreados.

Diariamente, milhões de pessoas no planeta disponibilizam seus dados na internet – e milhões de informações preciosas são inadvertidamente capturadas, vendidas e apropriadas para fins escusos e ilegais.

Incidentes de abuso de dados têm sido tão recorrentes que, a menos que uma violação alcance de nove a dez pontos no índice de cobertura para arquivos roubados, eles sequer são reportados pela mídia. Ou seja: a frequência é tão alta que nem vira notícia. 

As violações de dados têm afetado instituições em tantos setores da indústria que, apesar dos tutores de dados afirmarem – e solenemente garantirem – que a privacidade do cliente é a prioridade número 1, a perspectiva quase fatalista de que nada permanecerá privado ou seguro por muito tempo é generalizada.

E com a transformação digital instalando-se a passos largos em praticamente todas as organizações mundiais, eu diria que evitar exposição à tecnologia e aos riscos associados a ela é praticamente impossível.

A Fadiga da Segurança

Um dos reflexos das falhas de garantia em privacidade de dados é a crescente irritação do público com medidas de segurança - apesar das inúmeras e vigorosas advertências das equipes de TI mundo afora.

Só para se ter uma ideia, de acordo com o SplashData, que analisa arquivos invadidos, as duas senhas mais populares em 2018 foram "123456" e “password” – e ambas (pasmem!) ocupam o topo entre as principais escolhas dos usuários nos últimos 15 anos.

Lembrar várias senhas que incluem uma combinação complexa de caracteres, números e símbolos – e depois alterá-las regularmente – é uma tarefa considerada pela maioria das pessoas como difícil e irritante.

Por conta disso, elas ignoram avisos ou ainda escrevem suas senhas e as mantêm a menos de um metro do computador – o que, claramente, não é uma prática recomendada para a segurança de senhas.

Ou seja: essencialmente, em uma metáfora que cabe bem aqui, a pessoa entrega as chaves de sua casa ao ladrão.

A segurança do desktop é um problema que a tecnologia pode ajudar. As autenticações biométricas de senha são hoje uma realidade – e uma melhoria constante para tais questões, afinal é difícil replicar a face ou as impressões digitais de alguém.

Ainda assim, a maioria dos sistemas também fornece uma alternativa numérica simples de PIN quando a biometria é irreconhecível.

E mais: as pessoas são tão relutantes em mudar seu PIN como o são em modificar suas senhas, o que, novamente, abre as portas para grandes oportunidades de acessos não autorizados. Complicado, não? 

Bem, você lembra – ou já ouviu falar – das conversas presenciais à moda antiga? Elas são um bom exemplo de segurança, mas apenas porque é difícil capturá-las e transmiti-las sem que os participantes percebam.

A mesma proximidade entre as pessoas que permitiu esse tipo de comunicação mais pessoal e intimista foi a base para os layouts de escritório tradicionais.

Em tais ambientes, por exemplo, a espionagem e o roubo de documentos eram possíveis, mas não eram rotineiros.

Já hoje em dia, o cenário é outro. Sabemos que com a força de trabalho cada vez mais distribuída globalmente, as interações tendem a ser mediadas por meios eletrônicos como teleconferências, e-mails e outras formas de conectividade remota.

Trabalhadores em home office, escritórios centrais, postos comerciais remotos e em pontos de venda ou fornecedores são ‘transportados’ a vários locais e em qualquer horário, por uma variedade de redes - a maioria pertencente e gerenciada por terceiros com prioridades organizacionais e políticas de segurança que geralmente não são nada transparentes para os usuários.

Se levarmos em conta que uma dessas redes fornece várias formas de acesso, um visitante indesejado que for capaz de entrar em uma delas poderá ter acesso a centenas de outras, em uma progressão geométrica potencialmente assustadora para quebrar sigilos, invadir conversas e roubar dados.

Por isso, o alerta: fornecedores de soluções de conectividade remota, bem como especialistas de TI, precisam estar especialmente vigilantes para possíveis falhas de rede.

Engenharia Social

As falhas tecnológicas em uma rede, no entanto, não são a principal causa de vulnerabilidades de segurança. A fonte primária é o ser humano.

A contrapartida de qualquer cultura que enfatiza a confiança, a cortesia e o respeito mútuo como fundamentos da interação social (valores que, por sinal, são o alicerce para a maioria das civilizações) é que pessoas que não jogam conforme tais regras de boa conduta podem facilmente explorá-las como fraquezas.

Pessoas de má fé que possuem  autorização para compartilhar informações confidenciais para acesso a redes são peças fundamentais no jogo e na estratégia dos hackers.

Mensagens fraudulentas - geralmente disfarçadas como provenientes de um parceiro de negócios ou de outra fonte confiável - são comumente usadas para enganar as pessoas para o fornecimento de informações que darão ao remetente acesso à rede do destinatário.

Isso inclui imitar a aparência e a credibilidade da própria central de atendimento, do serviço de conexão ou do fornecedor de software do usuário. É um vale-tudo indigno para convencer os usuários a fornecer códigos de acesso essenciais.

E embora existam frequentemente sinais sobre a origem de tais mensagens incorporados no endereço do falso e-mail, eles são facilmente ignorados.

Isso pode ser resolvido, pelo menos até certo ponto, por um bom treinamento de conscientização de segurança. O próprio departamento de TI da empresa pode, por exemplo, enviar e-mails falsificados periodicamente para verificar quem responde a tais mensagens – e com qual nível de detalhamento.

Isso ajuda a identificar funcionários que possam se beneficiar de informações e instruções adicionais. Prêmios ou outras formas de reconhecimento também podem ser concedidos a quem identificar adequadamente os impostores.

Em outras palavras: é possível tornar a segurança mais efetiva, divertida e pouco onerosa. Basta ter criatividade – e pensar fora da caixa

Ao mesmo tempo, phishing, spoofing e outras formas de fraudes de e-mail não são as únicas ferramentas de Engenharia Social que um hacker pode usar.

O arsenal de malware continua crescendo em sofisticação - assim como também, é claro, os sistemas mais visados por tais oportunistas. No entanto, alguns criminosos virtuais são extremamente astutos no uso da tecnologia.

Outros, por sua vez, podem comprar ferramentas de hacking - algumas delas até mesmo roubadas de agências governamentais - na dark web.

E há ainda inúmeras outras formas de invadir redes seguras aproveitando-se da natureza generosa e confiante de pessoas desavisadas.

Todo cuidado é pouco. Mas dito isto, porém, enfatizo: mesmo com um exército de adversários determinados, a batalha para manter a integridade da rede é extremamente crítica e importante. É uma batalha exaustiva, diária e necessária.

Talvez ela nunca seja devidamente vencida, e muita informação valiosa poderá ser roubada e comprometida ao longo dos anos processo.

No entanto, há  muitos aliados igualmente determinados e altamente qualificados, incluindo fornecedores de soluções de conectividade remota, que se dedicam à construção de plataformas com segurança integral.

A verdade é uma só. Trata-se de uma responsabilidade compartilhada, que envolve a todos nós, incluindo você e seus companheiros de trabalho.

A capacidade dos especialistas em segurança para deter, atrasar e, de alguma forma, restringir a tempo os ataques a informações sigilosas é fundamental para diminuir significativamente a extensão dos danos, mesmo no pior dos cenários – afinal, o tamanho do estrago é tão menor quanto maior for a desatualização dos dados

* Gautam Goswami é CMO e Chefe de Produtos da TeamViewer desde março de 2019.