Resumo
O objetivo desse artigo é mostrar por quê se deve importar com segurança da informação. Os ataques virtuais tiveram um aumento de mais de 61% no período de 2008 para 2009 e esse números só tem a crescer, anonimato junto com o sentimento de impunidade contribuem substancialmente para esse crescimento.
Vale lembrar que mesmo o Brasil não dispondo de leis específicas para delitos informáticos, diversas leis para crimes físicos estão sendo aplicados também para os crimes virtuais.
Palavras-chave: segurança da informação, crimes eletrônico, direito eletrônico.
Introdução
Ultimamente tenho lido bastante sobre segurança da informação devido a minha pós em segurança da informação, onde devido a isso estou fazendo parte de algumas listas de discussões relacionadas ao assunto (CISSP, REGISTRO, CAMSEC, entre outras), e um assunto de uns dias atrás me chamou bastante atenção, onde um participante da lista colocou um assunto de segurança de smartphone, onde em um determinado ponto algumas pessoas chegaram a dizer que não adianta criar políticas para isso, ninguém vai levar a sério segurança mesmo etc...
Resolvi fazer algumas pesquisas na internet sobre o assunto e pesquisando acabei achando um blog intitulado
Segurança Importa, está meio desatualizado, porém o que me chamou a atenção foi o título do blog.
O blog tenta demonstrar exatamente isso, que ninguém está nem aí para a segurança da informação, inclusive em um primeiro post ele faz o seguinte comentário:
"... Pessoas insistem em dizer que nunca serão alvos de "hackers" (sei que a palavra está mal usada aqui), usam antivírus sem atualizações, não usam firewall, compram softwares em "camelôs... Empresas que vêem segurança como um mal necessário estão gastando o mínimo (quando gastam) com segurança da informação."
Infelizmente o contato que eu tenho com segurança da informação é mais ou menos essa, profissionalmente a pessoa responsável pela área onde eu trabalho não entende nada de segurança e para todos os projetos que vão fazer ele sempre fala, mas temos que pensar na segurança, porém nunca foi feito uma análise de risco, a política de segurança é de uns 3 anos atrás e deve ter sido copiada na íntegra de algum site.
No lado pessoal é um pouco melhor, pois minha mãe sempre me consulta antes de abrir qualquer arquivo ou navegar por sites perigosos, minha namorada também está se precavendo depois que eu comecei a estudar.
O objetivo desse artigo é mostrar por quê se deve importar com segurança da informação. Acredito que a segurança da informação deve ser um meio de usuários e empresas se protegerem do crime virtual, porém para isso ela precisa ser levada a sério e as pessoas precisam se importar com ela. Eu me importo!
Dados
Segundo dados do cert.br, houve um aumento de 61% no número de incidentes registrados no ano de 2008 para o ano de 2009 (vide imagens abaixo). Apesar dos dados mostrarem um aumento significativo no número de incidentes ocorridos, isso parece não ser o bastante para usuários e empresas.
Incidentes em 2008
Incidentes em 2009
Porque devo me importar com segurança da informação
Conforme pode ser visto nos dados acima, os ataques virtuais tiveram um aumento de mais de 61% no período de 2008 para 2009 e esse números só tem a crescer, anonimato junto com o sentimento de impunidade contribuem substancialmente para esse crescimento.
O Brasil é um dos líderes de ataques virtuais mundiais, dentro os crimes realizados pelos brasileiros estão roubo de identidade, fraudes de cartão de crédito, violação de propriedade intelectual e protestos políticos.
As fraudes eletrônicas causam prejuízos de 300 milhões de reais aos bancos (tripletech), porém quem acha que o ataque é diretamente ao banco se engana, para conseguir atacar os bancos os criminosos utilizam os clientes, onde, eles conseguem o login e senha do usuário para desviar o dinheiro da conta do cliente para uma conta "terceira".
Ocorre de o cliente quando verificar movimentação em sua conta, que não foi ele quem fez, aciona o banco e se o cliente conseguir provar a sua inocência o dinheiro é devolvido ao mesmo.
No Brasil já existem casos onde o banco ganhou ação na justiça contra o usuário, um exemplo foi o Banco Itaú que ganhou uma sentença sobre um correntista, a manchete diz o seguinte: "Tribunal muda sentença e isenta Itaú por vazamento de senha de cliente" (IDGNOW).
O juiz concluiu que não houve falha na prestação de serviços do banco e sim negligência do usuário que não tomou as precauções básicas.
Outro crime praticado há anos é o de espionagem industrial, mas tem crescido a passos largos graças à tecnologia mais barata e ao aumento da competição entre as empresas. (ABIN)
Infelizmente não há dados no Brasil sobre o assunto, pois é um tema bastante evitado pelas empresas, as que roubam informações só falam quando são pegas, e as que sofrem o roubo não querem comentar para não serem julgadas como vulneráveis.
Nos EUA, por exemplo, se estima que mais de 25 bilhões de dólares são as perdas referentes a roubo de informações industriais.
Um caso que ficou bem conhecido no Brasil foi o roubo de notebooks da Petrobras, uma pessoa comum pode não ver problemas nisso, porém imagine se nesses notebooks tivessem projetos do "Pré-Sal". Os prejuízos causados também não devem ter sido divulgados, nem o que tinha nos notebooks, causa e quem fez o roubo dos notebooks.
Outro grande problema da internet são os crimes de pedofilia e crimes contra a honra das pessoas. Falando da pedofilia especificamente ela sempre existiu, porém com a internet ganhou uma repercussão muito maior.
Antigamente as pessoas circulavam fotos de pedofilia através de correio ou pessoalmente, porém com o advento da internet e também das câmeras digitais, esse ato se tornou muito mais comum, pois ficou muito mais fácil divulgar, exibir e até vender fotos de menores de idade.
Hoje se você publica uma foto em um site, o mundo inteiro poderá vê-la.
Crimes contra a honra também tem se tornado comum na internet, onde o criminoso tenta inventar ou publicar fatos sobre você na internet.
Imagina se você brigou com sua namorada, ela não satisfeita com o término do namoro, resolve criar uma página na internet contando detalhes da relação, fotos, ou até inventando mentiras a seu respeito. Isso teria uma repercussão muito maior do que apenas te xingar certo?
Os sites de relacionamentos, se não utilizados de forma "coerente", podem se tornar uma arma para criminosos, ou você acha que os criminosos não têm Orkut, facebook, twitter?
Um exemplo é o caso publicado na globo.com onde "homem tem casa roubada após informar no twitter que estava de férias". Um americano publicou em seu twitter que estava de férias, depois da publicação ladrões invadiram a sua casa roubando alguns pertences. Na matéria diz que não é possível vincular a publicação com o assalto, mas é algo a se pensar.
É necessário ter cuidado com as informações que se coloca nessas redes sociais, imagina você colocar que acabou de comprar uma Ferrari, casa na praia, entre outras coisas. Além de outras coisas está poupando tempo do bandido, que não precisará de nada além de dois cliques para saber tudo que você possui de bens.