Panama Papers: quando o chocante virou normal?

O recente escândalo do Panama Papers (ou Panama Leaks) revela algo interessante sobre o cibercrime: ele se tornou tão esperado e normal que a mídia mal tem citado o escritório de advocacia panamenho Mossack Fonseca e sua incapacidade de proteger arquivos e e-mails que identificam clientes e transações, ou seja, seus ativos mais valiosos e sensíveis.

Independentemente do tamanho ou da natureza da empresa, o Panama Papers é um caso relevante, afinal, arquivos e e-mails são registros digitais de tudo que fazemos. Esses dados não estruturados, como é conhecido esse tipo de informação pelos profissionais de TI, tendem a ser os dados mais abundantes nas organizações e também os menos conhecidos.

De acordo com uma coleta de dados feita com base em risk assessments da Varonis, mais de 25% dos folders compartilhados de uma empresa média não têm nenhum tipo de bloqueio e são visíveis para todos na empresa. Quase todas as violações de dados resultam de acesso interno comprometido – seja por um agente externo, um funcionário com más intenções, ou um simples ingênuo que clica em um e-mail contendo anexo contaminado.

Os servidores de e-mail tendem a ser os maiores repositórios de informações valiosas. Se existe interesse em espionar uma empresa, a caixa de entrada do CEO é provavelmente o que há de mais fantástico para entender o que acontece dentro da organização. Um dos maiores desafios da segurança em relação ao e-mail é que as contas mais valiosas geralmente são as menos protegidas. Isso acontece porque os executivos (e escritórios de advocacia parceiros) geralmente têm assistentes e outras pessoas com acesso a suas caixas de entrada – há até quem tenha bancos de administradores com acesso total por longos períodos de tempo.

Outro desafio de segurança em relação ao e-mail é que suas atividades são pouco supervisionadas, tornando difícil a detecção de atividades maliciosas. O Microsoft Exchange tem “folders públicos” que podem guardar uma série de informações sensíveis e geralmente as empresas não se esforçam muito para protegê-las. Se a conta de um assistente é comprometida por meio de um ataque de phishing ou roubo de senha, ou se um assistente resolve agir de má fé, o conteúdo da caixa de entrada do executivo pode ser comprometido facilmente sem detecção.

Quando o Panama Papers foi revelado, o escritório Mossack Fonseca descreveu o caso como “vazamento não autorizado”. Também tem sido bastante aceita a versão de que a ação é resultado de ataque externo – apesar da ambiguidade desse termo e da incrível quantidade de dados (2,6 terabytes) extraída pela internet sem nenhuma detecção. Roubar essa quantidade de dados por meio de um servidor de e-mails pela internet é quase como usar um canudo para drenar um lago. O mais provável é que o centro do ataque tenha se dado por meio do acesso interno, algo facilitado pelas fracas capacidades de detecção.

Um estudo de 2015 feito pela IBM e pelo Ponemon Institute revelou que o custo médio de uma violação de dados é de cerca de US$ 6,5 milhões nos Estados Unidos. No Brasil, a pesquisa, feita com 34 empresas de 12 diferentes setores da indústria, revelou que o custo médio total das violações de dados é de R$ 3,9 milhões (10% maior que em 2014).

Com tamanho valor atribuído aos dados – sejam informações pessoais identificáveis ou propriedade intelectual que poderiam levar à extinção de uma empresa caso fossem roubadas – por que as empresas ainda não se preocupam em proteger melhor seus arquivos e e-mails? Muitas ainda subestimam o valor e a vulnerabilidade desses ativos. E, apesar de acabarem se esquecendo dessas informações, dificilmente as deletam.

A recente ascensão dos ataques de ransomware é um exemplo de como os dados não estruturados podem ser vulneráveis. Um malware desse tipo anuncia sua presença a seus usuários depois de criptografar arquivos e as empresas ainda não conseguem detectá-lo antes de ter seus arquivos corrompidos. Outras ameaças não são tão “benevolentes”. A maioria não permite ser detectada antes de causar estrago muito maior.

As empresas podem até monitorar a rede em busca de atividades anômalas ou vírus conhecidos, mas dificilmente são equipadas para detectar a mais nova geração de malwares furtivos e, menos ainda, para detectar os mais recentes ataques livres de malwares. Em suma, a maioria das empresas tem um grande ponto cego quando o assunto é a proteção dos dados não estruturados. Risk assessments mais efetivos, melhor proteção dos dados e um monitoramento mais sofisticado agora são chave para a segurança da informação.

Assim, podemos não ser capazes de impedir que um hacker entre na rede, mas podemos detectá-los mais rapidamente, limitar danos e reduzir o custo das violações. Talvez então o cibercrime deixe de ser tão “normal” e volte a nos impressionar.

*Carlos Rodrigues, gerente da Varonis na América Latina