Segurança de dados na era WhatsApp: nem a Lava Jato escapou

E por bons motivos: segundo dados da IDC, só no Brasil os ataques de hackers, vírus e ransomwares, entre outras pragas virtuais, geraram cerca de US$ 10 bilhões em prejuízo no ano passado, o que explica o fato de as empresas da América Latina terem aumentado seus investimentos em segurança da informação em 12% no último ano.

O recente vazamento de conversas entre o ministro Sérgio Moro e contatos como o promotor Deltan Dallagnol, entretanto, traz à tona um outro viés, muitas vezes negligenciado pelas empresas: a segurança das comunicações via dispositivos móveis e aplicativos, como WhatsApp e Telegram, protagonistas do caso envolvendo a alta cúpula da Justiça brasileira.

O fato, amplamente noticiado, leva a um debate importante, mas é preciso, antes de tudo, ressaltar que a brecha ocorreu não porque não havia segurança na operação Lava Jato, mas sim porque os dispositivos corretos não foram utilizados: o juiz Sérgio Moro não usou o TCS, telefone fornecido pela ABIN e dotado de recursos avançados no que tange à privacidade das informações trafegadas.

Assim como o presidente da República, Jair Bolsonaro, Moro optou por utilizar outro smartphone em suas comunicações, e, com isso, acabou ficando tão vulnerável à ação de hackers quanto um empresário comum.

Ou seja, não se trata de um ataque realizado a um dispositivo altamente seguro, de um hacker que quebrou controles militares de segurança dos quais civis não disporiam: trata-se, antes, de autoridades que, apesar de terem à disposição recursos fortes de cibersegurança, optaram por fazer uso de soluções comuns.

Nada que justifique, vamos deixar muito claro que toda invasão é criminosa, errada, e não deveria jamais ser realizada. Isto posto, e sem tomar qualquer viés político, uma lição básica fica clara a partir deste caso: a segurança dos dados vai muito além dos sistemas internos das empresas, atinge a esfera dos dispositivos pessoais ou compreendidos em estratégias BYOD e CYOD, e este é um caminho sem volta.

No caso da Lava Jato, o vazamento envolveu mensagens do Telegram, app russo conhecido por sua criptografia e segurança. Os desenvolvedores do aplicativo chegaram a se pronunciar na imprensa, alegando que não houve qualquer invasão ou ataque hacker sobre o sistema.

Em seu Twitter, o Telegram explicou que “não há evidência de nenhum hack” no caso e que o mais provável é que o vazamento das conversas tenha se dado “por malware” ou pelo fato de “as pessoas não usarem sistema de verificação em dois passos”.

A explicação do Telegram não chega a ser uma surpresa. Um estudo da Flipside aponta que 58% dos ataques sofridos por empresas brasileiras são causados por falhas humanas, como cliques em malware, não verificação de senhas, uso de senhas fracas, entre outros erros.

É por isso que, além da tecnologia, as empresas também devem investir em políticas e práticas de segurança especializadas e comandadas por profissionais, com vistas a evitar ataques comportamentos de risco que possam ameaçar seus dados, seus clientes e seus negócios.

E quando se fala em gestão profissional de segurança, não se está falando de uma pessoa, especificamente, mas de equipes multidisciplinares, que somem conhecimento para assegurar que, de ponta a ponta, redes, sistemas, dados e operações estejam protegidos. Privacidade, proteção e conformidade de informações passam por um compilado de capacidades e tecnologias para se tornarem, de fato, efetivas.

A proteção de dados precisa se tornar parte da cultura organizacional, o que inclui trazer ferramentas como o WhatsApp e Telegram para dentro da estratégia. Por mais que aplicativos como estes possuam seus sistemas de criptografia, isso de nada adiantará se os usuários forem descuidados na gestão dos dispositivos, clicando em links suspeitos, aceitando contatos desconhecidos ou agindo de “N” outras maneiras que podem abrir a porta para ataques maliciosos cujos resultados nunca serão aprazíveis.

Tecnologia, gestão especializada de segurança, treinamento, adoção de uma cultura voltada à proteção dos dados. Este é o cenário ideal para toda empresa, privada ou pública. A segurança da informação deve estar no cerne das estratégias de negócio e isso vai do data center aos smartphones, sem pular nenhuma etapa, nenhuma pessoa, nenhum equipamento, sistema ou conteúdo.

Não é preciso temer os aplicativos – WhatsApp, Telegram e afins estão aí para facilitar a comunicação, e cumprem esta missão muito bem. Mas é necessário, sim, redobrar o cuidado ao tratar de informações potencialmente críticas. Agir de forma preventiva e contar com um excelente plano de reação, comandado por quem realmente domina o assunto, caso o pior aconteça.

Segurança da informação é compromisso de todos, o tempo inteiro, sem exceção.

*Leonardo Goldin é diretor do IT2S Group