Cercadas por hackers

Num mundo conectado pela web, as empresas encontram mais dificuldade para proteger seus dados.

A dois dias do Natal de 2005, o engenheiro Sérgio Henrique Miorin pediu demissão da subsidiária brasileira da Kromberg & Schubert, empresa alemã do setor de autopeças, para assumir uma posição numa concorrente mundial da companhia, a também alemã Leoni. Meses depois, um dos novos colegas de Miorin, incomodado com o sucesso repentino do novo funcionário, tomou uma atitude incomum. Enviou e-mails anônimos à diretoria da Kromberg levantando a suspeita de que Miorin tivesse roubado informações estratégicas da empresa. As mensagens incluíam a planta da fábrica da Kromberg e até mesmo esquemas de montagem de produtos e projetos de peças ainda não lançadas no país. Os responsáveis pelo furto nem sequer se deram ao trabalho de mudar o nome dos arquivos, que começavam com a sigla KSBR (iniciais de Kromberg & Schubert do Brasil), seguida de números. A Kromberg acionou seus advogados e, no fim do ano passado, conseguiu um mandado de busca e apreensão para analisar os computadores da Leoni. Lá, os policiais encontraram tudo o que a denúncia indicava. O caso ainda segue na Justiça. Miorin e o presidente da Leoni, José Parolin, preferiram não se manifestar sobre o incidente.

Trata-se de um caso típico de furto de segredos industriais, mas com uma diferença fundamental: o criminoso não precisou de habilidade para cometer o delito. Bastavam a ele o acesso a um computador equipado com um gravador de CDs e uma senha para a rede da empresa - ou seja, foi a própria vítima quem colocou a arma nas mãos do autor do crime. Esse é um lado obscuro do crescente uso da tecnologia no dia-a-dia das empresas. A digitalização das informações aumenta a produtividade dos indivíduos e dos negócios, mas também abre um novo e complexo problema relacionado à segurança, especialmente quando os computadores estão conectados à internet. "Com a web, as empresas se abriram mais para o mundo, mas o risco aumentou substancialmente", diz Edgard D´Andrea, sócio responsável pela área de serviços de segurança da PricewaterhouseCoopers. Isso significa vigilância constante e investimentos cada vez maiores. Segundo a consultoria IDC, o mercado mundial de equipamentos, software e serviços de segurança da informação vai movimentar um volume superior a 100 bilhões de dólares neste ano. Mas, assim como não bastam trancas e muros para proteger uma casa, só dinheiro não é suficiente para resolver o problema. Depois do incidente, os executivos da Kromberg bloquearam os gravadores de CDs dos micros e impuseram controles para o uso de dispositivos de armazenamento portáteis, como os chaveiros de memória. Agora, apenas um profissional tem permissão de fazer cópias de arquivos. As medidas evitarão novas dores de cabeça, mas não podem ressarcir o prejuízo que já aconteceu.

Por que falhas de segurança permanecem constantes em tantas empresas, mesmo após esse assunto ser martelado há anos? Existem pelo menos quatro motivos. Primeiro, cobrir todos os aspectos que garantem a proteção de qualquer organização não é apenas um trabalho complexo - é virtualmente impossível. "Roubar dados é muito mais fácil do que protegê-los", disse a EXAME Kevin Mitnick, considerado o mais famoso hacker do mundo e que hoje atua como consultor de segurança nos Estados Unidos. No final dos anos 90, após invadir as redes de grandes companhias americanas, Mitnick foi preso pelo FBI. "Garantir segurança é muito desafiador. Para entrar, basta descobrir uma única falha. E ela sempre existe. Não há como ter uma empresa 100% segura", afirma. O problema é que há frentes demais para guarnecer. A tecnologia sem dúvida é uma das mais importantes. Mas informações confidenciais podem cair em ouvidos errados numa simples conversa de elevador, num telefonema em um táxi ou durante a happy hour. Mitnick ficou famoso por usar uma técnica conhecida como engenharia social, que consiste em manipular as pessoas para que inadvertidamente revelem dados confidenciais.

Segundo, se o arsenal tecnológico usado para proteger os dados das empresas - antivírus, firewall, filtro de spam, detetores de intrusos - evolui continuamente, o mesmo vale para os programas usados pelos hackers. Em terceiro lugar vem o custo. A boa proteção exige investimentos, e o limite para a sofisticação dos sistemas é a imaginação dos executivos. Pode-se instalar leitores de digitais nos computadores ou até proibir que celulares com câmeras sejam usados nas dependências da companhia - como, a propósito, já acontece em grandes empresas fora do Brasil. O problema é que esses tipos de controle têm seu preço. Por fim, os cuidados básicos de segurança ainda não fazem parte da rotina da maioria das organizações. Em vez disso, os problemas são resolvidos pontualmente à medida que surgem. Ao longo de sua carreira, Marcelo Bezerra, gerente para a América Latina da área de segurança da IBM, lidou com diversas situações de risco decorrentes da falta de processos. Num dos casos, o sistema de detecção de intrusos de um cliente do México ficou desligado cerca de um mês. Ninguém percebeu, porque acompanhar o funcionamento do programa não era um procedimento-padrão na empresa.

A única maneira de lidar com essas quatro questões simultaneamente é adotar uma ampla política de segurança. E, é claro, colocá-la em prática, sob a responsabilidade de um departamento específico. Segundo levantamento da Modulo, uma consultoria e fornecedora de software, 43% das empresas brasileiras já possuem uma área para cuidar da proteção dos dados. Na maioria dos casos, essa estrutura fica sob a tutela da área de tecnologia, mas isso não é obrigatório. "O assunto deixou de ser puramente técnico", diz D´Andrea, da PricewaterhouseCoopers. "Segurança é uma preocupação que deve fazer parte da estratégia empresarial." Na subsidiária nacional do banco Santander, por exemplo, há um time de 40 pessoas dedicado exclusivamente à questão de segurança. O departamento responde apenas ao vice-presidente de riscos operacionais do banco. Mas é claro que não basta ter uma boa política - é preciso encontrar formas de executá-la. Uma das maneiras, que ganha aceitação crescente, é terceirizar parte da dor de cabeça. Foi o que fez o Grupo Rede, que atua na distribuição, geração e comercialização de energia. A Unisys foi contratada para assumir o gerenciamento das ferramentas de antivírus, antispam e controle de acesso à rede da companhia.

Segurança é um assunto tão delicado que o erro pode vir até pelo excesso, como mostra um incidente envolvendo o Wal-Mart nos Estados Unidos. Em março, Bruce Gabbard, um ex-funcionário que atuava justamente no departamento de segurança, disse que a varejista adota um sofisticado sistema de monitoração da atividade online de seus funcionários. O programa seria capaz até de verificar o conteúdo de mensagens de serviços de webmail, como Gmail e Yahoo! As queixas ainda precisam ser provadas, mas o exemplo mostra como segurança pode se converter em paranóia -- e como é tênue a linha entre preocupação legítima e cerceamento de liberdade. Mesmo na era dos hackers e da internet, o velho bom senso ainda é essencial para garantir o equilíbrio entre proteção adequada, investimento em linha com a situação financeira da empresa e respeito aos funcionários.