José Antonio Milagre
Como a informação privilegiada é determinante em golpes e para consumação de crimes e o que devemos aprender com isso.
O roubo de 718,9 kg de ouro por criminosos no Aeroporto Internacional de São Paulo repercutiu em todo mundo, sendo considerado um “roubo espetacular” e especulado como um dos maiores do mundo. Dois minutos e meio foi o necessário para que os ladrões abordassem os funcionários de forma indefensável e transferissem a pilhagem de ouro para um carro disfarçado de automóvel da Polícia Federal.
A estratégia acertada, mais do que utilizar disfarces, nenhum tiro disparado e se valer de réplicas perfeitas que exploraram vulnerabilidades de checagem da identidade, sem contar o armamento pesado, expõe de forma inegável um fator determinante para o sucesso da operação: a informação, ou a sua insegurança.
Não precisa ser um especialista em GRC ou segurança da informação para se inferir os cuidados que deveriam ser aplicados em operações desta natureza, que não é novidade no Aeroporto. Repete-se a história da ação orientada a eventos danosos.
Os criminosos conseguiram informações sobre quem era o encarregado do despacho (supervisor de logística) e o mantiveram refém, com sua família, na noite anterior. A partir desta informação, escalonaram a mais informações preciosas e privilegiadas, ou seja, informações sobre as cargas, quando chegariam, pessoas que ficam no local, dentre outros dados que imaginamos minimamente necessários para a abordagem.
Inexigibilidade de conduta diversa do colaborador constrangido? Pensemos. Um ativo é tudo aquilo que tenha valor e necessite de algum tipo de proteção por causa disso. A identificação de um ativo e a necessidade de protegê-lo é o primeiro passo em qualquer estruturação mínima de segurança da informação. Qual a proteção que este processo e empregados ligados no transporte destes valores deveriam ter? A separação de funções é uma prática em segurança que prega que devemos separar diversos passos de um processo, de maneira que para comprometê-lo, seria necessário acessar dados com inúmeras pessoas e não apenas um encarregado. Seria esta prática aplicada?
Pelo vídeo, descobrimos a fragilidade das proteções em uma operação sensível, no caso, envolvendo 110 milhões de reais.
Vulnerabilidades que criam situações como esta, exploradas por uma ameaça precisa, munida de notória estratégia informacional. Mas a simples exposição do cargo que uma pessoa ocupa poderia conduzir até mesmo a um roubo bem-sucedido? Como classificaríamos esta informação? Como controlar sua exposição? A vulnerabilidade em casos como o presente pode estar em diversos pontos, inclusive nas pessoas que atuam nestas operações, que podem, inadvertidamente, fornecer inputs úteis até mesmo em redes sociais, alimentando o footprint do crime, que hoje está atento à dados úteis em tais ambientes. Quantos colaboradores, das centenas de milhares de empresas do Brasil, expõe seus cargos e funções em tais ambientes? Quando não, quantas empresas assim o fazem?
Não há duvida que o evento no Aeroporto deverá gerar uma reclassificação das informações, e uma reanálise de risco, considerando novos fatores agora aclarados (se já não eram claros, agora são), afinal de contas, em qualquer análise de riscos o dano associado compensaria investimento pesado em contramedidas.
É evidente que algumas áreas dentro da empresa, por conta de sua criticidade, demandam preocupações de segurança. De fato, é difícil tornar um ambiente seguro sem alterar sua rotina de organização e muitas vezes sua produtividade, porém é necessário. Pensar em segurança, atualmente, não envolve apenas segurança em camadas, proteção periférica ou perimetral, mantraps, etc…
Envolve pessoas. E pessoas são ativos que não podem ser configurados ou programados. Pessoas se expõe, sentem medo, sentem emoções, as vezes falam demais e tem sentimentos. É logico que pessoas devem ser educadas, o que não é muito efetivo quando se tem uma arma apontada para sua família.
Seja como for, duas lições aprendemos para nossos negócios em rol meramente exemplificativo. A primeira, lógico, é que a informação (ou sua insegurança) é o fator de sucesso da operação em Guarulhos e é hoje determinante para inúmeros roubos e golpes bem-sucedidos. A segunda, talvez seja, repensemos a classificação de dados e informações que aparentemente são inofensivos, mas que podem conduzir, a partir deles, ao acesso (ainda que violento) a informações privilegiadas e fundamentais para um golpe ou para a consumação de um crime.
José Antonio Milagre é advogado, perito digital especialista em Crimes Cibernéticos, Pós-Graduado em Direito Penal e Processo Penal, Mestre e Doutorando pela UNESP, pesquisador do Núcleo de Estudos em Web Semântica e Análise de Dados da USP, Diretor do Instituto de Defesa do Cidadão na Internet (IDCI), Presidente da Comissão de Direito Digital da Regional da Lapa da OAB/SP. Colunista da Rádio Justiça do Supremo Tribunal Federal (STF), é autor de dois Livros pela Editora Saraiva. www.josemilagre.com.br