Nesta semana foi noticiado ataques de criminosos a sites de bancos brasileiros. Pelo menos dois dos maiores bancos foram atacados e ficaram algum tempo fora do ar. Segundo as notícias o ataque foi um protesto contra as tentativas dos projetos de lei SOPA e PIPA nos USA.
Entendo que se os bancos reconheceram e comunicaram em nota oficial que ficaram fora do ar durante algum tempo, os ataques aconteceram. Os criminosos atingiram seus objetivos. Parar os bancos? Não! Sair na mídia? Sim! Os ataques foram noticiados e tomaram parte do precioso (caro) espaço da mídia.
Os bancos brasileiros, como qualquer site no mundo, não são perfeitos. Mas, todos sabem que as instituições brasileiras possuem uma boa qualidade de proteção do seu ambiente computacional. Tanto que os ataques foram de negação de serviço, ou seja, bombardeio de mensagens para os endereços de um banco até que os servidores dos bancos não dêem conta deste volume e o tráfego de mensagem começa a “engarrafar”.
Exceto a disponibilidade do serviço, normalmente Internet Banking foi afetada, os demais serviços dos bancos não foram afetados e não aconteceu nenhum roubo de informação ou alteração de informação em contas correntes.
O que um profissional de segurança da informação pode tomar de lição com estes fatos. Vejo duas opções:
a) O profissional acomodado que irá raciocinar: os criminosos não conseguiram quebrar os controles e significa que a proteção está perfeita. Podemos dormir tranquilos.
b) O profissional apavorado que irá deixar de dormir porque os ataques começaram e o mundo vai acabar pelo caos, já que as instituições bancárias vão parar para sempre.
“Nem tanto ao mar, nem tanto a terra”. Ou “um olho no padre e outro na missa”. São alguns ditados que podemos utilizar nesta situação. Se não houve ruptura da cadeia de proteção técnica dos bancos, ótimo. Porém convém lembrar que o ataque demonstra interesses de defesa de posições que os bancos pouco têm haver com o fato. Mas, os bancos são famosos. Se um Internet Banking de um banco parar, é notícia.
A lição que devemos tomar deste fato é: não acomodar. Os bancos e as empresas precisam constantemente realizar suas análises de risco considerando um grande número de ameaças.
Sua organização precisa, mesmo que não seja instituição financeira, estar preparada para ataques de criminosos no ambiente computacional. Mas, também deve estar preparada para todas as situações de má fé e de erro. Sim, de erro, que é a causa de 80% das perdas em informações.
Sua organização sabe o nível de maturidade em segurança da informação em que se encontra?