O Sistema do Governo Federal INFOSEG, utilizado normalmente pelos operadores da Justiça e da Polícia, que contem informações sobre todos os brasileiros ativos economicamente, com dados mais interessantes do que a própria base de Imposto de Renda da Receita Federal, foi quebrado no seu elo mais frágil: pessoas. Segundo a reportagem apresentada pelo SBT, senhas de acesso ao sistema são vendidas na Internet. Com preço e prazo de validade: R$ 2 mil reais, com validade de 30 dias.
De alguma maneira o criminoso conseguiu a senha de um usuário válido do sistema, que com grandes chances nem sabe que está sendo o meio para a fraude, e vende na Internet esta informação. O mercado interessado neste acesso que possibilita uma infinidade de acessos para os dados do cidadão é formado por criminosos que com o conhecimento destes dados, elaboram os mais sofisticados e os mais simples golpes. E o ROI (retorno sobre investimento) para os criminosos é bastante positivo.
Vale à pena lembrar que este crime não utilizou nenhum procedimento técnico altamente sofisticado, tipo quebrar a criptografia do sistema.
Para este caso as autoridades policiais devem investigar, devem prender os criminosos e devem implantar controles mais rígidos para o sistema.
Em um artigo registrado em um dos meus livros eu comento que “Alguém autorizado vai acessar”. E para estes casos precisamos também ter controles. Que tipos de controle pode-se ter para garantir que apenas a pessoa autorizada está utilizando a identificação-senha dela?
1. Melhorar a autenticação.
Autenticar e provar que você é você. Pode ser utilizando algo que você sabe (senha), algo que você tem (cartão, token) ou algo que você é (biometria). Cada uma destas formas pode ser utilizada isolada ou em conjunto. Para um sistema desta criticidade deveríamos ter o uso da biometria e de um cartão. A sensibilidade das informações deste sistema exige este grau de controle.
2. Revisão periódica dos usuários válidos.
Um agente da polícia ou do judiciário válido hoje pode não estar mais válido amanhã. Esta pessoa pode ter se aposentado, pode estar de licença ou pode ter pedido para sair da organização. Esta revisão periódica evitará o uso fraudulento de usuários do sistema.
3. Quantidade de consultas.
Com certeza o uso fraudulento deste sistema deve gerar um número muito maior do que o uso normal deste sistema por um usuário autorizado. A limitação de quantidade de acessos pode facilmente indicar que o sistema está sendo utilizado fraudulentamente.
4. Exigência de localização física.
A maioria das consultas do sistema deve acontecer a partir de locais físicos dos órgãos governamentais. Desta maneira, restringir o acesso a partir de um endereço físico garantirá mais controle e evitará o uso fraudulento. Os usuários que necessitam fazer este acesso em qualquer lugar ou em qualquer hora devem ser em menor número e isto facilitará o seu controle.
5. Envio dos acessos realizados para o usuário.
Por outro meio, tipo correio eletrônico ou correio convencional, o usuário dono de uma identificação e autenticação válidas para o sistema, deve receber comunicação de como tem sido a sua utilização do sistema. Desta maneira se, de alguma maneira, alguém estiver utilizando fraudulentamente a sua identificação e autenticação ele poderá identificar esta situação e comunicar aos órgãos competentes.
A segurança da informação é eficiente ao considerar todos os seus elementos. Como uma corrente, ou como um sistema de som-vídeo, a qualidade vai ser equivalente ao seu elo mais frágil, ou no caso do som-vídeo ao seu equipamento de pior qualidade.
Aprender com o passado é uma obrigação de quem trabalha com segurança. Não é possível prever todas as situações que podem acontecer. Os criminosos possuem uma criatividade e inteligência de qualidade. Mas, podemos aprender com o passado. Se você pesquisar na Internet ou no You Tube descobrirá que problemas semelhantes já aconteceram.
Grande abraço e sorria: alguém criminosamente pode estar vendo seus dados.