Tipos de riscos para as organizações

As organizações estão sujeitas a diversos riscos. Os principais são:

■ Ameaça - possibilidade de exploração de fragilidades de sistemas, de forma intencional ou não. Podem originar-se interna ou externamente;

■ Ataque - é a efetivação da ameaça.. Classificam-se em:

■ Ataque ativo - informações são modificadas. São eles: interrupção, modificação e embuste;

■ Ataque passivo - informações não sofrem modificação, sendo somente copiadas. Caracteriza-se pela interceptação.

As ameaças típicas, contra as quais as organizações despendem maior esforço e investimento em mecanismos de proteção das suas informações e estratégias de negócio são:

Tabela 2: Ameaças à informação

Ameaças Descrição

Violação de autorização Uso de autorização para outra finalidade

Recusa de serviços Não atendimento, sem motivo explícito, das

requisições dos legítimos usuários

Espionagem Obter a informação, sem autorização do proprietário

Vazamento Revelação indevida de informação

Violação de Integridade Edição não autorizada de informação.

Mascaramento Passar-se por outro, embuste

Replay Retransmissão ilegítima

Repudiação Negação imprópria de uma ação ou transação

efetivamente realizada

Exaustão Sobrecarga de utilização de recurso

Emulação Imitação para conseguir informações sensíveis

Roubo Posse ilegítima de informações

Porta dos fundos Programação inserida e escondida no sistema, que

possibilita a entrada de forma não convencional

Cavalo de Tróia Programa de captura indevida de informações

Esses tipos de ameaças possibilitam ataques, que podem ser caracterizados como:

■ Invasão - acesso intencional e não justificado, por pessoa não autorizada pelo proprietário ou operadores dos sistemas;

■ Interceptação - acesso não autorizado à transmissões, possibilitando a cópia das mensagens transmitidas. É o ataque mais comum e de difícil detecção pelas partes legítimas;

■ Modificação - é um agravante da interceptação, em que o conteúdo da mensagem é alterado;

■ Fabricação ou embuste - simulação para o destino de uma origem legítima. O atacante faz-se passar por uma procedência legítima, inserindo objetos espúrios no sistema atacado;

■ Indisponibilidade ou interrupção - ações não autorizadas ocasionado sobrecarga no processamento de sistemas, tomando-os inacessíveis aos legítimos usuários, por longos períodos ou por sucessões de pequenos intervalos.

■ Segundo a sexta pesquisa realizada pela CSI/FBI nos Estados Unidos em 2001 “Os pesquisados detectaram uma escala acentuada dos ataques e dos abusos” (www.gocsi.com, 2002).

■ Destaca-se alguns exemplos desses ataques e dos abusos:

■ 40% dos pesquisados detectaram a penetração do sistema da parte externa; ■ 38% por cento de dos pesquisados detectaram a negação de ataques do serviço;

■ 91% detectaram o abuso do empregado com privilégios de acesso a Internet (por exemplo, downloading de pornografia ou pirateou o software, ou o uso impróprio de sistemas do E-mail)\

■ 94% detectaram vírus do computador;

■ Continuando, a pesquisa da CSI, incluiu perguntas sobre o comércio eletrônico e sobre a Internet, chegando aos seguintes percentuais:

■ 47% conduzem o comércio eletrônico;

■ 23% de acesso ou emprego errado desautorizado sofrido dentro dos últimos doze meses. Vinte e sete por cento (27%) disseram que não souberam se houvesse um acesso ou um emprego desautorizado;

■ 21% daqueles ataques relataram dois a cinco incidentes. 58 por cento relataram dez ou mais incidentes;

■ 90% daqueles atacaram o vandalismo relatado; ■ 78% relataram a negação de serviço;

■ 13% relataram o roubo da informação da transação; ■ 8% por cento relataram a fraude financeira;

a

■ No Brasil a empresa Módulo S.A. (www.modulo.com.br, 2002) desenvolveu sua 7 Pesquisa sobre Segurança da Informação. Alguns dos resultados apresenta-se abaixo:

■ Aproximadamente 53% das empresas apontam os funcionários insatisfeitos como a maior ameaça à segurança da informação nas empresas.

enquanto 31% não sabem sequer se foram invadidas e somente 29% afirmam nunca ter sofrido algum tipo de ataque. Os dados revelam o grande risco que as organizações correm por desconhecerem as vulnerabilidades da rede interna.

■ Cerca de 84% dos ataques registrados ocorreram há menos de um ano, sendo que 43% nos últimos seis meses;

■ As medidas de segurança mais adotadas: firewall (83%), prevenção contra vírus (78%), servidor de proxy (71%);

Muitos crimes carecem de legislação específica e, também, de apuração ou investigação detalhada que, devido às suas especifícidades e meios utilizados, aliados à falta de capacitação dos investigadores e do judiciário, dificultam a comprovação do ato e de sua autoria. A situação se toma ainda mais crítica pelas características do mercado atual, com globalização da economia, levando pessoas e empresas a disputarem acirradamente sua fatia de mercado e "justificando" ações, mecanismos e técnicas não muito "éticas" adotadas por elas, para conhecimento de planos e produtos de concorrentes. A inadequação da legislação atual, não tratando tais ações como crime, favorece sua ocorrência, através de agentes internos ou externos ao país. Com esse cenário e as fragilidades criadas pela própria tecnologia de comunicação, as preocupações com a criação de uma Lei visando a proteção dos cidadãos e empresas contra crimes por computador são crescentes. É imperativo que haja normatização e definição de punições para os excessos, inclusive as tentativas, que também afetam a prestação de serviços e disponibilidade do sistema para os usuários.

Alguns comentários de Renato da Veiga (www.seprors.com.br, 2001) sobre a lei do software (Lei 9.609/98) são reproduzidos abaixo:

...O que é protegido é apenas a forma escrita, ou seja, o código-fonte..., referindo- se aos programas de computador.

“...não é violação de direito autoral a ocorrência de semelhanças entre um programa e outro por força de suas características funcionais ou observância de normas técnicas, que fazem com que, por exemplo, as telas e relatórios de todos os programas de contabilidade sejam muito parecidas (a forma de apresentação dos balanços é estabelecida em normas técnicas). Ora, dois programas podem realizar funções idênticas e terem até telas iguais, mas é totalmente impossível que dois programadores escrevam dois códigos-fonte idênticos ou muito semelhantes, ainda que para lograr o mesmo efeito, sem que um copie do outro.

...Livros e apostilas sobre o software. Pode um terceiro escrever um livro ensinando a usar um software (por exemplo, Dicas de Operação do Windows 95), sem pagar direitos autorais ao proprietário? Pode. A lei diz que a citação parcial, para fins didáticos, não configura violação de direito autoral, desde que identificados o nome do produto e seu proprietário.

“A nova lei manteve a disposição básica de pena de detenção de seis meses a dois anos para contrafatores domésticos, isto é, aqueles que copiam software ilegalmente apenas para uso próprio, sem finalidade de lucro, para os quais ficou aberta a possibilidade de conversão em multa; por outro lado, pegou mais pesado com os contrafatores profissionais, os picaretas que oferecem quaisquer programas a torto e a direito por aí a um real por disquete, impondo-lhes pena de reclusão de até quatro anos, acrescida de multa...

baratear o custo de aquisição de seus produtos, procurando desta forma deixar as escolas

em situação legalizada. Grandes produtores como a Microsoft

(www.microsoft.com/brasil/educacional, 2002) oferecem planos para aquisição de software legal, deixando assim a escola em situação regular quando à pirataria de software e evitando sanções penais.