Sony não tinha um chefe de segurança da informação.
Em um ambiente ideal, serviços não são desligados.
O caso de invasão da Playstation Network, da Sony, que expôs 77 milhões de contas de usuários e que depois se estendeu para serviços de MMO da companhia, que pode ter totalizado 101 milhões de registros vazados, extrapolou a esfera dos jogos para se tornar um caso a ser estudado na área de segurança da informação.
Especialmente, o fato de que a empresa teve que desligar seu serviços mostra que não havia um plano para manter o serviço no ar no caso de problemas.
“Isto é o famoso 'tira do ar enquanto descobrimos o que aconteceu e como vamos resolver'. Este é um típico comportamento de organizações que não estão preparadas para responder um incidente”, afirma o especialista em segurança Wagner Elias. De fato, até o problema acontecer, a Sony não possuía um executivo com o título de CISO – Chefe de Segurança da Informação, algo difícil de acreditar em uma organização com 160 mil funcionários, mas que só veio à tona quando a empresa afirmou que estaria criando o cargo como uma das medidas para reduzir as chances de novas invasões.
Na prática, isso significa que não havia ninguém entre os diretores de tecnologia da empresa capacitado para pensar recursos e produtos de uma maneira segura. Não que a empresa não tivesse profissionais de segurança – apenas era muito difícil que eles tivessem voz, já que não tinham uma representação executiva.
“No momento da concepção a análise dos riscos deve-se considerar quais dados eu preciso armazenar e de acordo com o tipo de dado eu tenho que ter o tratamento adequado”, explica Elias. “Não é normal que toda invasão leve ao comprometimento dos dados”.
O especialista cita tecnologias como hashing (que a Sony usou) e salt (que não se sabe se foi utilizada) que dificultam a obtenção de senhas, por exemplo. No caso dos cartões de crédito, Elias acredita que o melhor é não armazená-los e, se isso for necessário, a segurança deve ser adequada. No entanto, a Sony confirmou que pelo menos 12,7 mil cartões armazenados pela Sony Online Entertainment (SOE) foram roubados, e não se sabe sobre a segurança dos cartões de usuários da PSN.
O especialista Anchises de Paula, da Verisign, lembra que há exemplos recentes de casos em que empresas foram comprometidas e ficaram no ar, como a do Google, em 2010.
Na ocasião, o Google disse ter sido alvo de hackers chineses, que entraram em seus sistemas, roubaram códigos e tiveram acessos a contas de Gmail de dissidentes. “Nem por isso o site do Google, o YouTube ou o Gmail foram desligados”, exemplifica.
O caso da Sony é, na verdade, o único que ocorreu recentemente e no qual a empresa teve que desligar completamente seus serviços por semanas para investigar o problema. Ambientes podem e devem ser “segregados” para que invasores tenham ações limitadas após a invasão.
Roubo de dados é a maior preocupação de profissionais de segurança
O caso da Sony não algo estranho; faz parte de uma tendência. A desenvolvedora de software Ashampoo sofreu invasão semelhante, o fórum sobre internet DSLReports também perdeu dados de usuários, e ainda há o caso da Epsilon, que vazou até dados sobre consumo de medicamentos – e esses são apenas casos recentes.
O caso da Sony não algo estranho; faz parte de uma tendência. A desenvolvedora de software Ashampoo sofreu invasão semelhante, o fórum sobre internet DSLReports também perdeu dados de usuários, e ainda há o caso da Epsilon, que vazou até dados sobre consumo de medicamentos – e esses são apenas casos recentes.
A companhia de segurança ESET consultou 3.200 profissionais de segurança da América Latina e descobriu que o valor dado à proteção de informações está crescendo e foi o mais citado pelos profissionais – 42,5%, passando até mesmo as preocupações com vírus, que ficaram em 35,36% e com o segundo lugar.
A empresa acredita que casos recentes de vazamento, bem como o Wikileaks, que foi amplamente divulgado em 2010, tem feito aumentar essa preocupação nas empresas e, portanto, nos profissionais.
A ESET ainda afirma que, em sua pesquisa, descobriu que apenas 40% das organizações possuem ferramentas capazes de detectar incidentes de segurança, como invasões. A ESET considerou esse valor baixo. As ferramentas mais usadas são antivírus, backup, firewall e anti-spam.
Diante dessa tendência, a preocupação com o dado deve criar questionamentos na indústria, segundo o especialista Sebastián Bortnik, que é coordenador de pesquisa da ESET na América Latina.
