Empregados tornam-se Hackers
Fernando Verissimo
Esse texto foi originalmente publicado no site Lockabit em 13 de julho de 2001.
É sabido que todos estão cada vez mais preocupados com segurança de suas redes, de suas empresas, enfim, de suas informações. A novidade é constatar que cada vez mais pessoas estão percebendo que não basta colocar softwares detectores de ataques, que vasculham, bit a bit, cada pacote que entra ou sai dos sites, mas também se preocupar com a conscientização das pessoas que trabalham na empresa da necessidade de uma política de segurança, que deve ser implantada em toda empresa, desde a presidência até a equipe de limpeza.
O diabo vive nos detalhes, já diz o velho ensinamento. Nós devemos nos preocupar com as coisas que tínhamos como as mais seguras do nosso sistema: os empregados da nossa empresa. Afinal, já tínhamos feito um trabalho de conscientização dentro da empresa e todos estavam aplicados para manter a qualidade total em segurança de redes. As senhas eram seguras, todos os funcionários tinham consciência que deveriam guardá-las na maior segurança possível e impossível, mas... A sua rede foi atacada. E atacada de uma forma pela qual nenhum hacker poderia ter feito, pois para atacá-la ele precisaria saber de informações que são guardadas a sete chaves dentro da sua empresa. Como pôde isso acontecer? Você, então, convoca uma reunião com todos que tinham conhecimento desta informação e só então descobre que uma dessas pessoas de confiança fora demitida há 2 semanas. A empresa, pelo motivo que seja, demitiu um funcionário que sabia de informações vitais ao seu aparato de segurança, e você, o administrador da rede, foi o último a saber.
Este episódio não é raro de acontecer, ainda mais numa empresa de grande porte. Não é orgulho para nenhuma empresa, ter que demitir ou receber o pedido de demissão de um funcionário. Portanto não é o tipo de informação que é amplamente difundida, na maioria dos casos.
O que acontece normalmente, é que o funcionário, após ser demitido pelo RH ou por sua chefia, tem liberdade para circular pelos mesmos locais onde era livre para circular antes da demissão e como os outros funcionários não sabem ainda da sua demissão, não fiscalizam a que tipo de informação este demitido está tendo acesso. O demitido tem acesso para voltar a sua mesa de trabalho e queimar todos os documentos, se quiser, apagar informações importantes dos sistemas a que tem acesso. Enfim, ele é livre até mesmo para fazer a vingança que quiser. Ou, ele pode ir para casa e de lá, ter acesso à empresa via internet e destruir as informações, sem deixar pistas, visto que ele sabe onde são guardadas as informações importantes, sabe como entrar no sistema e quais são as vulnerabilidades do mesmo.
O FBI disse em um artigo, publicado no seu site, que 20% dos casos de ataques de hackers sob investigação do seu Esquadrão de Invasão à Computadores são praticados por ex-funcionários das empresas vítimas.
Eu não consigo imaginar como uma empresa, que deseje selecionar um bom funcionário para trabalhar na sua equipe, possa preocupar-se como ele agirá após ser demitido.
Vamos tentar imaginar a cena:
Entrevistador para a pretendente à secretária:
- Gostei muito do seu currículo, Sra. Márcia.
- Ah, obrigado, Dr. Alfredo.
- Datilografia, ótimo conhecimento de micro informática, noções de inglês e espanhol, experiência anterior no nosso ramo de negócio, simpática e... Excelente aparência...
- Obrigada – responde Márcia, corando-se.
- Agora, Sra. Márcia, eu sou obrigado a lhe fazer essa pergunta. São normas da empresa, a senhora entende, né? Como a senhora se portará quando for demitida?
Aliás, eu diria, que essa é a forma menos recomendada para se começar uma sociedade de sucesso entre a empresa e o novo funcionário. Desconfiar do novo funcionário é a maneira mais fácil de torná-lo um perigo real.
Logicamente, estamos tratando aqui de uma situação onde a demissão do funcionário é necessária, então não vou aconselhá-lo a pensar melhor antes de demitir um funcionário, mas a empresa deve ter ciência do nível de conhecimento da informação que o funcionário está levando consigo: senhas, acessos, e até telefones de clientes. Sim, os clientes; Eu sei que é ruim para a imagem da empresa divulgar aos clientes que um funcionário foi demitido ou pediu demissão. Como eu disse antes, isso não é motivo de orgulho para empresa nenhuma. Mas é responsabilidade da sua empresa informar aos clientes que o demitido não é mais representante da sua empresa. Às vezes não é a sua empresa que precisa de uma política de segurança eficaz, ou não é só a sua empresa, mas é o cliente que tem as suas informações acessíveis para o mundo, ou para pessoas de confiança, como os funcionários dele, ou prestadores de serviço, como os funcionários da sua empresa, que o atendem in site. O demitido, para causar dano à imagem da sua empresa, pode tentar destruir informações do seu cliente, ou informações suas que, eventualmente, possam estar armazenadas no cliente. Alertar ao cliente para que ele possa cancelar aquele acesso de prestador de serviço que o seu ex-funcionário, como ora representante seu, tinha aos sistemas, computadores e instalações, é responsabilidade da sua empresa.
Imediatamente antes ou após de ser notificado da demissão, o administrador da rede e/ou dos sistemas importantes deve ser instruído a tirar o acesso às informações vitais à sua empresa e/ou aos seus negócios. A sua presença dentro das instalações da sua empresa deve ser acompanhada como a de qualquer visitante. Em alguns casos, variando da situação em que houve a demissão, a presença do demitido deve sofrer uma atenção maior do que um visitante comum.
Existem empresas que aplicam uma política ainda mais forte: Nestas empresas, o demitido perde o acesso à rede um pouco antes de ser notificado, e o acesso às instalações da empresa é constantemente acompanhado por uma pessoa. Em alguns casos, um ex-funcionário é proibido de voltar a empresa.
Pode parecer para alguns dos leitores, que essa atitude é radical ou agressiva, mas quando se quer qualidade total em segurança, deve-se ter o máximo de cuidado. E além do mais, esse procedimento é conhecido por todos os funcionários durante todo o período que ele trabalha na empresa. Ele sabe que, quando pedir demissão ou for demitido, perderá imediatamente o acesso à empresa, que, quando quiser voltar para visitar os antigos colegas de trabalho, terá que ser acompanhado por um deles, e vice-versa, ou seja, se ele for funcionário e um antigo colega, outrora demitido, vier lhe visitar, será sua responsabilidade acompanhá-lo a qualquer parte dentro da empresa. Sem exceções, sem distinção, assim é mais fácil. Isso acontece com todos, não é perseguição a um ou a outro, não é por que esse ex-funcionário tem cara de mal ou de bonzinho demais, se era porteiro ou CEO. A preocupação deve ser estendida a todos.
Existem algumas empresas em que já fui, que possui política de segurança. Ao entrar, os recepcionistas, ainda na portaria, cadastram meus dados, perguntam aonde eu irei, tiram fotos, dão-me crachás especiais de visitante, e exigem que ao sair entregue um documento assinado pela pessoa a qual fui visitar, garantido, desta forma que eu havia ido onde teria dito que iria. Muito bem. Porém, após eu ter visitado uma pessoa interna à empresa, tenho tempo suficiente para visitar qualquer outro ponto da empresa. Não sou acompanhado e só tenho que comprovar que estive onde disse que iria. Posso pegar o elevador para descer e saltar no andar imediatamente inferior, entrar num escritório qualquer, acessar uma mesa que esteja momentaneamente vazia, usar o computador, e ninguém irá me importunar. Na maioria das vezes, os colegas do funcionário usuário do computador que eu estou acessando têm indiferença a esse tipo de comportamento ou têm medo de me importunar e eu ser uma pessoa influente que possa vir fazer queixa da sua posição questionativa.
Existem aqueles prestadores de serviço e vendedores que rotineiramente freqüentam a nossa empresa, tão rotineiramente ou há tanto tempo que já o consideramos colegas. Entretanto, essas pessoas não têm o mesmo comprometimento com a segurança da sua empresa quanto você, não temos histórico profissional dessa pessoa, não sabemos quais são seus interesses. Ele pode ter sido dispensado de suas atividades há mais de um mês que continuaremos a abrir a porta para eles.
O Consultor de Informática e Professor Universitário Airton Sartore conta que tem o costume de fazer esse teste nas empresas que visita, empresas estas, que por motivos éticos, não revela os nomes. Ele circula por toda empresa, senta-se num computador e digita algumas teclas de um computador. Conta que nunca foi importunado por ninguém.
O título desse artigo poderia ser “O inimigo mora ao lado” ou “O anjo malvado”, mas a minha intenção não é criar um alarde desnecessário ou provar que todos os seus colegas são uma ameaça ao seu sistema, mas é quebrar o tabu de que aplicar uma política de segurança é uma forma de constranger pessoas ou burocratizar a rotina de trabalho, mas sim uma ferramenta imprescindível para manter informações conquistadas em anos de trabalho duro da sua empresa.
Esse artigo foi sugestão dos meus amigos Rafael Leonardo da Silva e José Nogueira D’Almeida Júnior, que me apontaram para o site de notícias do FBI (EUA).
O Lockabit não compartilha necessariamente da mesma opinião do autor.
Atualizado em 13 de julho de 2001