A Vulnerabilidade Física e Virtual nos Pontos de Varejo do País

Depois de espalhar câmeras IP como quem espalha lâmpadas nas lojas, o comércio já pode iniciar a unificação da segurança digital e física

A indústria mundial de varejo vem avançando de forma admirável numa disciplina multifacetada que se convencionou chamar de “prevenção de perdas” e que envolve desde a perda por falha nos controles de estoque, até os prejuízos ocasionados por furtos ou fraudes no sistema digital de pagamento.

Para não abrir demasiado o leque neste artigo, proponho uma passada de olhos nas vulnerabilidades de segurança que o setor precisa enfrentar para sanar uma sangria conhecidamente gigantesca, que são as perdas por falha na segurança do negócio, mais especificamente, no aparato digital e eletrônico disponível para a prevenção contra ataques às gôndolas, ao caixa e às bases de dados de clientes.

Entram, portanto, neste rol as categorias de risco cibernético e de vulnerabilidade física tradicional (que dá ensejo ao roubo ou desvio de produtos), de modo que se possa pensar numa visão holística (unificada) da questão das perdas varejistas e sua respectiva prevenção.

Vamos mirar especificamente o comércio em rede, uma vez que esta é forma predominante na indústria atual do varejo, embora a abordagem geral caiba também aos estabelecimentos isolados.

A primeira constatação é a de que o setor vem adotando certas medidas razoáveis, como o uso de etiquetas de rastreamento com alarme (RFID), para evitar a saída de produtos não pagos, uma iniciativa cada vez mais comum, principalmente em lojas de produtos com alto valor unitário, como perfumarias, lojas de eletrodomésticos e confecções.

Entre os sofisticados itens em fase de disseminação estão as câmeras de vigilância, muitas delas associadas a analisadores de ambiente capazes de detectar pessoas em movimentação brusca, ou até com leitores biométricos para o cadastramento facial de suspeitos.

São iniciativas ainda incipientes na grande maioria das redes no Brasil, como atestam pesquisas setoriais, mostrando que só 35% dos supermercados e atacarejos dispõem de planejamento e equipes dedicadas à prevenção.

Mas um tópico mais preocupante, a meu ver, é o cenário de alta vulnerabilidade da estrutura de informática presente nos pontos de vendas do país, o que agrava de forma dramática a própria segurança física.

Isto porque tal estrutura é vital não apenas para o gerenciamento das transações eletrônicas da loja, mas também para o monitoramento da segurança de itens como as câmeras, os alarmes, os detectores RFID, os sensores de presença nos depósitos, os leitores de códigos de barra, os registradores de cash, balanças e até catracas de entrada e saída de clientes.

No aspecto estritamente digital, é certo que todos estes estabelecimentos deveriam já se submeter a normas básicas de compliance impostas pelas bandeiras de cartão de pagamento como Visa, Diners e MasterCard através do seu rigoroso padrão PCI-DSS, que mundialmente mobiliza bilhões em tecnologia de combate à vulnerabilidade de dados e transações.

Mas embora utilizem necessariamente uma rede credenciada de transporte de transações (como Elo ou PagSeguro) tais estabelecimentos raramente dispõem de uma rede interna isolada para seus serviços gerais, em relação a pontos críticos de interface com o cliente ou com o mundo externo, como os terminais de PDV ou de captura de cartões.

Assim, toda a blindagem com base em normas (compliance) adotada pelo transportador de transações e exigida pelas bandeiras dos cartões se depara, no ambiente da loja, com uma brecha de segurança pela qual, se passa boi, certamente em algum momento deixará passar a boiada, como diz a linguagem popular e referencia a velha e infeliz “Lei de Murphy”.

Este é um cenário, aliás, não muito diferente do que se verifica em todo o espectro das empresas, principalmente na faixa das PMEs. A mesma conexão de Internet que equipa uma câmera IP é usada pra trafegar informações fiscais e contábeis ou dados críticos de cliente.

O mesmo WiFi da lanchonete, que conecta o cliente ao Facebook e permite ao garotinho jogar o seu passatempo enquanto espera um sanduíche, conecta também a garçonete, com seu terminal de pedido, ao sistema de gestão de entregas e está ligado ao software de RH da loja ou até mesmo da rede.

Um tipo de negligência nas pontas que, está provado, contamina a própria rede global de pagamentos e promove lucros bilionários ao crime cibernético, além de facilitar toda sorte de fraudes ou desvios no ambiente físico e virtual da rede varejista.

Para quem conhece um pouco sobre as especificações de compliance contidas no PCI DSS ou nas modalidades da norma ISO dirigidas à segurança, é preciso reconhecer que o investimento exigido em segurança cibernética é, quase sempre, o maior entrave à melhoria desse aspecto.

Quando a correlação de custos favorece, o nível de adesão do comerciante é altamente positivo. E aí está o exemplo das câmeras IP, hoje quase tão abundantes quanto lâmpadas no ambiente da farmácia ou supermercado.

E isto pelo simples fato de que sua instalação “agite e use” dispensa maior planejamento, não carece de fiação e atinge custos hoje em dia tremendamente acessíveis.

Agora, o que começa a mudar, é que o mesmo movimento de massificação que ocorreu com as câmeras WiFi, começará a ocorrer em relação ao lado cibernético e à centralização de controle dos itens de segurança digital.

Consoles a custos compatíveis, com baixa exigência de aprendizado e fácil integração com dispositivos de monitoramento físico e virtual já despontam como a novidade da vez.

Um exemplo disto são as centrais de proteção unificadas (tecnicamente chamadas de Firewall UTM) que reúnem todas as funções de segurança em nível cibernético de rede interna e que permitem gerenciar a segurança de dispositivos como os próprios POS, as câmeras IP do ambiente, os terminais de leitura e celulares de clientes e funcionários.

Tudo isto contando ainda com funções de fácil uso para a criação de redes virtuais isoladas, fornecendo blindagem para a comunicação de negócios e garantindo a criação de políticas de priorização de tráfego para aquilo que realmente interessa.

De um patamar até recentemente em torno de sete ou oito mil reais no mercado interno, centrais UTM de alta confiabilidade já podem ser encontradas a valores próximos a R$ 2 mil. Abre-se assim uma perspectiva nova para pequenas e grandes redes de varejo, que por um baixo investimento inicial, poderão iniciar a implantação da segurança holística em todas as suas lojas.

E quem sabe não seja o momento para que as grandes empresas da cadeia de pagamentos (operadoras de cartão, adquirentes e bancos) comecem a distribuir incentivos para que o pequeno comerciante (ou franqueado) atinja, efetivamente, níveis mais sólidos de conformidade com as normas de segurança.

A Segurança Digital e os Perigos Internos

A vulnerabilidade interna da rede combina o risco digital com o acesso de pessoas às áreas físicas do sistema, como discos rígidos, conexões wireless e portas USB

 

 

A preocupação com a segurança digital “dentro de casa” ainda está muito aquém do enorme potencial de dano que o usuário interno representa para o ambiente empresarial, e aqui não me refiro apenas ao indivíduo mal intencionado, mas também ao mal treinado ou comportamentalmente inepto diante dos riscos externos.

Enquanto 92% dos CIOs se dizem altamente preocupados com os riscos de invasões externas, apenas pouco menos que a metade desse contingente vê a ameaça interna como extremamente preocupante, segundo pesquisa da Vormetric. Não se trata, é claro, de se disseminar uma visão hostil dos colaboradores, mas o perigo é extremamente alto, mesmo se considerarmos o caráter ético e benigno da expressiva maioria.

Chega a ser um dado curioso esta aparente displicência com a vulnerabilidade caseira, tendo-se em conta a extensa literatura que faz referência ao problema, como é o caso desse recente estudo da Security Intelligence, mostrando que 46% dos prejuízos à segurança empresarial provém de uso mal intencionado ou inadequado da rede por parte de colaboradores próprios ou visitantes credenciados.

Curioso e surpreendente, mas nem tão difícil de entender em função de alguns aspectos espinhosos. Ocorre que a segurança interna requer um “pequeno” requisito que a maior parte das empresas não tem, que é uma visão sistemática de todo o seu ciclo de informação.

Um negócio bastante complexo, que chega até a desanimar devido a seus diversos requisitos conjugados e de natureza bastante distinta, tais como os listados abaixo:

1. O mapeamento logístico dos dados e sua classificação por camada, segundo a taxa de criticidade ou valor estratégico para o negócio;

2. O inventário das aplicações com iguais parâmetros de discernimento, para orientar as políticas de acesso, execução ou configuração;

3. O código explícito de conduta de segurança da informação, abrangendo o mundo virtual e suas intersecções com o mundo físico (por exemplo, como descartar discos rígidos ou regras para o uso de Bluetooth no ambiente empresarial).

4. A instauração -via educação continuada e via explicitação de princípios – de um comprometimento ético e responsável no uso dos recursos de TI, incluindo-se aí o compromisso de emprego não recreativo e não promíscuo da Internet.

5. O mapeamento e monitoração de vigilância do pessoal que acessa o ambiente e, em especial, aquele que se pode classificar como “peopleware”, em face de acesso privilegiado às áreas críticas do sistema.

6. O mapeamento detalhado da rede física e sua parafernália de dispositivos fixos ou temporários (e aqui entram desde desktops até máquinas de PDV, câmeras web e aparelhos do mundo BYOD).

7. E por último, mas não menos importante (aliás, até mais importante que o resto), o aparato de tecnologia para prevenção, detecção, resposta e gerenciamento abrangendo todas as seis camadas (domínio, firewall, conexões, dispositivos, usuários e aplicações).

Sem a pretensão de esgotar a lista, acredito que o rol acima já dá uma noção do quanto a segurança interna possui um volume de complicadores muito maior do que a externa, na qual a finalidade essencial (já bem complicada) é mapear as brechas, cercar o ambiente cibernético, isolar os repositórios de dados e gerenciar as conexões e acessos no ambiente.

UM CADEADO PARA CADA PORTA USB
É evidente que boa parte dos elementos acima compilados pertence também às exigências típicas da política de segurança externa, mas pesa muito, na minha avaliação, o diferencial do elemento humano, com sua monumental curiosidade associada ao quase incontrolável livre arbítrio e – o que é pior – à posse de senhas de acesso às aplicações e dados de negócio.

E note que ainda não mencionei a dificuldade de se controlar o acesso físico desses indivíduos a áreas altamente vulneráveis, como a sala do data center ou a porta USB do servidor ou de milhares de laptops conectados ao núcleo nervoso da firma.

É uma quantidade grande e diversificada de fatores que tornam a segurança interna um assunto que ultrapassa bastante o conhecimento do técnico de TI e exige, no mínimo, a troca de experiência entre ele e o pessoal da guarda patrimonial e entre ambos e o setor de RH.

Em corporações maiores, essa interação básica iria exigir até a participação de um setor de inteligência capaz de imergir inclusive sobre propensões sociais dos funcionários ou sobre os antecedentes de free lancers que tenham acesso mais profundo à rede ou aos ambientes físicos.

Em um debate sobre segurança digital reunindo dirigentes do setor financeiro, o chefe de segurança de um grande banco recomendou aos CSOs presentes que a troca periódica dos laptops, ou outros equipamentos processados, não requeira unicamente a formatação profunda de suas memórias digitais, mas a destruição física das mídias e seu descarte unicamente após estarem 100% irrecuperáveis.

Pode parecer paranoia: mas a revista online americana “Which?” comprou oito discos rígidos usados de diferentes ofertantes do eBay e, com um esforço muito pequeno e um aplicativo achado no Google, conseguiu recuperar cerca de 22 mil arquivos que permitiam reconstituir em boa parte a vida e os negócios dos antigos donos.

À parte esses riscos difusos (na fronteira entre o digital e o físico) há estudos a atestar que 75% dos roubos de informação valiosa nas empresas não são aqueles perpetrados por ataques externos de “força bruta” ou qualquer tipo de estratagema hacker. São roubos feitos por pessoal credenciado, que têm em suas mãos a chave do tesouro de dados ou apenas uma permissão bem banal, como a de poder imprimir arquivos.

Assim, o conselho que posso dar é que o homem de segurança de TI comece ao menos a considerar o fator interno como o portador do potencial de dano maior, mesmo sabendo que não conseguirá em médio prazo equacionar toda essa problemática.

Até porque, se conseguir uma boa redução nesses aspectos da vulnerabilidade “em casa”, a consequência vai aparecer também na forma de uma resistência maior em relação aos hackers.

O que não é nem um pouco recomendável é a tão disseminada prática de se estabelecer controles de vigilâncias pouco (ou nada) transparentes, como o monitoramento de email e de hábitos de navegação sem conhecimento explícito (e formalmente reconhecido) por parte dos funcionários.

Ao invés disso, um passo mais profissional, ético e juridicamente seguro seria a criação de um código de transparência (que dá ciência ao funcionário sobre a livre e proativa monitoração de suas atitudes e conteúdos no âmbito da rede empresarial).

Esse patamar mais evoluído de conduta exigirá a adoção de algum aparato inteligente, como uma central de gerenciamento unificado de segurança, por exemplo. A simples implementação de tecnologias dessa natureza já ajuda bastante o corpo técnico a obter uma ótima lista de parâmetros combinados que, em geral, já vêm embutidos no manual e nos requisitos de uso desses próprios sistemas dedicados.

E para concluir, menciono o dado paradoxal de que os controles ostensivos aqui referidos não têm sido objeto de resistência ou antipatia pela maior parte dos funcionários nas empresas.

Pelo contrário, o funcionário se sente mais respeitado e protegido quando o monitoramento se dá de forma explícita e previamente acordada entre ele e o representante da segurança interna. E, a partir desse acordo básico, cada um dos usuários fica apto a ser recrutado pelo homem de TI como mais um responsável não só pelos seus atos, mas pela segurança do ambiente como um todo.

O Alto Risco da Ausência de Gestão de Senhas

A empresas terão de manter inventários das senhas e credenciais de privilégio. É preciso abandonar o modelo velho de chaves baseadas no teclado QWERTY

Parte considerável dos investimentos no combate à vulnerabilidade dos sistemas informacionais escorre pelo ralo devido à falta de políticas de controle de identidades e credenciais de privilégio que dão acesso a dados, aplicações e serviços em diferentes níveis estratégicos.

O problema vai muito além da alardeada proliferação de senhas criadas pelo usuário final, e que frequentemente permanecem ativas (pelo menos para algumas aplicações) mesmo depois do desligamento profissional do seu respectivo criador.

O descontrole mais grave envolve aquelas permissões que dão status de administrador ou autoridade hierárquica. Este tipo de credencial é gerado, em parte, para suprir necessidades do comando empresarial, afetando um pequeno número de gestores, o que as torna mais fáceis de gerenciar.

Mas a expressiva maioria das permissões de privilégio é representada por chaves de finalidade técnica (frequentemente passageira), criadas para assegurar acesso pontual a partes sensíveis do sistema. É grande o número de senhas produzidas nas corporações para viabilizar tarefas corriqueiras, como a configuração de um periférico ou a ativação de regras de negócio, e que são usadas por anos a fio, quando deveriam ter sido eliminadas e substituídas imediatamente após a utilização a que se destinavam.

Há ainda uma infinidade de credenciais de privilégio embutidas em aplicações que viabilizam sua interelação com outras entidades da rede ou do ambiente de software. Tais senhas de aplicação são fixadas no instante da integração do sistema e muitas vezes esquecidas ou até ignoradas pelas equipes responsáveis. O alto risco de tudo isto se dá pelo fato de que a posse de uma única destas chaves por um agente interno ou externo mal intencionado pode criar as condições para se alterar ou vasculhar toda a extensão do ambiente operacional, inclusive propiciando a captura do acervo de senhas disponíveis independentemente de seu nível.

Um estudo da CiberArk concluiu que entre empresas norte-americanas que dispõem de CIO e profissionais dedicados à segurança, nada menos que 86% se consideram vulneráveis a ataques praticados para a obtenção dessas credenciais de privilégio. A situação, com certeza, é bem pior no Brasil, onde apenas 50% dos órgãos de governo e das empresas estatais dispõem de um profissional de segurança digital, segundo dados contidos no Mapa Estratégico da Defesa Cibernética publicado pelo Ministério da Defesa. Entre os fatores mais críticos, descritos em estudos sobre o tema, está justamente a incapacidade das empresas em criar inventários fidedignos de suas senhas e identidade de acesso, o que impede o estabelecimento de qualquer controle sobre seu ciclo de vida ou sobre o nível atual de legitimidade de seus portadores.

Em um documento publicado no site da Lieberman Software com o sugestivo título “Como manter a NSA fora do alcance dos seus sistemas”a multinacional se reporta a seis recomendações de segurança criadas pela própria NSA (Agência Nacional de Segurança dos EUA) para as empresas do governo norte-americano e que bem poderiam ser seguidas pelas corporações brasileiras.

A primeira é a de não permitir o acionamento remoto de qualquer tipo de ação que dependa de credencial de privilégio, medida que cumpre o ideal de restringir a vulnerabilidade apenas ao agente interno sobre o qual o controle deve se ampliar substancialmente.

Esse controle ampliado é expresso em todas as demais recomendações, como a de criar restrições de validade das credenciais, apenas para sistemas específicos, sem que um agente isolado possa navegar ao longo de todas as áreas ou fazer uso indiscriminado dos serviços.

O ponto central, a meu ver, é o que expressa a urgência pela adoção de múltiplas autenticações, tendo em vista os problemas de gestão associados à eficiência crescente dos ataques hackers “de força bruta”.

Isto se faz, por exemplo, através do emprego combinado de senhas com dispositivos “token”, ou pela exigência de resposta a questões de ordem pessoal (seu aniversário de casamento, o nome do filho mais velho) ou a requisição de junção de partes de senhas randômicas, distribuídas entre dois ou mais indivíduos no instante da solicitação do acesso.

Com o atual nível de universalização dos smartphones dotados de recursos como câmera, scanner, microfone, Bluetooth, etc, é bem provável que aplicações de segurança de acesso comecem a explorar tais recursos, por exemplo, combinando a senha de acesso com uma leitura do “selfie” do usuário, ou conferindo sua posição geográfica (você está mesmo na empresa?) através da aplicação GPS no momento exato da requisição.

Em casos extremos (como risco de terrorismo), pode-se  estabelecer o cruzamento entre a posição GPS do indivíduo com seu nível de permissão de acesso, levando-se em consideração variáveis dinâmicas de acesso, como data e hora da requisição associada ao perfil do usuário. 

Quaisquer que sejam as soluções ou padrões culturais escolhidos, o fato é que o modelo de senha, em voga desde os primórdios da predominância do chamado teclado QWERTY, já se tornou um “mamão com açúcar” e uma garantia de sucesso fácil para os atacantes profissionais, ao mesmo tempo  que a sua gestão, confusa e ultrapassada, tende a transformar a credencial de privilégio em um instrumento de ameaça em mãos do usuário interno malicioso, inclusive o terceirizado ou aquele que pulou para a concorrência.

A questão da gestão e do modelo do emprego de senhas e credenciais de privilégio vai se tornando, portanto, um ponto crucial para a indústria de segurança. E pode ser que, nos próximos anos, as estatísticas dos grandes players da área passem a priorizar o enfoque sistemático do problema, deixando em segundo plano aqueles monótonos relatórios que tratam da infantilidade e inutilidade das senhas “fáceis de memorizar”, como a fatídica “123456”, que são empregadas pelas grandes massas globais de usuários.