Até onde organizações e governos se preocupam com a segurança de nossas informações? Até onde eles deveriam se preocupar em manter esses dados privados e se responsabilizar caso algo aconteça?
Recentemente, os dados pessoais de mais de 50 milhões de cidadãos turcos foram expostos na internet por um ativista chamado Thomas White, mais conhecido no Twitter como @CthulhuSec. Em seu site, White informa que a base hackeada foi a do cadastro nacional da polícia turca, porém algumas fontes externas dizem que a base hackeada na verdade seria a do cadastro eleitoral turco de 2009.
Seja qual for a origem destes dados, este incidente de segurança nos traz uma séria reflexão: a privacidade e segurança dos nossos dados. Até onde as autoridades tomam as medidas necessárias para manter a privacidade de nossas informações pessoais? Quais seriam os controles de segurança efetivos implementados para tal proteção?
De acordo com o White, o governo turco já sabia das falhas de segurança em seu sistema e as providências tomadas não foram suficientes para impedir o vazamento das informações, como por exemplo:
- Fraca criptografia
- Senhas dentro do código de programação
- Estrutura de banco desorganizada e não indexada
Não sabemos ainda quais serão as reais consequências desse vazamento para a população turca, que podem ser muitas, tais como falsidade ideológica, falsificações de documentos particulares e até mesmo compras ou empréstimos indevidos. Em qualquer uma das situações, os desdobramentos podem ser ainda piores.
Mas uma coisa podemos afirmar sobre esse episódio: sem o mínimo de investimento e controles críticos de segurança dos dados, qualquer governo ou organização estará exposta a ciberataques como este.
Diversos controles podem ajudar a aumentar o nível de segurança da informação para se manter os pilares básicos: integridade, confidencialidade e disponibilidade. Entre eles, podemos destacar algumas ações fundamentais:
- Monitoração de segurança com controle e auditoria nos acessos, utilizando ferramentas de apoio como SIEM para análise e correlação de logs a fim de detectar e responder incidentes de segurança
- Criptografia forte com a utilização de chaves privadas
- Atualização constante dos sistemas para sua última versão estável
- Autenticação multifatorial (token, SMS e etc.)
Ainda que estes e outros controles críticos de segurança estejam implementados na rede de uma organização, não há garantia de segurança e os dados nunca estarão 100% seguros. Justamente por isso as medidas de segurança se fazem tão importantes para que se mitiguem os riscos, aumentando a dificuldade de um ataque ser bem-sucedido.
