Segurança da Informação | Sucatas valiosas

Fabricantes de hardwares não adotam processos seguros para eliminação de dados

Outro dia eu estava conversando com um amigo e acabamos discutindo sobre um vídeo que apresentava os riscos envolvidos no processo de venda de diversos equipamentos obsoletos para empresas de sucata. Eder Alvares P. Souza – Co-fundador da eSafer e Colunista do CryptoId

No vídeo eram retratados os riscos existentes no processo de venda de multifuncionais obsoletas pelas delegacias de um estado americano para empresas de reciclagem de equipamentos de informática.

Os funcionários dessa empresa mostraram como era possível recuperar diversos documentos sigilosos e que foram enviados para impressão, já que esses equipamentos normalmente possuem discos para armazenamento de dados e um Sistema Operacional embarcado.

O processo de impressão consistia em receber os documentos eletrônicos provenientes das estações, utilizando a conexão de rede, persistir esses documentos no disco local, efetuar a impressão e logo após, excluir os documentos. O ponto é que a maioria dos fabricantes não adotam um processo de exclusão seguro e com isso, qualquer utilitário destinado a recuperar arquivos apagados pode ser utilizado para recuperar os arquivos enviados.

Durante o vídeo é possível ver alguns funcionários recuperando estes arquivos e muitos possuíam conteúdos sensíveis que muitas vezes estavam relacionados aos processos de investigação e informações pessoais.

Ainda sobre esse tema, há alguns anos atrás eu presenciei uma situação muito semelhante, onde alguns bancos brasileiros vendiam seus ATMs (Caixas Eletrônicos) para empresas nacionais de sucata e não adotavam qualquer procedimento de exclusão (sanitização) segura dos dados existentes nos discos ou descaracterização física do equipamento e isso criava condições para a recuperação de dados sensíveis ou até o uso de um equipamento desses com o objetivo de enganar os clientes do banco e roubar dados de acesso.

Também já presenciei o descaso na venda de smartphones obsoletos para empresas terceiras, onde não era adotado qualquer procedimento para verificação e remoção dos dados dos usuários anteriores, um cenário muito rico para exposição de informações sensíveis e ataques de engenharia social.

Tudo isso pode ser evitado adotando procedimentos de segurança já bem conhecidos e soluções tecnológicas destinadas a proteger informações e seus proprietários, como a criptografia.

O Brasil ainda está engatinhando na adoção dessa tecnologia e apesar do tema estar ganhando destaque na mídia internacional devido às discussões iniciada

s pelo governo americano e diversos países europeus, por aqui o tema ou é uma novidade ou não é tratado com a seriedade que deveria.electronic scrap in trash can. keyboard, power supply, cables, logicboard, hard drive – isolated on white background

Empresas no Brasil ainda armazenam dados sensíveis para os negócios de forma completamente negligente e com o agravante das informações estarem onipresentes, pois agora colaboradores tem esses dados em seus laptops, tabletes e smartphones.

Ainda, na maioria dos casos, ações e decisões só são tomadas após a constatação do vazamento e a partir desse momento o estrago já está feito, restando apenas para a empresa a contenção e a responsabilidade pelo dano causado aos seus clientes e para a própria imagem da empresa.

O mais surpreendente é que já existe um portfólio muito grande de soluções destinadas a proteger esses dados, sendo possível proteger dados em movimento e em repouso com um investimento muito inferior ao dano causado por um incidente e com capacidade de atender diversas necessidades e plataformas.

Hoje podemos criptografar dados em dispositivos removíveis como pendrives, discos removíveis, cartões de memória usados em dispositivos móveis e wearables, além de discos de laptops e até diretórios em servidores de aplicações.

Também podemos aplicar a criptografia no transporte dos dados, protegendo essas informações do acesso indevido mesmo quando os dados precisam ser compartilhados entre múltiplas pessoas, até de empresas distintas.

O poder da criptografia tem até despertado a atenção dos governantes, que em muitos casos, por não entenderem completamente os benefícios da sua adoção e os riscos que um mundo conectado possui, tentam nesse momento proibir seu uso com discursos antiquados e sem fundamento.

Deixar de adotar ferramentas para criptografia acaba colocando em risco empresas, cargos e até clientes, mesmo tudo isso podendo ser evitado com investimentos simples e em muitas situações, com implantações rápidas e sem grandes impactos operacionais.

Com isso, cabe ao responsável pela segurança corporativa assumir os riscos pela decisão de não adotar uma tecnologia madura e expor a empresa em um momento onde os vazamentos de informações estão fazendo parte do dia a dia das corporações.

Até a próxima

Eder Alvares P. Souza

Mestre em Engenharia de Software pelo IPT-SP, com MBA em Gestão Empresarial pela FGV e especialização em Segurança da Informação pelo IBTA e bacharel em Ciências da Computação pela FAC-FITO.
Professor do curso de Segurança da Informação do Instituto Brasileiro de Tecnologia Avançada e responsável pelo tema Criptografia e Certificação Digital.
Atua há quinze anos na área de Tecnologia e Segurança da Informação e atualmente é Diretor Técnico na e-Safer Consultoria.
Vivência no desenvolvimento de produtos e implantação de soluções de Segurança e Certificação Digital em empresas de grande porte.
Eder é colunista e membro do conselho editorial do CryptoID.