Crime organizado é responsável por 85% dos roubos de dados
De acordo com a pesquisa "Data Breach Investigations Report", realizada pela Verizon RISK Team em cooperação com o Serviço Secreto dos EUA, é essencial ter controle sobre uso de senhas para manter a segurança da informação, principalmente frente ao crime organizado cibernético. De acordo com a mesma, a quebra de registros eletrônicos no ano passado teve forte envolvimento do crime organizado na Internet.
Um levantamento feito pelo governo americano observou que o número total de violações investigadas no ano passado diminuiu em relação ao ano anterior, um dado promissor, e concluiu que grupos criminosos organizados foram responsáveis por 85% de todos os dados roubados no ano passado. Foi constatado também que a maioria das falhas poderia ter sido evitada se noções básicas de segurança fossem seguidas, sendo necessário medidas cautelares mais complexas em apenas 4% dessas violações.
A conclusão do levantamento é que a maior parte das organizações continua lenta em detectar e responder a incidentes, sendo detectado que 60% das infrações são descobertas por terceiros, e apenas depois de muito tempo; a maioria das organizações descumpre seus esquemas de senhas ou a ignoram por falta de ferramentas, pessoal e processos.
Principais conclusões do Relatório de 2010
A maioria das violações de dados investigadas foi causada por fontes externas (69% das infrações), enquanto que apenas uma pequena parte estava ligada a parceiros de negócios (11%). Pessoas internas causaram 49% das infrações, um aumento em relação ao relatório anterior.
Outros dados: 48% das violações foram atribuídas aos usuários que maliciosamente abusaram do direito de acesso à informação corporativa; um adicional de 40% das infrações foram o resultado de "hacking", enquanto 28% foram devido às tática sociais e 14% para ataques físicos; 85% das violações não foram consideradas extremamente difíceis e 87% das vítimas tinham provas da violação de seus arquivos de log.
O Estado do Cibercrime: 2010
Segundo a Verizon não há qualquer correlação entre o tamanho de uma organização e suas chances de sofrer uma violação de dados. O declínio no número total de violações de dados apontado pelo estudo deve-se a uma série de fatores, incluindo a "eficácia da aplicação da lei na captura de criminosos, uma tendência mundial". O relatório citou a prisão de Albert Gonzalez, um dos hackers de computadores mais notórios do mundo, que se declarou culpado por ajudar um clã global que roubou centenas de milhões de números de cartões de pagamento e que foi condenado ano passado a 20 anos de prisão.
As violações de dados continuam a ocorrer dentro de todos os tipos de organizações, sendo os serviços financeiros, hospitalares e varejo os mais afetados (33%, 2% e 15%, respectivamente). Os ladrões cibernéticos estão mais propensos a selecionar alvos com base no valor percebido dos dados e no custo do ataque do que nas características da vítima, como tamanho da empresa.
Na notícia apresentada, ficou evidente o grande empecilho das brechas na Segurança da Informação. Com base nos estudos apresentados na notícia, muitas das falhas poderiam ser facilmente resolvidas se os usuários tivessem um mínimo de conhecimento. Mas talvez a questão mais importante seja a do crime cibernético organizado. Esses são os responsáveis por trespassar as falhas mais complicadas e pela maioria dos dados roubados, tudo para conseguir a mercadoria que provavelmente é a mais valiosa na internet: o dinheiro.
Entretanto, não é só o dinheiro que necessita de proteção na Internet. Muitas empresas vivem de seus dados, e tê-los furtados por falhas de segurança causa enorme prejuízo. Por isso muitos dados são roubados por competidores dessas empresas, tanto externamente como internamente, por pessoas que abusam de seus privilégios de acesso a essas informações.
Baseado na notícia, nos dados apresentados e no texto trabalhado, percebo que há uma tendência a declinar o número total de violações de dados, pois a eficácia da aplicação da lei na captura de criminosos aumentou. Na minha opinião, as empresas podem colocar tantos mecanismos de segurança da informação quanto quiserem, bem como contratar centenas de empresas especializadas nesse ramo, mas nunca resolverão o problema da invasão interna, por pessoas com acesso legítimo à informação e que agem de má fé. Realmente a maioria das falhas vieram de fontes externas, e essas podem ser evitadas ou em muito dificultadas por novas tecnologias de proteção, porém o fator da má fé humana nunca será resolvido. Não há como criar um mecanismo de proteção contra a ambição humana.
