CRIMES POR
COMPUTADOR.
Celso H. Leite
Bacharel em Administração
de Empresas
Consultor de Segurança
da Informação da Módulo Consultoria e Informática
Ltda
Na década dos anos 70, o principal criminoso era técnico da informática. Na década seguinte, nos anos 80, tanto os técnicos de informática quanto os funcionários de instituições financeiras eram os principais criminosos. Já na atual década, qualquer pessoa física pode praticar crimes por computador, pelas inúmeras oportunidades que as novas tecnologias e os novos ambientes organizacionais proporcionam.
Alguns exemplos de crimes por computador:
Numa abordagem sobre os crimes por computador, é necessário considerar que as fragilidades do ambiente computacional e as circunstâncias adicionais que surgem no ambiente de trabalho criam oportunidades e implicam num baixo risco para a prática do ato ilícito.
Circunstâncias que
ensejam ao crime:
1. Deve existir um indivíduo
com habilidades para planejar e executar o crime;
2. Existem oportunidades
percebidas pelo indivíduo que facilitam o ato ilícito, dando-lhe
a possibilidade de ganhar destaque ou alcançar facilmente um objetivo
ilegal, num curto espaço de tempo;
3. O criminoso precisa
estar confiante de que o ato cometido dificilmente poderá ser descoberto
ou rastreado (ilusão do crime perfeito);
4. Existe uma forte percepção
de que haverá pequena ou nenhuma punição, no caso
da descoberta do crime;
5. O criminoso necessita
ter acesso real e legítimo ao sistema, nos planos físico
e lógico, para que o crime seja executado durante o curso de uma
atividade normal de trabalho.
Em geral, grande parte de todos os crimes por computador são praticados por funcionários das empresas. As condições favoráveis para a prática dos crimes por computador estão aumentando, em função do crescente número de companhias privadas e públicas que estão plenamente informatizadas, dando acesso aos sistemas para um crescente número de empregados. A despeito desse fato, não há uma clara indicação de que esteja surgindo uma reação negativa da sociedade para a prática desses crimes. A falta de percepção da sociedade no que se refere a crimes por computador pode ser atribuída ao fato de que estes crimes são um fenômeno relativamente novo e de que a opinião pública ainda não está suficientemente esclarecida sobre o problema. Pela própria natureza técnica desses crimes, muitos deles dificilmente são descobertos e outros nunca o serão. Muitos daqueles que foram descobertos não são dados ao conhecimento público. Geralmente, empresas que sofreram o crime por computador preferem não divulgar o fato, para evitar prejuízos com desgastes à sua imagem e credibilidade.
O modelo apresentado abaixo
descreve as principais características daqueles que praticam crimes
por computador, na atualidade. Este modelo refere-se não a agentes
externos ("hackers" ou "crackers"), mas aos agentes internos das empresas,
funcionários dos departamentos de sistemas de informação
e usuários finais de serviços de computação
em redes.
Idade: 18 a 35 anos
Sexo: masculino,
na maioria
Função:
administrador ou funcionário de alto nível
Perfil: estável
no emprego, brilhante, ativo, motivado, diligente, de confiança
(acima de qualquer suspeita), laborioso, primeiro a chegar e último
a sair, não tira férias, zeloso com relações
pessoais, preocupado com a manutenção do prestígio,
individualista, gosta de resolver problemas de forma independente.
Antecedentes Criminais:
Nenhum
Método: Executando
uma ação aparentemente ordinária no curso de uma operação
de sistema normal e legal, como por exemplo: cálculo de salários,
contas a receber, pagamentos de fornecedores, transferência de fundos,
etc.
Reações
ao ser apanhado:
"Isto não é
um crime"
"Eu não prejudiquei
ninguém"
"Todo mundo faz isso"
"Eu apenas tentava demonstrar
ao meu superior que isto é possível de ser feito".
A lei: Nada prevê a respeito. Geralmente, ambos os lados entram em acordo e o caso é mantido em segredo. Poucos países dispõem de leis suficientes para regular crimes por computador. Isto é explicado, em parte, pela complexidade do ambiente tecnológico para processamento da informação e pela dificuldade em se definir e conceituar claramente termos como "Software", "Meio Eletrônico", etc. Em geral, a lei é inadequada, tanto no nível de processo, quanto no de jurisdição. No caso de crimes praticados através das redes ligadas ao Ciberespaço - Internet - quem é que vai julgar os crimes ? Não temos cortes internacionais com poderes para tanto.
Crimes por computador são difíceis de se prevenir. A prevenção somente é possível através de uma combinação de medidas tais como o limite do acesso às informações e ao uso do sistema, aliado a uma política de "Alerta, Prevenção e Controle" dirigida aos usuários finais.
Além dos métodos de controle de acesso que devem ser adotados, a segurança deve ser entendida como um caminho para se reduzir drasticamente as condições favoráveis para a ocorrência dos crimes. À medida que forem adotadas e divulgadas medidas para auditoria e monitoração de todo o ambiente informatizado, com o possível reconhecimento do autor, data, horário e natureza da tentativa de violação, estará se dando menor encorajamento ao crime.
Medidas de segurança também implicam na existência de cópias regulares das aplicações e dos bancos de dados - "Backups", que permitem a recuperação da capacidade de processamento normal, nos casos de destruição acidental ou provocada de dados e/ou aplicações.
Mais ainda, cada organização
que permite ao funcionário acesso a informações do
sistema, tem a obrigação de instalar um sistema completo
de segurança, com controle de acesso, opções de criptografia,
definições de privilégios e opções de
auditoria e controle, para reduzir as possibilidades da ocorrência
de crimes e para identificar e responsabilizar os autores, numa eventual
ocorrência de incidentes criminosos.
O autor:
Extraido do site: http://mingus.modulo.com.br/clip-22.htm - jul/99