Segurança cibernética em uma plataforma de segurança

Por Thiago Vasconcelos

A segurança cibernética (cyber security) é um conjunto de medidas tomadas para proteger um computador, equipamento, sistema ou plataforma contra acesso não autorizado (Wikipedia, 2018, adaptado). O interesse mundial no assunto se intensificou após o ataque de ransomware WannaCry em 2017, no qual dados sequestrados de computadores infectados foram criptografados e em seguida foi exigido a solicitação de pagamento em bitcoins (moeda virtual), com a promessa de recuperação dos dados criptografados. O WannaCry também afetou os smartphones, bem como câmeras de segurança. Na Austrália, dezenas de câmeras de tráfego foram infectadas e o governo deixou de emitir 8.000 multas de trânsito.

Vulnerabilidades de segurança ou ataques a sistemas de segurança têm sido amplamente divulgados na mídia. Outra forma de ataque cibernético é o de negação de serviço (DDoS), que pode tornar indisponível o equipamento ou sistema através de ataques virtuais em massa. Hackers maliciosos atacaram o sistema de transporte de San Francisco, nos Estados Unidos, em novembro de 2016. Os alvos desse ataque via DDoS incluíram servidores, switches, controladores de sistemas de controle de acesso e câmeras. Um outro ataque virtual, estima-se que cerca de 100.000 dispositivos em mais de 160 países foram afetados, incluindo gravadores de vídeo digital (DVRs) e câmeras IP. Este foi um dos maiores ataques DDoS da história da humanidade, que foi realizado contra equipamentos de segurança. O próprio Brasil foi seriamente afetado, tendo ocorrido em média 30 ataques DDoS por hora no país em 2017. O principal objetivo da área de segurança cibernética é alertar aos usuários de computadores, dispositivos portáteis e sistemas de segurança, em especial aos profissionais de Tecnologia da Informação e Comunicação (TIC). Estes, que estão constantemente trabalhando no background da infraestrutura e segurança de TIC ou no gerenciamento e manutenção de sistemas de automação, sistemas de segurança ou plataformas de segurança unificada.

Segurança cibernética no Brasil

O WannaCry teve repercussões de longo alcance em 2017. Muitos computadores em residências e locais de trabalho brasileiros estavam entre os cerca de 200 mil que foram infectados em todo o mundo. Os órgãos públicos do Brasil foram as empresas mais afetadas pelo ataque. Alguns serviços públicos ficaram indisponíveis por mais de 24 horas, com funcionários obrigados a desligar seus computadores para evitar o risco de contaminar outros equipamentos. Os órgãos públicos em geral tendem a ser mais vulneráveis nessas situações porque seu hardware e software geralmente são atualizados com menos frequência do que no setor privado. Os órgãos públicos dependem sempre de licitação e nem sempre ocorrem no tempo planejado. A maioria dos computadores ao redor do mundo afetados pelo WannaCry usava o Windows 7 ou versões anteriores. Geralmente computadores com Windows 10 não são afetados por esse crypto-ransomware.

De fato, como uma medida de proteção, é importante manter os sistemas operacionais atualizados, ter um software antivírus com patches de segurança recente e evitar clicar em links suspeitos, os quais são na maioria das vezes a porta de entrada de vírus. Isto inclui os softwares ou plataformas de segurança.

No Brasil, existe atualmente uma maior coordenação entre as diferentes áreas de segurança. Os eventos relacionados à segurança estão começando a incluir assuntos como a segurança de redes, segurança digital, privacidade e proteção de dados, segurança da informação, segurança física e segurança cibernética. A tendência é que as áreas de segurança estejam mais unificadas.

Questões de segurança foram discutidas de forma mais ampla e integrada em dois eventos internacionais em São Paulo em 2018. O primeiro evento foi realizado em março – A Feira Internacional de Segurança ISC Brasil 2018 e o segundo foi o Cyber Security Summit Brasil 2018, realizado em São Paulo no mês de julho. Eu estive nos dois eventos e pude constatar que o tema “segurança” foi discutido de forma mais ampla, incluindo: segurança digital, segurança cibernética, segurança física e segurança da informação.

Recomendações

As empresas podem reduzir o risco de ataques cibernéticos e tornar suas plataformas ou softwares de segurança menos vulneráveis se tiverem uma infraestrutura de rede robusta. Quanto mais segura e bem configurada a rede, melhor. Algumas práticas já são muito familiares aos profissionais da área de tecnologia ou segurança, mas é importante mencioná-las:

Evitar o uso de senha-padrão (default password) em dispositivos e equipamentos, como câmeras, controladores, painéis de incêndio, painéis de intrusão, sensores, intercomunicadores, switches, roteadores, servidores e estações de trabalho. Existem modelos de câmeras IP que exigem que a senha padrão do dispositivo seja alterada assim que é acessada pela primeira vez. Isto é importante, pois evita a utilização de senha- padrão;

Utilizar câmeras IP e software que suporte protocolo de fluxo de vídeo criptografado;

Evitar armazenar credenciais de acesso em planilhas na rede e buscar centralizá-las com acesso seguro e gerenciado, acessível apenas para as pessoas devidas, observando os princípios de integridade, confidencialidade e autenticidade na área da segurança da informação;

Evitar usar as portas padronizadas conhecidas em dispositivos e equipamentos;

Evitar usar padrões de autenticação antigos em leitores de proximidade, cuja criptografia já tenha sido quebrada, permitindo a clonagem de cartões ou outras credenciais que utilizam autenticação por proximidade;

Utilizar firewalls e servidores proxy, quando aplicável;

Atualizar constantemente o firmware de câmeras, controladores, switches e todos os equipamentos conectados à rede;

Atualizar os sistemas operacionais para as versões mais recentes de forma planejada;

Atualizar o software ou plataformas de segurança com os patches mais recentes;

Implementar políticas de segurança da informação;

Desenvolver regras de utilização para computadores e dispositivos portáteis, enfatizando a importância de não compartilhar as credenciais de acesso, que por sua vez devem ser individuais;

Verificar se os profissionais de TIC da empresa estão envolvidos em projetos de sistemas de segurança, bem como no gerenciamento do sistema ou no controle de contratos de manutenção.

É importante que este trabalho seja realizado em conjunto entre profissionais de TIC e/ou o departamento de segurança patrimonial/ operacional.

Normas Regulamentadoras – GDPR e LGPD

O Regulamento Geral de Proteção de Dados – General Data Protection Regulation (GDPR), que entrou em vigor na Europa em 25 de maio de 2018, regula todas as empresas que processam dados pessoais na União Europeia, independentemente de onde a empresa esteja localizada. Vídeos ou imagens geradas por câmeras de segurança são considerados dados, mesmo se o equipamento que armazena os dados for um computador, câmera, DVR, NVR, painel, servidor ou rede de armazenamento. Dados biométricos como biometria dos dedos ou biometria da face, por exemplo, são contemplados na lei e são mais críticos, pois são considerados dados pessoais sensíveis. Mais detalhes sobre o GDPR, e um cronograma de eventos até a sua entrada em vigor, podem ser encontrados no site eugdpr.org.

De acordo com o GDPR, as empresas serão multadas se forem responsáveis pela evidência de vazamento de dados, como dados pessoais ou dados pessoais sensíveis. As multas podem ser de 20 milhões de euros ou 4% do volume de negócios global da empresa, o que for maior. Fabricantes, integradores e empresas responsáveis pela operação de sistemas de segurança podem estar sujeitos a multas se não cumprirem os regulamentos.

No Brasil, a Lei Geral de Proteção de Dados (LGPD) foi sancionada pelo presidente Michel Temer em agosto de 2018 e a está prevista para entrar em vigor em agosto de 2020. Em dezembro de 2018 foi assinada uma medida provisória para criar a ANPD (Autoridade Nacional de Proteção de Dados), órgão regulador que será responsável pela fiscalização no sentido de fazer com que a LGPD seja cumprida.

A lei brasileira, que estabelece regras para a proteção de dados pessoais é baseada no GDPR da Europa, afirma que os dados pessoais não podem ser usados sem o consentimento e que as pessoas devem ter acesso a qualquer informação sobre elas. As empresas que não cumprirem poderão ser multadas em até 2% de seu faturamento, com multa máxima estimada em 50 milhões de reais.

Em geral, a GDPR tem implicações diretas para todo o setor de vigilância por vídeo com exceção de fins de segurança pública. Importante ressaltar que imagens ou vídeos gerados em empresas privadas não se aplicam a área de segurança pública e serão contempladas na lei. Segurança pública abrange imagens ou vídeos em áreas públicas como: rodovias, ruas, parques, entre outras áreas. De acordo com o novo regulamento, uma empresa responsável pela exposição dos dados deve publicar imediatamente as informações relevantes. Alguns fabricantes já estão ajustando suas práticas para cumprir as leis regulamentadoras e evitar o risco de multas.

Conclusão

Em vista do exposto, certas questões devem ser consideradas:

Qual pode ser o impacto se os dados biométricos ou as imagens faciais de uma pessoa forem vazados para alguém com intenção maliciosa?

 Qual é o valor da privacidade?

Quando um fabricante identifica e reconhece vulnerabilidades em seus produtos, as consequências serão inevitáveis, como a perda de credibilidade, mas é importante acompanhar o que o fabricante está fazendo para solucionar esses problemas. Profissionais e parceiros devem ser informados rapidamente sobre seus respectivos procedimentos, como atualização de firmware nos sistemas ou equipamentos para solucionar os problemas em questão. Esses pontos são importantes para manter a credibilidade e a confiabilidade da marca e de seus produtos.

É essencial selecionar corretamente os fabricantes, integradores e projetistas para ofertar soluções mais robustas e seguras. Não apenas o preço deve ser levado em conta, mas também outros fatores importantes como qualificações técnicas, valor agregado, qualidade, confiabilidade do produto e credibilidade da marca, com o objetivo de minimizar riscos e evitar futuras sanções para todas as partes envolvidas.

Thiago Vasconcelos é CEO, projetista, consultor e instrutor da Primustech, possui mais de 16 certificações internacionais, é Bacharel em Sistemas de Informação com experiência em Tecnologia da Informação e Comunicação (TIC) desde 2004 e Segurança desde 2011, com foco em Plataforma de Segurança Unificada. Possui diversas premiações da Microsoft e Petrobras. E-mail: thiago@primustechglobal.com.

Thiago Vasconcelos

Thiago Vasconcelos

Consultor de Soluções, possui diversas certificações internacionais, como: Axis, Bosch Security Systems, Cisco, Dell, Genetec, Hikvision, Microsoft, ISS SecurOS, ITIL, Kiper e Legrand. Atua com tecnologia desde 1997, é Bacharel em Sistemas de Informação com experiência em Tecnologia da Informação e Comunicação (TIC) desde 2004 e Segurança desde 2011, com foco em Plataforma de Segurança Unificada. Possui diversas premiações da Microsoft e Petrobras. Experiência com soluções e/ou projetos para: Aeroportos, Complexo de Presídios, Condomínios, Governo, Indústrias, Metrôs, Petrobras, Rede de Agências Bancárias, Rodovia, Shopping Centers e Vale.

Notícias Relacionadas

Destaque

Entradas e saídas de Porto Alegre terão reconhecimento de placas de automóveis

Porto Alegre terá um incremento em seu sistema de videomonitoramento nos próximos meses. A prefeitura assinou na última quinta-feira (15)…

Destaque

Startup projeta sistema de reconhecimento facial menos invasivo

Um dos grandes desafios da Inteligência Artificial atualmente é aprimorar o sistema de reconhecimento facial. Mas, na contramão desse projeto,…

Destaque

Empresa israelense cria drone ‘suicida’ que se lança sobre os inimigos

A Elta Systems, uma divisão da Israel Aerospace Industries (IAI), está planejando um novo recurso para seu sistema ‘Drone Guard’,…