Segurança da (sua) Tecnologia da Informação e Comunicação

Um engenheiro de computação alemão anunciou nessa segunda que teria quebrado e publicado o algoritmo de criptografia utilizado nas redes celulares GSM para transmitir suas chamadas com total confidencialidade. Em outras palavras, ele afirma ter descoberto e publicado o código secreto que impede que as ligações entre a maioria dos aparelhos celulares do mundo seja ouvida por qualquer bisbilhoteiro.

O engenheiro em questão é o especialista em criptografia Karsten Nohl, que diz que sua ação tem por objetivo questionar a efetividade do algoritmo de 21 anos de idade que protege as ligações por redes GSM e forçar as operadoras a adotar medidas de segurança mais eficientes para proteger suas ligações. O código em questão foi criado em 1988 e ainda é usado para proteger 80% das ligações celulares no mundo todo. Esse algoritmo é denominado A5/1, e é um código de 64 bits. Desde 2007 está disponível um outro algoritmo, denominado A5/3, com criptografia de 128 bits, o dobro de “zeros e uns” no caminho entre sua ligação e um possível “ouvinte indesejado”. Apesar disso, a maioria das operadoras ainda não investiu na mudança para o padrão mais seguro.

Sobre o caso, a porta-voz da GSM Association — o grupo baseado em Londres que desenvolveu o algoritmo recém-quebrado e que representa as operadoras celulares — disse que quebrar a segurança das ligações “é teoricamente possível, mas na prática improvável.”

Outros analistas, porém, mostram-se mais preocupados. Apesar de uma tarefa complexa, teoricamente criminosos bem-organizados poderiam se aproveitar da nova descoberta para grampear ligações e vender informação, o que seria algo valiosíssimo no mundo corporativo moderno.

Simon Bransfield-Garth, diretor executivo da empresa londrina Cellcrypt, disse que “isso reduzirá o tempo necessário para grampear uma ligação GSM de semanas a horas. Esperamos que, à medida que isso se desenvolva, o tempo seja reduzido a minutos.”

Fonte: New York Times

Concursos, arrecadação, licitações, contratos, convênios, imóveis em leilão e diversas outras fraudes estão ocorrendo, neste exato momento, a partir da ignorância (ou má-fé) de muitos servidores públicos e da falência das instituições. Veja exemplos.

Por José Antonio Milagre

Não é de hoje que sabemos sobre certos episódios envolvendo espionagem, vazamento de informações e crime organizado dentro do setor público brasileiro.

As formas de coleta indevida e difusão das informações facilitaram os crimes digitais, associado ao fato da ignorância de muitos servidores públicos na proteção das informações.

Longe dos pomposos e não tão eficientes órgãos de segurança e inteligência do Governo Federal e dos Estados, encontramos enorme manipulação de informações sensíveis, diga-se, matéria-prima para fraudes e golpes sem qualquer proteção.

São dados de concursos, de segurança, arrecadação, licitações, contratos, convênios, imóveis a serem leiloados e outras informações aptas a serem exploradas para a fraude ou exploração ilícita. O resultado é previsível.

No Brasil, o gabinete de segurança institucional apresenta relatos de falhas, como no caso das câmeras do Palácio do Planalto, que não registraram as placas dos veículos que estiveram por lá no início de 2009[1].

Na previdência, a fraude chega a 1,6 bilhões de reais[2] e conta com uso indevido de informações do sistema de óbito de segurados, o SISOB, bem como outras técnicas de uso indevido de dados, o que faz do país um dos que mais possuem “mortos-vivos” do mundo em termos previdenciários.

Estamos também entre os campeões de “empresas-fantasma”, aptas a abocanhar licitações do norte a sul do país.

A própria Polícia Federal tem sua conduta questionada, no que cerne ao vazamento de informações de inquéritos e outros procedimentos, para a imprensa, televisões e outros privilegiados, o que gerou a indignação do ministro do Supremo Tribunal Federal, Gilmar Mendes, também em 2009 [2], e que também motivou o pacotão da segurança pública que pretende suspender e até demitir o agente que se manifestar sobre investigação que participe ou tenha conhecimento[3].

No centro de São Paulo, é possível comprar senhas para o maior banco de dados da segurança pública do Brasil, o InfoSeg [4], a custo irrisório de 2 mil reais, como já noticiado na mídia brasileira.

Outros entes públicos de nível federal, estadual e municipal já experimentaram a fraude resultado da associação entre maus servidores e particulares bandidos. A epidemia não é só pública, já que estima-se que no Brasil boa parte dos negócios fechados no mercado financeiro tenham como suporte o vazamento de informações[5].

O que o vazamento de informações causa? Dano e desfalque ao erário.

Tomemos o exemplo do vazamento de informações que prejudicou uma operação policial no Rio de Janeiro, em 2007, nas favelas do Complexo São Carlos, no Estácio, onde a Polícia pretendia prender 100 pessoas.

Apenas um homem foi preso.[6]

Outro exemplo, o vazamento das provas do ENEM em 2009[7]. Nada menos que 500 mil reais era o que o funcionário da gráfica contratada pelo Ministério da Educação queria para fornecer as informações ao Jornal “O Estado de São Paulo”. Resultado? O sabido cancelamento da prova, ato que custou nada menos que 30 milhões ao governo.

Mais um exemplo, a venda dos caças ao governo brasileiro, fato amplamente noticiado em 2009, onde a despeito do termo de confidencialidade estabelecido pela Força Aérea Brasileira (FAB), ficou claro o vazamento de informações sobre o preço ofertado pela francesa Dassault[8].

No Brasil, a Lei 9883/99 institui o Sistema Brasileiro de Inteligência, no âmbito federal, e cria a ABIN. Este sistema é responsável pela coleta e custódia de informações para servir ao Presidente da República em suas decisões. Todos os entes públicos que manipulam informações de interesse nacional compõem o SBI e estão sujeitos ao controle da ABIN.

Ora, se existe permissivo legal para o monitoramento e auditoria, porque tantos escândalos?

Não bastasse, sabemos que fora do executivo federal, órgãos públicos municipais e estaduais ainda não atentaram para o risco da negligencia, imprudência ou imperícia na manipulação de informações confidenciais.

O Código Penal brasileiro prevê em seu artigo 325 o crime de violação de sigilo funcional também para quem permite ou facilita o acesso de terceiros a sistemas de informações da administração pública, estabelecendo ainda uma pena de reclusão que pode chegar de 2 a 6 anos e multa.

Ou seja, ser negligente com sistemas informáticos, na administração pública, é crime!

Já se o funcionário público é quem insere ou altera os dados nos sistemas da administração, pode responder pelo peculato informático, dependendo das circustâncias, será enquadrado nos arts. 313-A e 313-B do Código Penal, com pena que pode chegar a 12 anos de reclusão.

Mas só a punição adianta?

Efetivamente que não, eis que como verificamos, o peculato informático foi criado em 2000 e nem por isto desestimulou o vazamento de informações públicas e pelo contrário, hoje são os particulares que praticam o crime de exploração de prestígio, ao se valerem das relações com funcionários públicos maléficos, na obtenção de vantagens.

A resposta é a efetiva gestão de segurança da informação, com a implementação de um sistema eficaz e que considere pessoas acima de ferramentas e softwares e leve em consideração que influências internas são as principais responsáveis pelo vazamento de dados na área pública e também privada.

ma pesquisa mais refinada no Google e descobrimos quantos servidores utilizam e-mails do governo para usos privados. Mais, sabemos de casos em que o servidor foi desligado e anos depois ainda detinha privilégios de acesso à rede VPN governamental, agenciando tais informações à seu critério.

Documentos privados circulam na internet com timbres oficiais e que podem ser utilizados por estelionatários para confecção de falsos documentos e aplicação de golpes.

Dados não são validados quando ingressam nas bases da administração, acordos de confidencialidade não são cumpridos, funcionários não são conscientizados dos riscos, não existem perímetros físicos de proteção de ativos, funções não são segregadas e o pior, em alguns órgãos os gestores públicos sequer sabem quais os ativos informacionais são importantes para a empresa pública, e o quanto devem se esforçar para protegê-los.

Estas, são apenas algumas posturas inerentes à ausência de um sistema de gestão que preze pelos fundamentos da segurança: integridade, disponibilidade e confidencialidade de dados, e principalmente, que seja testado e avaliado periodicamente, por meio de testes de intrusão, engenharia social e outras técnicas homologadas e válidas em segurança da informação.

Respostas vazias
Se você questionar a um gestor de segurança de um órgão público se ele tem uma ferramenta firewall licitada funcionando em sua área, o mesmo afirmará que sim.

Agora experimente questionar se ele tem uma política de gestão de continuidade do negócio, ou se adota gestão da segurança no desenvolvimento e suporte de seus sistemas, ou ainda se desenvolveu uma célula de forense digital vinculada a seu time de resposta a incidentes…

As proteções contra vazamentos devem ser objeto de avaliação periódica e a inteligência é fundamental neste ponto.

Não acabaremos com o vazamento de informações públicas licitando firewalls, software de segurança e detectores de intrusão, mas aliando a rigorosa legislação brasileira já existente, com técnicas de monitoramento e screening dos funcionários públicos que lidam com informações críticas.

A inteligência não deve estar só no âmbito federal, e principalmente, deve sair do papel e ser aplicada. Aquele que manipula informações públicas sensíveis deve estar ciente de que dada a responsabilidade que detém, pode ser auditado, sem que possa evocar a proteção conferida a um cidadão comum, no que tange à privacidade.

Tomemos o exemplo de Portugal onde o Serviço de Informações da República (SIS) e o Serviço de Informações Estratégias, em 2009, assinaram protocolos para a inserção de espiões nos serviços públicos.

Mas qual a finalidade desta medida? Simples, combater a criminalidade organizada dentro do governo, esta que se vale de informações confidenciais e privilegiadas para movimentar um mercado negro de milhões de euros.

Aqui no Brasil não é diferente.

Algumas iniciativas ainda engatinham, mas servem de exemplo para todos os órgãos públicos da Federação, como o projeto de Lei que dispõe sobre o regime disciplinar do Departamento da Polícia Federal e da Polícia Civil do Distrito Federal, que institui a chamada “sindicância patrimonial”, destinada a averiguar e identificar servidores que ostentam patrimônio imensamente maior do que o compatível com a função.

São medidas que podem auxiliar a redução dos crimes envolvendo vazamento de informações eis que quem tem acesso a informações sigilosas governamentais, com certeza não as cede gratuitamente.

Enfim, demonstramos que o vazamento de informações na administração pública em todas as suas esferas é realidade, motivada e impulsionada pelo vantajoso e lucrativo tráfico de informações e principalmente pela ausência de monitoramento dos ativos de tecnologia da informação e seus respectivos suportes.

Igualmente, concluímos que não existe uma solução pacífica e incontroversa para amenização desta patologia, porém sabemos que esta solução passa longe da compra e mais compra de softwares e dispositivos de segurança, e que um caminho pode ser a aplicação da lei, em cotejo com a fiscalização e testes de intrusão para avaliar condutas dolosas e culposas, perícia digital para identificar a autoria de incidentes, além do monitoramento de ex-agentes e a chamada sindicância patrimonial.

Mais claro ainda, fica demonstrado que sem governança, análise de risco, conformidade e monitoramento constante, tais serviços podem se voltar contra o Estado e seus cidadãos, servindo, por ação ou omissão, interesses escusos e criminosos, de sabida alta lucratividade.

NOTAS:

[1] http://www1.folha.uol.com.br/folha/brasil/ult96u613407.shtml

[2] http://www.parana-online.com.br/editoria/politica/news/399422/?noticia=MENDES+COBRA+GOVERNO+POR+VAZAMENTO+SELETIVO+DE+DADOS

[3] http://www.abin.gov.br/modules/articles/article.php?id=825

[4] http://www.youtube.com/watch?v=HA6Jpni03bE

[5] http://montesclaros.com/noticias.asp?codigo=47003

[6] http://aeinvestimentos.limao.com.br/financas/fin38558.shtm

[7] http://ultimosegundo.ig.com.br/brasil/2008/07/22/policiais_civis_fazem_mega_operacao_no_rio_de_janeiro_1460079.html

[8] http://www.jusbrasil.com.br/politica/4112808/dassault-critica-concorrencia-por-vazamento-de-informacoes-e-nega-preco-40-maior

Fonte: Webinsider

Criminosos roubaram informações de mais de 80 mil pessoas em 190 países

Autoridades da Espanha desmontaram uma rede de computadores zumbis (botnet) com mais de 13 milhões de máquinas infectadas em todo o mundo, informou o jornal El País. A rede teria roubado informações de 80 mil pessoas em 190 países e contralaria remotamente esses computadores para aplicar golpes da Internet. Três homens que adminstravam a botnet Mariposa foram presas, mas segundo as autoridades espanholas as investigações continuam e envolvem vários países.

A estratégia para controlar remotamente os computadores é conhecida. Códigos maliciosos do tipo cavalo de Troia eram inadvertidamente instalados nos computadores, dando aos golpistas o controle das máquinas. As redes de zumbis são usadas para roubar dados bancários e de cartões de crédito e para lançar ataques contra sistemas financeiros e governamentais.

Segundo o El País, a botnet Mariposa foi detectada no ano passado. Os golpistas tentaram recuperar o controle e lançaram ataques de negação de serviço (Denial of Service, ou DoS), em que uma sobrecarga de acessos é direcionada a um servidor a fim de tirá-lo do ar. Os criminosos conseguiam despistar os investigadores usando técnicas para esconder o número IP (número que funciona como endereço de um computador na Internet). Em 3 de fevereiro, contudo, um dos criminosos deixou de mascarar o IP e acabou descoberto.

Segundo os investigadores, os presos, com 25, 30 e 31 anos, não montaram a rede, mas a compraram. Por isso as investigações continuarão. Para lavar o dinheiro arrecadado, os criminosos participavam de partidas de pôquer online, entre outros métodos. As empresas de segurança Defense Intelligence (Canadá) e Panda (Espanah) ajudaram nas investigações.

Fonte: O Dia

Segurança da Informação é um dos assuntos mais quentes do ano para empresas, principalmente após os ataques ao Google e outras 33 empresas sofridos nos últimos meses.

Em tempos de web 2.0, a internet está em constante mutação. Com essas mudanças, novos riscos surgem todos os dias.

1 - Fuga de dados: Esse sempre foi um desafio para as corporações. O crescimento da web 2.0 e o avanço da mobilidade são fatores que já estão demandando a busca por ferramentas de DLP - Data Loss Prevention ou Prevenção da Perda de Dados -, aplicação tida como a maior aliada para combater esse inimigo.

2 - Conscientização dos usuários: Deixando de lado um pouco a tecnologia e pensando mais na cultura de segurança da informação, a conscientização dos usuários, nunca deixará de ser um grande desafio. As pessoas sempre serão o elo mais fraco e hoje já é possível contar com ferramentas que ajudam a criar, manter e divulgar políticas de segurança informação, além de darem a possibilidade de avaliar a aderência da corporação a essa política.

3 - Compliance: O termo compliance está sempre em pauta no meio corporativo, antes muito restrito a indústrias. Hoje praticamente é usado em qualquer tipo de empresa, pois para se tornar referência no mercado tem que atender regulamentações, padrões e obter certificações. Atender todas essas exigências não é uma tarefa trivial. Para facilitar esse trabalho, busque ferramentas que tem a capacidade de avaliar um determinado ambiente e comparar com padrões pré-definidos, demonstrando a aderência do ambiente a esse padrão além de descrever como corrigir os pontos não aderentes.

4 - Ataques do tipo phishing: Cada vez mais sofisticados, esses ataques sempre serão uma grande preocupação. Continua valendo a velha dica de somente abrir emails de origem conhecida. Vale lembrar que devemos manter o antivírus sempre atualizado e, claro, contar com uma boa ferramenta de antispam.

5 - Gestão dos endpoints (estações de trabalho, notebooks): Segundo a SearchSecurity.TechTarget.com, 95% dos problemas de segurança podem ser resolvidos com gerenciamento, 65% dos ataques exploram ambientes mal configurados e 30% dos ataques exploram vulnerabilidades conhecidas, que podem ser resolvidas aplicando pachs, hotfixs e service packs. Devido à complexidade desse processo de gestão, é altamente recomendada a utilização de ferramentas de gerenciamento para automatizar ao máximo essas atividades dando preferência a ferramentas aderentes ao ITIL.

Fonte: Info

A Symantec informou que um rootkit é o responsável pelo excesso de telas azuis de erro que estão aparecendo em versões do Windows XP.

A empresa apontou o Tidserv como responsável por se infiltrar nos drivers do kernel, como o atapi.sys.

Uma vez ligado ao arquivo, ele começa a se espalhar pelo sistema com um comportamento parecido ao de um verme. Softwares de segurança, como antivírus, podem falhar na detecção da ameaça, escondendo a real natureza do problema.

A Microsoft admitiu que os problemas com a famosa “tela azul da morte” aumentaram após o lançamento da atualização MS010-15. Para evitar mais problemas, o Security Response Center da companhia informa que vai congelar a distribuição do update até que o problema seja resolvido.

A Symantec afirma que o problema ocorre por causa de uma alteração feita nos endereços virtuais. A atualização muda os dados utilizados pelo rootkit, o que faz o módulo infectado do kernel chamar endereços inválidos.

A empresa de segurança aponta que a melhor forma de resolver o problema é utilizar um backup dos drivers infectados. Em alguns casos, os usuários devem considerar até mesmo a reinstalação do Windows XP. A Symantec diz que seus antivírus podem identificar os arquivos ameaçados.

Fonte: Info

ma pesquisa divulgada hoje pelo Pew Research Center aponta a internet como terceira mídia de onde as pessoas recebem notícias nos EUA. A web está atrás de canais locais e nacionais de televisão, mas à frente de jornais e rádio.

A maioria dos norte-americanos (57%) tem de dois a cinco sites favoritos para notícias.

Quase dois terços (59%) das pessoas consultam meios online e offline para notícias, 61% deles consultam a internet pelo menos uma vez por dia e 71% lêem notícias online pelo menos ocasionalmente.

Discutir as notícias com outras pessoas é a principal razão pela qual 72% das pessoas querem se manter atualizadas. Outro motivo, citado por 69% dos entrevistados, é uma “obrigação cívica”.

A internet mudou o jeito como as pessoas interagem com as notícias, já que 37% afirmam que deixam comentários nos sites de notícias ou disseminam o que leram por email e mídias sociais como o Twitter ou o Facebook.

Fonte: Info

Um novo tipo de vírus de computador contaminou quase 75 mil máquinas em 2.500 organizações no mundo, incluindo contas de usuários em populares sites de redes sociais, segundo uma pesquisa da empresa de segurança na Internet, NetWitness.

O vírus, conhecido como “Kneber botnet”, reúne os dados de login para sistemas financeiros online, redes sociais e emails de computadores infectados e transmite essa informação a seus criadores, afirma a NetWitness em comunicado.

Um botnet é uma rede formada por computadores infectados que os hackers podem controlar a partir de uma máquina central.

A empresa afirmou que o ataque foi identificado pela primeira vez em janeiro durante um desenvolvimento de rotina no software da NetWitness.

Um estudo mais aprofundado pela Herndon, empresa de segurança de software dos Estados Unidos, revelou que muitos sistemas comerciais e governamentais foram comprometidos, incluindo 68.000 dados de login e acesso a email, bancos online, Yahoo, Hotmail e redes sociais como o Facebook.

“A proteção convencional contra malware e detecção com base em assinatura de sistemas são, por definição, inadequados para identificação do Kneber ou outras ameaças mais avançadas”, disse o presidente-executivo Amit Yoran em comunicado.

Fonte: Reuters

O Relatório Symantec 2010 sobre Segurança da Informação nas Empresas mostra que as empresas da América Latina perdem mais de US$ 500 mil por ano em decorrência de ataques cibernéticos.

Realizado em janeiro deste ano, o estudo entrevistou gestores de TI de 2.100 empresas em todo o mundo, sendo 150 da América Latina.

A pesquisa aponta que 49% das companhias latino-americanas foram alvo de algum tipo de ataque pela rede nos últimos 12 meses e que as ocorrências dessa natureza já ocasionaram algum tipo de perda de dados para 100% das organizações entrevistadas. Para 2010, o estudo indica a conformidade de TI como uma das áreas de destaque e investimentos na região.

No Brasil, o relatório revela que as ameaças que utilizam ferramentas de engenharia social, como spam e phishing, lideraram o ranking de ataques virtuais contra as empresas em 2009, com 63%. Na sequência, com 54% das menções, ficaram os ataques internos realizados por ex-funcionários mal-intencionados e as ações internas sem intenção, geradas por falta de qualificação.

O estudo mostra ainda que 48% das empresas brasileiras perderam algum tipo de dado confidencial/proprietário nos últimos meses, e que 61% prevêem mudanças significativas em Segurança da Informação para 2010.

Fonte: Risk Report

A RSA, divisão de segurança da EMC anunciou os resultados da Pesquisa Global do ano de 2010 sobre a segurança on-line do consumidor, na qual foram entrevistados mais de 4.500 consumidores abordando o conhecimento desses quanto a ameaças on-line, as preocupações com a segurança de suas informações pessoais on-line e o desejo por maior proteção de identidade. Mais de 950 entrevistados na América Latina participaram da pesquisa, representando Brasil, Chile, Colômbia, México e Peru. Todos os entrevistados eram usuários ativos da Internet e, durante o mês anterior à pesquisa, 92% efetuaram uma transação bancária on-line, e 80% realizaram uma compra on-line.

Consumidores latino-americanos estão cientes das ameaças de phishing, mas relatam níveis maiores de ataques de phishing à medida que táticas de ataque tornam-se mais sofisticadas

Entre os consumidores da América Latina, 65% indicaram ter conhecimento dos ataques de phishing, percentual um pouco menor do que (76%) de todos os entrevistados. Eles também demonstraram um nível maior de preocupação com ataques de phishing do que outras regiões de todo mundo. Mais consumidores da América Latina (59%) declararam estar “muito preocupados” com a ameaça de phishing, comparados a 37% dos EUA e 29% da Europa.

Uma das descobertas mais significativas da pesquisa foi a porcentagem de consumidores na América Latina vítimas de ataques destinados de phishing, os quais são normalmente iniciados por e-mail. Em toda região, 31% afirmaram ter sido vítima de um ataque de phishing e, de todos os consumidores dos países da América Latina, o Brasil registrou as maiores taxas (41%), seguido pelo Peru (31%), México (30%), Chile (29%) e Colômbia (24%).

As preocupações dos consumidores com a segurança exprime um desejo por uma proteção de identidade em camadas O sistema bancário on-line continua oferecendo níveis significativos de conveniência para consumidores, com acesso rápido a contas correntes e poupança, capacidade para pagamento de contas de forma automática, transferência de fundos e realização de outras transações financeiras.

De maneira predominante, 94% dos consumidores na América Latina declararam estar preocupados com o acesso ou roubo de suas informações pessoais em um site bancário on-line, comparados aos usuários que acessam portais da área da saúde (66%), sites do governo (75%) e sites de sistemas de rede social (79%). Como resultado de suas preocupações com o sistema bancário on-line, 90% dos mesmos entrevistados também declararam que os bancos deveriam implementar um método mais rígido de segurança, além de nome de usuário e senha, para quando efetuarem log-in no site do sistema bancário on-line.

Quase por unanimidade, 96% declararam que esperavam que seus bancos monitorassem suas transações bancárias on-line.

A expectativa por métodos mais rígidos de segurança entre os consumidores da América Latina ficou muito na frente da média mundial. Quando esses consumidores foram questionados sobre como um método mais rígido de segurança teria impacto sobre sua confiança ao fazer transações on-line, 96% declararam que se sentiriam mais seguros, e 76% afirmaram que se sentiriam “significativamente” mais seguros. Esses percentuais são muito maiores se comparados a outras regiões, como Estados Unidos (somente 42%), Austrália (50%) e Ásia (45%).

Regente prosseguiu, “A fim de maximizar o pleno valor das vantagens que o mundo on-line pode oferecer, as empresas precisam adotar uma abordagem em camadas para a segurança on-line, com o intuito de proteger melhor as informações de seus clientes. As empresas que atualmente oferecem e consideram métodos mais rígidos de autenticação estão no caminho certo para conquistar a confiança dos consumidores. Maior confiança pode aumentar o volume de transações e ajudar a reduzir as perdas com fraudes.Para adquirir tal confiança, as empresas devem considerar a segurança como o principal fator para adoção de clientes”.

Impacto positivo

Normas bancárias on-line, que exigem métodos mais rígidos de autenticação, foram recentemente emitidas por empresas governamentais no Chile, Colômbia, México e Peru. Uma das objeções que os bancos podem ter contra a implementação de autenticação rígida é o impacto que ela poderá ter sobre a experiência do cliente.

No Chile, na Colômbia, no México e no Peru, 95% dos entrevistados são favoráveis a normas governamentais que exigem mais segurança em sistemas bancários on-line e, em toda região, 89% estavam dispostos a executar etapas adicionais, no momento que efetuassem log-in no sistema. No Brasil, único país onde foi feita a pesquisa sem tais normas, 95% dos entrevistados declararam que aprovariam se o governo implementasse uma norma que exigisse segurança adicional para o sistema bancário on-line.

Regente continuou, “As empresas caminham sobre uma corda bamba na tentativa de equilibrar segurança, conveniência, facilidade de uso e conformidade. Entretanto, os mesmos sistemas e procedimentos que os bancos implementam para aderir às novas normas podem contribuir significativamente para a satisfação do cliente”.

Fonte: RSA

A cada segundo um fornecedor de infraestrutura crítica é alvo de um ciberataque, afirma uma pesquisa divulgada nesta quinta-feira pela empresa de software de segurança McAfee.

Hackers frequentemente têm sucesso em ataques contra empresas, afirmam especialistas em segurança, mas as companhias que são alvo dessas incursões raramente as revelam porque temem prejudicar suas reputações e incentivar os criminosos.

Por conta disso, o anúncio do Google de que foi alvo de um “altamente sofisticado ataque dirigido” na China ganhou tamanho destaque este mês.

Para a pesquisa da McAfee, o Centro Estudos Estratégicos e Internacionais ouviu cerca de 600 executivos voltados a áreas de tecnologia da informação e segurança dos setores de energia, transporte, saneamento, governo, telecomunicações e financeiro em 14 países.

“Nos países mais desenvolvidos, a infraestrutura crítica está conectada à Internet e pode não ter os recursos devidos de segurança, o que deixa essas instalações vulneráveis”, afirma a McAfee no relatório.

Cerca de 37%das empresas acreditam que a ameaça à infraestrutura crítica esteja crescendo e 40% esperam um importante incidente de cibersegurança para o próximo ano, afirma a pesquisa. O levantamento também sustenta que uma em cada cinco empresas foi vítima de extorsão financeira.

Greg Day, analista de segurança da McAfee, disse que a maior surpresa na pesquisa foi a escala e a amplitude dos ataques.

“Está acontecendo em uma escala tão grande e nós certamente veremos ataques cada vez mais sofisticados”, disse Day.

Fonte: Reuters