Notícias da Guerra, 1848, Richard Caton Woodville
Que a informação é poder já sabemos. Mas, tendo-se tornado um dos fatores de sucesso críticos para a sobrevivência das organizações, a informação passou a ser um alvo primordial para os combatentes em qualquer situação competitiva ou antagônica.
A informação, portanto, precisa ser defendida tanto quanto os ativos físicos.
Por outro lado, a Guerra da Informação não assola somente os sistemas de computadores. É a informação — e o uso a que é posta — que é importante. A tecnologia da informação é apenas o novo repositório para coleta, transmissão, processamento e exibição dos dados. Os princípios que regem o levantamento, a armazenagem e o uso da informação são muito antigos.
Essa guerra cobre ampla gama de atividades de informação, desde a destruição de equipamentos de TI até a sutil gestão da percepção, desde a espionagem industrial até o marketing. O uso agressivo da informação não deve ser desconsiderado por gestores sobrevivendo num mundo de negócios hostil.
Mas as organizações não são só ameaçadas por seus competidores. Empregados contrariados e grupos de pressão, como o Greenpeace ou a Associação das Donas de Casa, podem se tornar inimigos. O crime organizado e os terroristas são outra fonte de ameaças, assim como nações que usam suas agências de inteligência para obter informações empresariais confidenciais.
Bill Hutchinson e Matt Warren, em seu livro “Information Warfare“, enumeram três objetivos da Guerra da Informação (que eles chamam de I-War):
- usar sua própria informação e sistemas associados para ganhar vantagem sobre competidores e/ou protagonistas;
- proteger sua informação e sistemas associados dos que lhe queiram prejudicar;
- formular estratégias e ações que produzam efeitos prejudiciais a competidores e/ou protagonistas.
Enumeram também quatro estratégias a serem aplicadas:
- Negar acesso aos dados — Isso pode ser alcançado através de ataques ao hardware ou ao sistema contendo os dados, ou da deleção dos dados. Como muitos dados têm uma dimensão temporal, pode-se também atrasar tanto o acesso aos dados a ponto de torná-los inúteis.
- Disrupção ou destruição de dados — A disrupção pode ser causada ao sistema que coleta e armazena a informação, ou à parte do sistema que a dissemina. A destruição dos dados pode ser física (da mídia de armazenamento) ou dos dados em si, de modo que se tornem irrecuperáveis a tempo de serem úteis.
- Roubo de dados — O roubo de dados sigilosos, que pode permanecer ignorado pela vítima, dá vantagens competitivas empresariais, de negociação ou até mesmo criminosas ao ladrão, provendo insights sobre as operações da vítima.
- Manipulação de dados — Dados podem ser adicionados, deletados ou alterados para dar vantagem ao atacante.
Ataque de Surpresa
A maior parte dos ataques nesta guerra não são detectados e são, portanto, bem sucedidos. Por isso, a estratégia de defesa deve tentar predizer todos os cenários em que ataques podem acontecer, em lugar de apenas se defender dos riscos conhecidos.
Eis algumas táticas da Guerra da Informação:
- A informação pode ser manipulada ou criada (desinformação) para gerar uma percepção que provoque no mercado comportamentos prejudiciais à vitima do ataque ou benéficos para o atacante. Num certo nível, isso pode ser considerado propaganda. Noutro, mentira deliberada.
- A informação pode ser interceptada, dando ao interceptor conhecimentos vantajosos sobre as forças, fraquezas e intenções da empresa vítima.
- Fluxos de informação na empresa podem ser interrompidos, interferindo com os processos normais do alvo e dando vantagem ao atacante.
- Uma empresa alvo pode ser inundada de informações, atrasando ou interrompendo o processo de análise da informação recebida.
- A informação pode ser negada à vítima através da destruição das mídias de armazenamento ou pelo corte da fonte de informação.
- Fazer o sistema produzir output incorreto ou duvidoso, pondo em cheque a credibilidade do sistema de informação.
- Informações confidenciais ou comprometedoras podem ser expostas ao público, aos clientes ou a agências governamentais, causando embaraços ou prejudicando de outras formas a organização.
- A subversão ou suborno das pessoas que operam o sistema pode ser tentada.
A forma do ataque depende de fatores como o meio de transferência e armazenamento da informação (eletrônico, por telefone, verbal, por fax, etc.) e a tecnologia utilizada (espionagem eletrônica, vírus de computador, agentes humanos, etc.).
Henrique,
Um ótimo artigo.
As 4 estratégias apresentadas por Bill Hutchinson e Matt Warren me lembram das 3 regras da segurança de dados, conhecidas pelo acrónimo CIA: Confidentiality, Integrity e Availability (ou seja: confidencialidade, integridade, disponibilidade). As 2 primeiras estratégias parecem corresponder à disponibilidade, e as 2 outras, respetivamente, à confidencialidade e integridade.
Quanto às táticas de guerra, a manipulação de informação para fins competitivos é comumente chamada de FUD (Fear, Uncertainty and Doubt).
Enfim, hoje em dia todo roubo, alteração, interceptação ou interrupção de dados é facilidado – e muito – pela transmissão eletrônica dos mesmos, que é muito fácil de interceptar caso não sejam usados métodos criptográficos fortes, embora a evolução da capacidade de tratamento de dados dos computadores pessoais faz que seja necessário uma constante melhoria dos protocolos de encriptação e da complexidade dos mesmos.
Atualmente uma boa regra de proteção é baseada em 3 elementos:
- alguma coisa que eu sei (uma senha)
- alguma coisa que eu sou (uma parte do corpo)
- alguma coisa que eu tenho (uma chave)
Amanhã, provavelmente terá que ter alguma coisa a mais, talvez alguma coisa que eu penso (leitura cerebral?)
Abraços,
Phil.