Trabalho Gestão de riscos, ameaças e vulnerabilidades

Prévia do material em texto

UNIVERSIDADE ESTÁCIO DE SÁ
ESPECIALIZAÇÃO EM SEGURANÇA DA INFORMAÇÃO
FICHAMENTO DE ESTUDO DE CASO 
Autópsia de uma violação de dados: O case alvo.
Disciplina: Gestão de Riscos, Ameaças e Vulnerabilidades
Professor: Sergio Franco
Fortaleza
2018
Estudo de Caso:
Gestão de Riscos, Ameaças e Vulnerabilidades
Autópsia de uma violação de dados: O case Alvo.
Referência: Dubé, Line. Autópsia de uma violação de dados: o case-alvo. Ljscm – Internatonal 
Journal of case studies in management, HEC130, volume 14, problema 1, março de 2016.
O artgo é baseado no ocorrido de um grande roubo de dados de cartõees na segunda maior empresa 
varejista nos EUA. Em 13 de dezembro de 2013 o departamento de justça americano noticou a 
empresa Target responsável pela administração de cartõees de crédito e débito sobre um número 
crescente de fraudes relacionadas a transaçõees comerciais realizadas através da empresa citada. A 
empresa Target faz um anuncio em 19 de dezembro declarando violação de dados e roubo de mais 
de 40 milhõees de cartõees de crédito e débito utlizados para realizar compras indevidas em diversas 
lojas da rede nos EUA no período de 27 de novembro a 18 de dezembro.
Em informe posterior a empresa também relatou que dados pessoais de cerca de 70 milhõees de 
clientes também foram vazados/roubados. Para piorar ainda mais o cenário todo o problema 
ocorreu em meio as temporadas de pré-natal e black Friday onde são esperados grandes volumes de 
negociaçõees envolvendo cartõees de crédito e débito.
Com a informação do vazamento e comprometmento de dados informado as insttuiçõees inanceiras
procuraram apontar algumas soluçõees temporárias como cancelar os cartõees citados no 
comprometmento da segurança e algumas como a JP Morgan Chase (literalmente envolvida em 
milhõees de problemas) deiniu limites de US$ 100 em dinheiro e US$ 300 em cartão para compras 
diárias realizadas em sua rede.
Visando acalmar seus clientes a Target de imediato divulgou através de suas relaçõees públicas que as 
falhas e componentes tecnológicos causadores do vazamento e comprometmento de dados tnha 
sido detectado, isolado e eliminado, garantndo assim que o problema teria sido resolvido. Também 
foi oferecido de forma gratuita um serviço de monitoramento das transaçõees e a promessa de que 
usuários não seriam responsabilizados pelas fraudes.
Foi determinado que as açõees dos criminosos ocorreram no período de 15 a 27 de novembro quando
acessaram computadores da empresa Target localizados em pontos de venda e conseguiram instalar 
malwares conhecidos como Blackpos (Sofware malicioso especialmente projetado para extrair 
dados de cartõees de crédito e débito). Esses sofwares são desenvolvidos com instruçõees para não 
deixar sinais detectáveis de suas origens, o que torna ainda mais difcil o processo de investgação. 
Com o andamento das investgaçõees foi determinado que os criminosos obtveram através da técnica
de phishing enviado por e-mail usuário e senha para acessar o sistema de pagamento da rede Target 
e dessa forma instalaram os Blackpos.
Considerado o principal suspeito da operação um ucraniano de 22 anos liderava um grupo com bases
na Rússia e na Ucrânia. Os dados obtdos de forma ilícita foram comercializados na loja online 
rescator.so que oferece esse tpo de serviço publicamente.
A imagem da Target icou bastante abalada considerada por muitos como lenta nas respostas aos 
clientes e pouco eiciente nas soluçõees de correção e atendimento. Sua demora em expor o 
problema publicamente e alertar seus clientes e lojistas também foi duramente critcada.
Como resultado a Target viu sua receita reduzida em 5,3% e lucros caírem 46%. Além disso diversas 
açõees judiciais são movidas contra a empresa por insttuiçõees inanceiras, acionistas e consumidores 
que se sentram lesados pelos fatos citados.
Todo o problema poderia ter sido evitado ou pelo menos minimizado caso a empresa tvesse 
implantado um sistema de segurança mais eiciente. Curiosamente a mesma tnha um plano de 
utlizar chips e identicação de pessoas, no entanto o projeto acabou por ser atrasado devido o seu 
custo de 100 milhõees de dólares em desenvolvimento.
No entanto foi determinado que embora melhorasse a segurança o novo sistema não evitaria o 
ataque a empresa, mas provavelmente reduziria seus efeitos e comprometmento da imagem da 
Target.
Problema cada vez mais presente para as empresas equalizar as diiculdades inanceiras com a 
necessidade de mais segurança. Trocar todo um sistema antgo em uso por uma nova tecnologia 
além da diiculdade operacional também trás a necessidade de valores bastante altos em 
investmentos para substtuir uma cadeia crescente de dispositvos, computadores e sofwares.
Como o numero de crimes somente aumenta a preocupação de elaboração e alteração de leis 
visando garantr uma proteção mais eiciente e mais rápida em suas respostas é missão das 
autoridades legislatvas. No dia 15 de outubro de 2015 varejistas e bancos foram informados de uma 
nova regra de responsabilidade em transaçõees. Infelizmente mesmo com essa nova regra as 
entdades acabam por demorar muito para realizar os investmentos e mudanças necessárias para 
melhorar a segurança. Como consequência os dados de milhõees de usuários não estarão 
devidamente seguros por pelo menos até o inal de 2017.
Como medidas para diminuir o interesse pelo crime os governos irmam acordos de extradição pois a
maioria dos criminosos vem de fora do país em questão (EUA). Vale lembrar que não há como 
implantar uma segurança 100% eiciente pois criminosos estão sempre a melhorar suas técnicas, 
sofwares e dispositvos. O que pode ser feito é criar várias camadas de proteção, leis mais eicientes,
treinamentos de segurança e claro as boas prátcas de uso por clientes e usuários.