Com home office, empresas descuidam de segurança e abrem brechas para hackers

Aconteceu com muita gente e pode ter acontecido com você também: em plena crise causada pelo novo coronavírus (SARS-CoV-2), sua empresa decidiu que toda a equipe passaria a trabalhar de forma remota. O funcionário é enviado para casa e precisa exercer suas atividades profissionais no ambiente residencial, muitas vezes dependendo de seu próprio computador e sua própria conexão com a internet.

• Trabalho remoto na crise: 10 medidas para manter empresas e clientes seguros
• Está fazendo home office? Então fique de olho nestas dicas de segurança digital
• Aplicativos de rastreamento da Covid-19 apresentam falhas de segurança

O que muitos não percebem são os problemas de segurança cibernética decorrentes desse cenário. Com a adoção massiva do popular home office, milhares ou até mesmo milhões de pessoas saíram do guarda-chuva dos escritórios — equipados com diversas camadas de proteção, incluindo firewalls, VPNs e antivírus corporativos dedicados a vistoriar aquela rede local — e caíram de paraquedas em um mundo muito mais vulnerável: o seu próprio lar.

Para Caio Telles, CEO da BugHunt (plataforma em que pesquisadores recebem recompensas ao encontrar falhas em sistemas corporativos), a pressa em mandar as equipes para trabalhar de casa causou disrupções nos processos de acesso seguro à sistemas críticos, o que aumentou a quantidade de ataques cibernéticos direcionados a esse segmento em específico em 33% durante os meses de fevereiro e abril.

“A vulnerabilidade das empresas ficou ainda maior devido ao acesso remoto dos sistemas via home office. As pessoas, muitas vezes, trabalham com um computador e também compartilham o uso do aparelho com outras pessoas da casa”, explica Caio. “O crescimento do trabalho remoto permite que servidores estejam configurados incorretamente, atraindo cibercriminosos e facilitando invasões”, complementa.

Dentro da BugHunt, só nos últimos seis meses, mais de 2 mil especialistas reportaram mais de 350 falhas em diversas empresas brasileiras — uma estatística preocupante, uma vez que a Lei Geral de Proteção de Dados (LGPD) acaba de entrar em vigor e tais brechas podem ocasionar vazamentos de dados sensíveis.

Descuidos no ambiente residencial

A falta do oferecimento de um treinamento ou orientações específicas para os colaboradores também é um problema, e, para atestar isso, o Canaltech entrevistou uma atendente de call center que atua para a AlmavivA do Brasil, episódio brasileiro do gigantesco conglomerado italiano de atendimento ao cliente. Por razões de privacidade, a identidade da profissional não será revelada.

“Fomos mandados para casa no começo da pandemia, acredito que no mês de abril. Eles começaram a distribuir questionários no nosso sistema para saber a velocidade de nossa internet, qual era a versão do Windows que utilizamos, etc.”, explica. Embora a entrevistada utilize um computador pessoal com o Windows 8, ela garante que há colegas de trabalho usando o Windows 7, que não recebe mais suporte da Microsoft desde o início do ano.

“Eles permitem [o uso do Windows 7]. O acesso aos sistemas é um programa que nós instalamos no computador. Eles nos passam a instrução através de um email e seguimos o passo-a-passo”, conta. Uma VPN foi implementada, mas questionada sobre orientações da diretoria a respeito da instalação de antivírus ou outros softwares de proteção de endpoint, a colaboradora é categórica: “Jamais. Só o programa de acesso remoto”.

A AlmavivA não forneceu máquinas, apenas um headset para ser empregado em conjunto com o sistema de VoIP. Também é utilizado o TeamViewer, programa de suporte remoto, para os casos em que os funcionários possuem problemas técnicos e precisam de ajuda à distância. Apesar de tudo, a entrevistada avalia bem o processo de transição da companhia. “Eles dão auxílio por WhatsApp, por email, acho tranquilo”, finaliza.

Problema recorrente

O processo pode ter sido “tranquilo” para a colaboradora, mas é fácil detectar uma série de pontos fracos no modelo adotado pela AlmavivA. Primeiro, ao permitir que o funcionário faça uso de seu próprio computador, sem a obrigatoriedade de instalação de softwares de proteção e com um sistema operacional desatualizado, diversas brechas são abertas para que o próprio seja vítima de malwares ou golpes para interceptar dados sensíveis.

Vale comentar também que, de acordo com nossa fonte anônima, não há autenticação dupla no serviço de emails da empresa, o que facilitaria uma invasão por ataques de força bruta. Uma vez dentro da inbox do operador, o agente malicioso teria acesso ao link e às instruções para instalar o sistema corporativo — que, pela natureza da AlmavivA (telemarketing), certamente está recheado de informações pessoais de brasileiros.

Óbvio, a multinacional italiana não é a única que sofre com tais deficiências estruturais. Mantendo-se no mesmo segmento, flagramos a TMKT (outra gigante do ramo de call center) em pleno processo seletivo para operadores remotos, também aceitando candidatos que utilizem o defasado Windows 7.

O Canaltech entrou em contato com a AlmavivA do Brasil e enviou um questionário a respeito de seu processo de transição para o trabalho remoto; embora a companhia tenha inicialmente aceitado a entrevista, não obtivemos retorno dos executivos responsáveis após o fechamento desta matéria, uma semana após o envio das perguntas.

Velhas ameaças, novos desafios

Em entrevista ao Canaltech, Henrique Lopes, gerente comercial da NetSecurity, explica que o principal desafio encontrado pelas empresas nessa transição para o teletrabalho é continuar garantindo os três pilares da segurança da informação: a disponibilidade, a integridade e a confiabilidade dos dados.

“Como as empresas não estavam preparadas para esse momento, o processo de migração para o home office teve que ser ágil e, em muitos casos, sem o devido investimento necessário em segurança, o que resultou em empresas perdendo visibilidade e ficando expostas a diversas técnicas de golpes virtuais”, pontua Henrique. “Agora, o próximo desafio é manter todos produzindo e estender as proteções que temos dentro dos escritórios até o usuário final”, adiciona.

Segundo o especialista, as ameaças que permeiam os profissionais remotos são as mesmas de sempre, mas que ganharam mais eficiência pela fragilidade do ambiente residencial. Campanhas de phishing, por exemplo, agora são mais direcionadas e focadas na fragilidade do usuário final, cujos recursos computacionais “deixam de passar por uma série de ferramentas e políticas de controle que garantem mais segurança e uma reação mais rápida no momento de um possível incidente.”

Comentando especificamente sobre o problema de sistemas operacionais desatualizados, Henrique afirma: “Quando falamos de computadores domésticos, normalmente, estes são de uso compartilhado e nem todos os usuários tomam cuidado com o que é acessado. Isso abre brechas ou potencializa as já existentes, no caso do Windows 7 sem suporte oficial. Como os computadores são compartilhados e estão fora das empresas, sem as devidas ferramentas de controle, o acesso indevido às informações se torna mais fácil, assim como possível vazamento desses dados, seja de forma consciente ou inconsciente”.

Como se proteger?

Para o especialista, é crucial o investimento em soluções contra vazamentos e de identificação de brechas, como um SOC (Security Operations Center ou Centro de Operações de Segurança) com uma equipe dedicada 24 horas por dia, sete dias por semana, a analisar todos os sistemas corporativos e a reagir proativamente contra qualquer incidente que for identificado.

“Aos colaboradores, a orientação é ter cautela e sempre avisar o time de TI se algo fora do normal acontecer, como receber um convite para o LinkedIn no email da empresa ou mesmo um e-mail de um setor que usualmente não manda mensagens. Na dúvida, questione e não abra nada desconhecido”, relembra Henrique.

Além das mudanças de rotina, é claro, este é o momento ideal para as empresas que ainda não entraram em conformidade com a LGPD garantir compliance com a norma. Isso inclui a implementação de treinamentos de conscientização, a atualização de políticas de segurança e a adoção de uma cultura de valorização à privacidade como um todo, que permeie todos os departamentos e níveis hierárquicos da companhia.

A resposta da AlmavivA

Após a publicação desta reportagem, a AlmavivA entrou em contato com o Canaltech no dia 1º de outubro, às 16h30. Confira o posicionamento da companhia:

A AlmavivA do Brasil informa que sempre está preocupada e aderente aos controles de segurança da informação, além de vigilante no que diz respeito à privacidade de dados do ambiente de seus clientes. No modelo de home office da empresa, todo acesso ao ambiente computacional, realizado pelo colaborador em casa – independente do sistema operacional de sua estação de trabalho – é blindado por uma bolha de controles de Segurança da Informação e de governança de dados. A companhia ressalta ainda que, todo o tráfego e o ambiente são monitorados pelo Security Operation Center (SOC), para supervisão de eventos de segurança e proteção de dados. E, em caso de necessidade de suporte e manutenção dos sistemas, são realizados procedimentos de forma remota por meio de uma ferramenta corporativa que é líder de mercado. Além disso, a empresa conta com ações de segurança rígidas neste período de pandemia, com reforço da campanha de conscientização em segurança da informação e privacidade de dados, formas seguras de trabalhar em home office, reforço das políticas da empresa, entre outros. Dessa forma, preservando os dados da AlmavivA e de seus clientes.