Veja como ocorrem vazamentos de dados corporativos por redes de compartilhamento e como evitá-los
O que poderia ter representado uma falha de pouca importância na política de TI, ocorrida na Pfizer no ano passado, desencadeou um grave incidente envolvendo segurança. Os dados pessoais de 17 mil funcionários e ex-funcionários ?vazaram? em uma rede P2P (peer-to-peer). O promotor de justiça do estado de Connecticut (EUA), preocupado com a possibilidade de seus moradores estarem em risco, deu início a uma investigação. Pelo menos um ex-funcionário processou a companhia.
Tudo começou quando a esposa de um funcionário da Pfizer utilizou software de compartilhamento de arquivos em um laptop da companhia, presumivelmente, para trocar músicas ou outro conteúdo com usuários da rede P2P. Sem perceber, ela do laptop também expôs 2,3 mil arquivos de trabalho, incluindo os que continham dados confidenciais dos funcionários da Pfizer ? como nomes, números de Seguro Social, endereços e informações sobre bônus, que estavam armazenadas no laptop.
A Pfizer não é a única companhia que teve seus dados confidenciais expostos desse modo. Um ex-funcionário do ABN Amro Mortgage Group, no ano passado, expôs planilhas contendo dados pessoais de 5 mil clientes, a partir de um computador doméstico carregado com o programa BearShare, de compartilhamento de arquivos. E no terceiro trimestre do ano passado, uma avaliação de ameaça terrorista feita pelo sistema de trânsito de Chicago e concluída pela Booz Allen Hamilton mediante contato com a Administração Federal de Trânsito dos Estados Unidos, surgiu em uma rede P2P.
O problema da ocorrência de vazamento de dados corporativos em redes P2P provocada por usuários desavisados não é novidade, mas está ficando pior. Pesquisadores do Centro para Estratégias Digitais, na Tuck School of Business, da Dartmouth College, que detectaram um aumento na utilização de redes P2P, concluíram que o compartilhamento de arquivos representa uma crescente ameaça à segurança corporativa. Os programas de troca de arquivos correspondem a três de cada dez dos aplicativos mais importantes no Download.com, da CNet. E essa não é apenas uma questão interna: freqüentemente, os clientes e os parceiros corporativos são as causas da exposição de dados em redes P2P.
Para avaliar a seriedade dessa situação, iniciamos uma investigação para verificar que tipos de dados corporativos poderiam ser encontrados na popular rede Gnutella. Descobrimos planilhas, dados sobre faturamento, registros médicos, e muito mais.
Quando utilizados da forma pensada, os programas de compartilhamento de arquivos e as redes P2P podem ser um meio simples e barato de as pessoas trocaremconteúdo, e também são um popular canal para a distribuição de software de código aberto. Apesar de sua associação com o compartilhamento ilegal de músicas, nem todas as redes P2P são igualmente perigosas quando se tratam de dados corporativos. O cliente e o protocolo da BitTorrent, que empregam servidores centralizados, apresentam menor tendência para o compartilhamento inadequado de arquivos do que as redes descentralizadas, como a Gnutella.
Leia também: Tutorial: sua empresa usa redes P2P? Teste seu grau de exposição
