Bring Your Own Virus (BYOV)

Já ouviram falar no termo bring your own device (BYOD)? O BYOD é um conceito não muito novo de gestão de infraestrutura em TI que foi adotado por diversas companhias de vários setores ao longo dos últimos anos e consiste numa mudança estratégica digital das empresas visando, principalmente, a utilização de equipamentos mais modernos pelos seus colaboradores e uma sinergia mais profunda com eles.

Começou a ser utilizada em 2009 quando a Intel vislumbrou o ganho que teria com o aumento da interação dos seus colaboradores, permitindo que seus funcionários conectassem seus dispositivos particulares na rede de computadores da empresa para que tivessem acesso às informações e sistemas da sua rotina de trabalho[1].

A adoção do BYOD em uma companhia gera maior conforto entre seus funcionários por permitir uma interação mais ágil, flexível e, até certo ponto, personalizada com as ferramentas e dados da sua rotina, além de aumentar a satisfação geral pela experiência de trabalhar com um equipamento mais moderno do que as máquinas oferecidas pelas corporações, muitas vezes ultrapassadas pelo alto custo de aquisição e manutenção.

Contudo, essa estratégia possui algumas vulnerabilidades e, inevitavelmente, surgiriam problemas em relação à adoção dessa nova política. Em 2017, com os numerosos, sucessivos e graves  ataques cibernéticos de que tivemos notícias, poderíamos considerar um novo conceito evoluído do BYOD: o bring your own virus (BYOV).

Brincadeiras à parte, o assunto é muito sério e tem chamando a atenção de especialistas em segurança, já que a inclusão à rede da companhia de dezenas, centenas e, às vezes, até milhares de dispositivos particulares e mais vulneráveis gera uma amplificação assombrosa dos riscos cibernéticos relacionados ao sequestro de dados e arquivos, a tomada de controle de sistemas ou a obtenção indevida de informações confidenciais que podem gerar um verdadeiro caos[2].

Na verdade, encontrar um equilíbrio que permita usufruir dos benefícios do BYOD com uma proximidade maior entre colaboradores e empresa e simultaneamente manter segura uma rede com sistemas, dados e informações fundamentais não é uma tarefa simples. As informações das organizações não estão mais dentro de uma sala fria e com acesso restrito. Nesse momento, os dados estão nos bolsos e bolsas de seus colaboradores com o uso de celulares, tablets, laptops etc.

Logo no início do ano de 2018, foram descobertas vulnerabilidades nos processadores da Intel, ADM e ARM (processadores de dispositivos mobile) que permitiriam explorar os blocos de memória protegidos pelo sistema operacional e obter acesso a dados sensíveis, potencialmente expondo a privacidade de milhões de pessoas e, consequentemente, abrindo crateras de oportunidade para hackers com intenção de se aproveitar da adoção do BYOD.[3]

Antes mesmo dos ataques do ano passado, um estudo da CompTIA realizado em 2015 com empresas norte-americanas havia demonstrado que 53% das companhias proíbem que funcionários utilizem dispositivos pessoais e preferem oferecer dispositivos corporativos. De acordo com o levantamento, apenas 7% dos entrevistados haviam dito que adotam o conceito completo do BYOD, enquanto outros 40% utilizam uma política parcial, onde a empresa fornece dispositivos, porém, permite que seus colaboradores tragam alguns dispositivos pessoais[4].

Não bastasse isso, diante de todo o contexto uma relevante questão jurídica surge em meio a placas, redes e políticas tecnológicas: em caso de ataques que efetivamente destruam uma rede corporativa ou tenham êxito em divulgar uma informação sigilosa, de quem é a responsabilidade? É do funcionário que trouxe seu dispositivo ou da empresa que permitiu e incentivou tal prática ou, ainda, somente do invasor?

A apuração da responsabilidade civil e até criminal sem dúvida passa pela verificação da política adotada pela empresa, pelas práticas dos funcionários, bem como pela segurança geral da rede, mas certamente ainda causará intensos debates.

Apenas para dar um exemplo, um funcionário integrante de uma companhia que adota o BYOD e que esteja mal intencionado poderia adotar práticas de risco na utilização do seu aparelho com o único fim de causar danos à empresa, servindo de Cavalo de Troia (trojan) ao infectar a rede, mas apenas ele próprio conhece suas más intenções. E quem poderia culpá-lo por utilizar seu dispositivo como melhor quiser ainda que com risco?

Apesar das polêmicas, é certo que, com a adoção de boas práticas corporativas, treinamento, conscientização sobre a importância do uso correto dos equipamentos de trabalho, além do uso de softwares e hardwares de segurança, é possível ao menos tentar aproveitar os benefícios da adoção do BYOD com a diminuição das suas vulnerabilidades, porém, há necessidade de investir cada vez mais em segurança e desenvolver o debate sobre o tema para encontrarmos respostas mais claras sobre esse novo e tortuoso tema.

 

[1] Bring your own device, Wikipedia. Disponível em: //pt.wikipedia.org/wiki/Bring_your_own_device – Acesso em 05 de jan. de 2018

[2] G1. Ciberataque atinge mais de 200 entidades na Rússia e Ucrânia. G1. Disponível em: //g1.globo.com/tecnologia/noticia/ciberataque-afeta-200-entidades-na-russia-e-ucrania.ghtml  – Acesso em 05 de jan. de 2018; BBC. Global ransonware attach causes turmoil. BBC. Disponível em: //www.bbc.com/news/technology-40416611 – Acesso em 05 de jan. de 2018

[3] KHANDELWAL, Swati. How to protect your devices agains meltdown and spectre attacks. The Hackers News. Disponível: //thehackernews.com/2018/01/meltdown-spectre-patches.html?utm_content=65318694&utm_medium=social&utm_source=linkedin – Acesso em 05 de jan. de 2018

[4]COMPTIA. Trends in information security study. CompTIA. Disponível em: //www.comptia.org/resources/trends-in-information-security-study – Acesso em 12 de jan. 2017.

 

Por  Bruno Mendonça e Gabriel Huguenin

Fonte: //www.lexmachinae.com/2018/01/12/bring-your-own-virus-byov/

Comentários

Comentários