Neste momento, toda a gente já sabe que a palavra-passe do sistema de videovigilância do Louvre era simplesmente “Louvre”. A maioria das pessoas também assume que essa questão já foi resolvida, e que a palavra-passe já não é “Louvre”. Mas por que deveríamos assumir isso?
À primeira vista, parece apenas uma má decisão de quem escolheu essa palavra-passe. Sendo isto verdade, a solução é simples: muda-se a palavra-passe, dá-se “um puxão de orelha” (ou seja, algumas sessões de sensibilização sobre como escolher uma palavra-passe segura) e segue-se em frente. Caso encerrado. Certo?
A verdade, no entanto, é bem mais complexa. Compreender exatamente o que correu mal é decisivo — e, na verdade, é a única forma de garantir que este tipo de situação não se repita.
Qualquer procedimento de resposta a incidentes deve incluir uma fase de análise chamada “análise pós-morte”, onde se identificam as causas raiz do incidente e, sempre que possível, se propõem e implementam medidas para evitar que essas causas voltem a ocorrer. Posso afirmar com segurança: qualquer profissional de segurança que conclua que “o utilizador não sabia escolher uma palavra-passe adequada” é causa raiz deste incidente, não sabe o que está a fazer. Tudo indica que o sistema de segurança da informação era profundamente inadequado — ou possivelmente inexistente. Vamos rever as evidências mais óbvias.
Em primeiro lugar, um sistema de segurança da informação adequado, conforme as boas práticas e normas (como a ISO 27001), reconheceria de imediato que a escolha de palavras-passe fracas por parte dos colaboradores é algo comum, e que exige várias medidas de mitigação. Se esse sistema existisse, a palavra-passe não teria sido “Louvre” — mesmo que o colaborador quisesse.
Em segundo lugar, mesmo em condições mínimas, existem mecanismos automáticos para aplicar políticas de palavra-passe, como tamanho mínimo, complexidade e rotação. E claramente não foram usados. Como sabemos? Porque, no mínimo, a palavra-passe teria sido algo como “L0uvre!”, “Louvre09” ou “LouvreLouvre”.
Concluímos ainda que não havia uma pessoa dedicada à função de segurança da informação. Se houvesse, esse tipo de risco teria sido identificado de imediato, mesmo em condições best-effort. Palavras-passe fracas são o “fruto mais fácil de colher” (low hanging fruit) na cibersegurança — fáceis de detetar e corrigir.
“Mas o colaborador devia saber melhor” ou “Ele fez sessões de sensibilização e assinou um termo de confidencialidade, responsabilizando-se pela proteção da informação.” Vamos melhor analisar estes pontos e ver, afinal, o que é que a palavra-passe nos diz sobre o colaborador que a escolheu.
Mesmo que alguém lhe tenha dito para escolher uma palavra-passe forte, ele pode não saber exatamente o que isso significa — especialmente se o sistema não impõe essa exigência automaticamente. Para além disso, alguns outros fatores podem ter contribuído, nomeadamente:
- Uma palavra-passe complexa pode atrapalhar a sua rotina já sobrecarregada. As suas responsabilidades principais vêm primeiro — e essas não podem falhar, senão ele corre o risco de perder o emprego.
- Pode ter definido “Louvre” apenas para facilitar a instalação, com a intenção de mudar depois — mas esqueceu-se.
- Mais provável: pode ter precisado de partilhar a palavra-passe com colegas (pessoas que poderiam precisar dela no futuro), e então chegaram a um acordo para usar algo simples, evitando ter de comunicar diretamente. Neste caso, é evidente que eles não tinham acesso a um sistema de gestão de palavras-passe adequado, onde palavras-passe complexas e únicas para cada cliente poderiam ser armazenadas e recuperadas posteriormente.
Todos cometemos erros, mesmo com a melhor das intenções. E, mesmo assim, somos rápidos em atribuir culpa pessoal, em vez de reconhecer a falha do sistema — que, por sua vez, é sempre responsabilidade da gestão de topo. Um sistema de segurança da informação robusto parte deste princípio básico sobre as pessoas, e implementa medidas de compensação, de forma que erros individuais não ocorram ou não ponham o sistema em risco inaceitável.
Por falar em culpa, é necessário abordar um último ponto. Dissemos que o sistema de segurança da informação falhou. Mas sistema de quem? Do Louvre ou do prestador de serviços? Quem assume e responde pelos riscos?
Sabemos que um dos critérios na escolha de fornecedores é o custo. E o que aumenta os custos? Processos internos, como ter um bom sistema de segurança da informação. Se o fornecedor foi escolhido com base no menor custo, é provável que tenha o menor investimento em segurança — o que pode significar que não tem um sistema interno robusto. A solução correta seria escolher o fornecedor com o menor custo que também cumpra os requisitos mínimos de segurança da informação. Mas quem garante isso e como? Uma política de segurança da informação para terceiros pode fazer esse papel — se existir. E só funciona se a organização tiver um sistema de segurança funcional, com apoio da gestão, auditorias, etc. Uma política sem um sistema é só uma carta de intenções, quando é.
Uma política de segurança da informação para terceiros define e garante a implementação de vários aspetos e controlos relacionados com a segurança da cadeia de fornecimento. Estabelece responsabilidades, procedimentos para verificar e validar declarações de segurança, requisitos para auditorias de segurança e um processo de acompanhamento para garantir que, ao longo do tempo, os contratos mantenham os compromissos assumidos inicialmente.
É aqui que a questão de “quem assume o risco” se torna crítica. Se a organização não possui um sistema eficaz para gerir a segurança na cadeia de fornecimento, então ela própria assume o risco — mesmo que o incidente tenha ocorrido num sistema gerido por terceiros. A responsabilidade não desaparece com a terceirização; ela apenas muda de forma. Sem mecanismos claros de controlo e responsabilização, o risco permanece com quem contratou, não com quem executou. E isso reforça a necessidade de um sistema de segurança da informação que vá além das fronteiras internas da organização.
Este raciocínio leva-nos a uma conclusão inevitável: A principal razão pela qual a palavra-passe do sistema de videovigilância do Louvre era “Louvre” é simples: a gestão de topo do Louvre optou por não investir num sistema de segurança da informação adequado.
Mais do que uma falha pontual, essa ausência de investimento revela uma escolha estrutural. A inexistência de um sistema robusto equivale, na prática, a aceitar que todos os incidentes de segurança que possam afetar a informação do Louvre serão tratados de forma reativa — independentemente do impacto que venham a causar.
Esta é uma decisão da gestão de topo, tomada de forma explícita ou, mais frequentemente, implícita. E é precisamente essa decisão que constitui a verdadeira causa raiz do incidente.
Enquanto essa escolha não for revista — enquanto não houver um compromisso claro com a construção de um sistema de segurança da informação eficaz — é apenas uma questão de tempo até que a palavra-passe volte a ser “Louvre”.
Os textos nesta secção refletem a opinião pessoal dos autores. Não representam a VISÃO nem espelham o seu posicionamento editorial.
