Bilhete Único SP: é seguro?
Foi publicado em todos os jornais de São Paulo: um especialista em tecnologia identificou uma vulnerabilidade no armazenamento de dados do Cartão Bilhete Único.
Primeiramente parabéns ao especialista e à sua empresa, pela maneira profissional com que tratou este assunto. Identificou, comunicou ao órgão competente e sem resposta, foi a um jornal de alta credibilidade, O Estado de São Paulo, e demonstrou. Em momento algum fez ?aquele? estardalhaço. Agiu profissionalmente. É uma aula de posicionamento profissional.
Esta falha relatada pelo jornal diz respeito a uma vulnerabilidade nos controles técnicos de armazenamento de dados do Cartão Bilhete Único. De uma forma resumida, uma informação válida de carga inicial poderia ser copiada, e após o cartão ser utilizado e ter seus créditos zerados, este valor inicial poderia ser colocado novamente no cartão e será aceito pelo sistema normalmente. Esta é uma vulnerabilidade técnica.
Há alguns anos foi detectada outra vulnerabilidade do sistema de Bilhete Único, quando durante uma janela de tempo o cartão poderia ser utilizado indevidamente sem ter seus créditos debitados. Neste caso trata-se de uma vulnerabilidade de processo.
O caso do Bilhete Único é comentado porque é público e é grandioso. É o segundo sistema do mundo em volume.
Tenho certeza que as vulnerabilidades que sejam identificadas no sistema de Bilhete Único serão corrigidas. Mas, o que podemos tirar de lição? E a sua organização?
Considerar todas as dimensões da segurança da informação é fundamental para se ter um processo de segurança adequado. Não existe dimensão mais importante. Temos que considerar todas. A parte técnica tem que contar com especialista que fiquem periodicamente examinando e buscando vulnerabilidades. Mas, o funcionamento de qualquer serviço dependerá de pessoas e de processos. Não podemos esquecer estes elementos.
Como cidadãos devemos exigir que serviços públicos sejam seguros, pois qualquer falha, irá chegar aos nossos bolsos. Mas, e a sua organização? Como está o seu cadastro de clientes? Será que ele já foi copiado indevidamente e repassado para os concorrentes? Cópia não arranca pedaço e às vezes o executivo somente vai saber do vazamento de dados da sua organização quando o concorrente chega mais depressa e diretamente nos clientes.
Isto não quer dizer que todas as organizações estão sendo roubadas, mas isto quer dizer que todas as organizações podem ser fraudadas: por pessoas externas, por pessoas de dentro do ambiente corporativo.
A melhor solução é desenvolver, implantar e manter um processo de segurança da informação para a organização. Vai custar recursos? Claro, quem disse que segurança é de graça? Mas, é mais barata que os erros e fraudes que podem acontecer. Acredite!
Edison Fontes, CISM, CISA, CRISC, MSc
Núcleo Consultoria em Segurança