Uma das principais questões trazidas à tona no meio desta esta falha de segurança global, segundo Rodrigo, são os aspectos de agilidade e tempo de resposta das empresas frente a uma crise. Uma falha muito comum em empresas é a falta de documentação a respeito do portfólio e dos recursos tecnológicos utilizados por uma companhia. “Muitas empresas nem sabem se usam java, quanto mais uma biblioteca lof4j dentro do java, não existe essa documentação”, comenta o gerente de projetos da Harpo.
Em um momento de crise essa falta de conhecimento interno e ponto cego, pode ser fatal. No meio de uma ciberpandemia como estamos vivenciando, cabe aos gestores e aos coordenadores de TI questionar as empresas de prestação de serviços, como a Harpo, e de fornecedores de software a respeito do uso de ferramentas em seu sistema.
A falta de documentação e controle dos inventários tecnológicos fica ainda pior quando passamos a falar não só das grandes Softwares Houses, mas, de ativos de pequenas desenvolvedoras ou então softwares criados dentro das próprias empresas. Como exemplifica Rodrigo Maia, o buraco é sempre mais embaixo, “As vezes um desenvolvedor usou essa biblioteca no passado, ele até saiu da empresa, não deixou isso documentado em nenhum lugar e você tem um software desenvolvido em casa, dentro da sua empresa, em uso produtivo, com essa biblioteca sem nem mesmo saber que essa biblioteca esta sendo utilizada.”, no meio de uma crise isso ponde ser muito perigoso.
A falta de uma política de segurança elaborada que conste a documentação, a organização, os padrões, os métodos de catalogação e os inventários tecnológicos e de infraestrutura podem ser fatais. “o que parece até ser pouco importante em um momento normal, em um momento de crise se mostra um enorme problema, retarda a resolução e pode até causar a consequências muito piores, como a invasão do ambiente.”, coloca Rodrigo.
Como a falha da Log4J vai afetar pequenas e médias empresas?
Neste momento a importância de uma resposta rápida tanto por parte das empresas de tecnologia quanto do mercado é vital para evitar consequências piores em larga escala. Mas, o que vai definir a velocidade da resposta é o trabalho prévio de segurança que cada companhia desenvolveu ao longo dos anos.
Precisamos ter a consciência de que empresas de pequeno e médio porte também estão expostas a ransomwares, ataques e precisam também investir em segurança de dados. A limitação financeira e orçamentária devem ser levadas em consideração na hora de montar um projeto, no entanto, o cenário global em que vivemos hoje pede uma priorização, como lembra o gerente de projetos da Harpo: “existem soluções de todos os preços, adaptáveis a todos os orçamento.”
A falha da Log4J deixa essa situação à flor da pele, “uma empresa que não fez nada, que não está preparada, a reação rápida é quase impossível, a reação vai ser lenta”, Rodrigo é direto em como lidar com a situação, agora e no futuro: “a maior importância é prevenir, estar preparado para uma resposta rápida.”.
O que a Harpo pode fazer?
Neste momento estamos nos movendo para entrar em contato com nossos clientes e seus departamentos e equipes de TI, para que suas equipes de desenvolvimento de software comecem um movimento investigativo para detectar se essa vulnerabilidade irá afetar o seu ambiente ou não.
A detecção, com a maior agilidade possível, da presença do Log4J nos sistemas, BPs, softwares de gestão de projetos ou qualquer aplicação usada pela empresa pode fazer toda a diferença. Encontrar a vulnerabilidade no sistema de nossos clientes é o primeiro passo, após isso é necessário montar planos de ação para mitigar o risco de ataques.
É preciso avaliar cada situação de uma maneira, avaliar se é possível atualizar a biblioteca e resolver a vulnerabilidade, ou então, caso aja alguma restrição, se outras medidas paliativas são possíveis, como tornar a publicação acessível somente pela rede da empresa ou por meio de canais criptografados como um VPN.
O objetivo final é sempre o mesmo: proteger nossos clientes e minimizar o risco de um hacker chegar até a aplicação para explorar essa vulnerabilidade.
