sexta-feira, 19 de agosto de 2016

A Vulnerabilidade Física e Virtual Nos Pontos de Varejo do País

Por Rodrigo Fragola*

A indústria mundial de varejo vem avançando de forma admirável numa disciplina multifacetada que se convencionou chamar de "prevenção de perdas" e que envolve desde a perda por falha nos controles de estoque, até os prejuízos ocasionados por furtos ou fraudes no sistema digital de pagamento.

Rodrigo Fragola
Para não abrir demasiado o leque neste artigo, proponho uma passada de olhos nas vulnerabilidades de segurança que o setor precisa enfrentar para sanar uma sangria conhecidamente gigantesca, que são as perdas por falha na segurança do negócio, mais especificamente, no aparato digital e eletrônico disponível para a prevenção contra ataques às gôndolas, ao caixa e às bases de dados de clientes.

Entram, portanto, neste rol as categorias de risco cibernético e de vulnerabilidade física tradicional (que dá ensejo ao roubo ou desvio de produtos), de modo que se possa pensar numa visão holística (unificada) da questão das perdas varejistas e sua respectiva prevenção.

Vamos mirar especificamente o comércio em rede, uma vez que esta é forma predominante na indústria atual do varejo, embora a abordagem geral caiba também aos estabelecimentos isolados.

A primeira constatação é a de que o setor vem adotando certas medidas razoáveis, como o uso de etiquetas de rastreamento com alarme (RFID), para evitar a saída de produtos não pagos, uma iniciativa cada vez mais comum, principalmente em lojas de produtos com alto valor unitário, como perfumarias, lojas de eletrodomésticos e confecções.

Entre os sofisticados itens em fase de disseminação estão as câmeras de vigilância, muitas delas associadas a analisadores de ambiente capazes de detectar pessoas em movimentação brusca, ou até com leitores biométricos para o cadastramento facial de suspeitos.

São iniciativas ainda incipientes na grande maioria das redes no Brasil, como atestam pesquisas setoriais, mostrando que só 35% dos supermercados e atacarejos dispõem de planejamento e equipes dedicadas à prevenção.

Mas um tópico mais preocupante, a meu ver, é o cenário de alta vulnerabilidade da estrutura de informática presente nos pontos de vendas do país, o que agrava de forma dramática a própria segurança física.

Isto porque tal estrutura é vital não apenas para o gerenciamento das transações eletrônicas da loja, mas também para o monitoramento da segurança de itens como as câmeras, os alarmes, os detectores RFID, os sensores de presença nos depósitos, os leitores de códigos de barra, os registradores de cash, balanças e até catracas de entrada e saída de clientes.

No aspecto estritamente digital, é certo que todos estes estabelecimentos deveriam já se submeter a normas básicas de compliance impostas pelas bandeiras de cartão de pagamento como Visa, Diners e MasterCard através do seu rigoroso padrão PCI-DSS, que mundialmente mobiliza bilhões em tecnologia de combate à vulnerabilidade de dados e transações.

Mas embora utilizem necessariamente uma rede credenciada de transporte de transações (como Elo ou PagSeguro) tais estabelecimentos raramente dispõem de uma rede interna isolada para seus serviços gerais, em relação a pontos críticos de interface com o cliente ou com o mundo externo, como os terminais de PDV ou de captura de cartões.

Assim, toda a blindagem com base em normas (compliance) adotada pelo transportador de transações e exigida pelas bandeiras dos cartões se depara, no ambiente da loja, com uma brecha de segurança pela qual, se passa boi, certamente em algum momento deixará passar a boiada, como diz a linguagem popular e referencia a velha e infeliz "Lei de Murphy".

Este é um cenário, aliás, não muito diferente do que se verifica em todo o espectro das empresas, principalmente na faixa das PMEs. A mesma conexão de Internet que equipa uma câmera IP é usada pra trafegar informações fiscais e contábeis ou dados críticos de cliente.

O mesmo WiFi da lanchonete, que conecta o cliente ao Facebook e permite ao garotinho jogar o seu passatempo enquanto espera um sanduíche, conecta também a garçonete, com seu terminal de pedido, ao sistema de gestão de entregas e está ligado ao software de RH da loja ou até mesmo da rede.

Um tipo de negligência nas pontas que, está provado, contamina a própria rede global de pagamentos e promove lucros bilionários ao crime cibernético, além de facilitar toda sorte de fraudes ou desvios no ambiente físico e virtual da rede varejista.

Para quem conhece um pouco sobre as especificações de compliance contidas no PCI DSS ou nas modalidades da norma ISO dirigidas à segurança, é preciso reconhecer que o investimento exigido em segurança cibernética é, quase sempre, o maior entrave à melhoria desse aspecto.

Quando a correlação de custos favorece, o nível de adesão do comerciante é altamente positivo. E aí está o exemplo das câmeras IP, hoje quase tão abundantes quanto lâmpadas no ambiente da farmácia ou supermercado.

E isto pelo simples fato de que sua instalação "agite e use" dispensa maior planejamento, não carece de fiação e atinge custos hoje em dia tremendamente acessíveis.

Agora, o que começa a mudar, é que o mesmo movimento de massificação que ocorreu com as câmeras WiFi, começará a ocorrer em relação ao lado cibernético e à centralização de controle dos itens de segurança digital.

Consoles a custos compatíveis, com baixa exigência de aprendizado e fácil integração com dispositivos de monitoramento físico e virtual já despontam como a novidade da vez.

Um exemplo disto são as centrais de proteção unificadas (tecnicamente chamadas de Firewall UTM) que reúnem todas as funções de segurança em nível cibernético de rede interna e que permitem gerenciar a segurança de dispositivos como os próprios POS, as câmeras IP do ambiente, os terminais de leitura e celulares de clientes e funcionários.

Tudo isto contando ainda com funções de fácil uso para a criação de redes virtuais isoladas, fornecendo blindagem para a comunicação de negócios e garantindo a criação de políticas de priorização de tráfego para aquilo que realmente interessa.

De um patamar até recentemente em torno de sete ou oito mil reais no mercado interno, centrais UTM de alta confiabilidade já podem ser encontradas a valores próximos a R$ 2 mil. Abre-se assim uma perspectiva nova para pequenas e grandes redes de varejo, que por um baixo investimento inicial, poderão iniciar a implantação da segurança holística em todas as suas lojas.

E quem sabe não seja o momento para que as grandes empresas da cadeia de pagamentos (operadoras de cartão, adquirentes e bancos) comecem a distribuir incentivos para que o pequeno comerciante (ou franqueado) atinja, efetivamente, níveis mais sólidos de conformidade com as normas de segurança.

*Rodrigo Fragola é Presidente da Aker Security, Vice-Presidente de Segurança e Defesa do Sindicato da Indústria da Informação (Sinfor) e Diretor de Segurança e Defesa da Associação Brasileira das Empresas de Software(Assespro-DF)