O deslocamento da sociedade para o ambiente eletrônico — transações financeiras, trabalhos remotos e até gestão pública — traz um alarmante aumento nos casos de ataques virtuais, o que inclui roubo, alterações e vazamento de dados.
Com quase a totalidade do patrimônio financeiro e informacional dos cidadãos em nuvem (e praticamente nada em âmbito físico), é natural que a busca dos criminosos pela violação de dados digitais se intensifique. Cada vez mais sofisticado e audacioso, o cibercrime é uma ameaça à economia do planeta: o Fórum Econômico Mundial estima que o custo das falhas em segurança digital chegue a US$ 8 trilhões em 5 anos.
Em 2017, uma ação coordenada de hackers (Wanna Cry) infectou 300 mil computadores simultaneamente, suspendendo atendimento em hospitais, bancos e até tribunais de justiça. De lá para cá, foram milhares de casos individuais no mundo.
Investimento em equipamentos de proteção e políticas de segurança da informação devem ser prioridade, e por uma razão simples: o Brasil é o 7º país com maior número de invasões de sistemas. Vamos entender como nos protegermos? Continue a leitura para saber mais!
Os maiores casos de violação de dados dos últimos anos
O objetivo das violações de computadores geralmente é realização de fraudes bancárias, sequestro de dados ou revenda de informações pessoais na darkweb. Destaca-se que, no Brasil, 22% das pequenas empresas atingidas por ransomware fecham as portas após o primeiro ataque.
Vamos relembrar os escândalos de vazamento de dados mais recentes.
Aadhaar
O caso mais pujante de vazamento de dados nos últimos anos. Estamos falando da intrusão no sistema do Aadhaar, um programa do governo indiano de cadastro biométrico sem precedentes no mundo.
A proposta do Aadhaar, criado em 2016, era promover um escaneamento digital, da íris e da face dos 1,3 bilhão de habitantes da Índia, vinculando esse registro ao exercício da vida civil do indivíduo em todos os âmbitos.
Após implementado, o cadastro vinculará o cidadão a multas de trânsito e ações penais, além de ser indispensável para realização de matrícula em escolas, recebimento de pensões/aposentadorias, acesso a hospitais e até obtenção da cota mensal de arroz das populações mais pobres.
O problema é que nem a maior base de dados da história ficou ilesa do acesso indevido: apesar da tentativa inicial de negar o vazamento, o governo indiano confessou que os dados biométricos de mais de 1 bilhão de pessoas foram roubados, e, pior, estão sendo vendidos na darkweb por cerca de US$ 8,00. Trata-se de um dos maiores vazamentos de dados da história.
Amazon
Os escândalos de vazamento de dados envolvendo o Facebook já se tornaram comuns. Mas dessa vez apenas os dados violados eram originários da rede social norte-americana. Ao que tudo indica, a responsabilidade nesse caso fica por conta da Amazon.
Não entendeu? Pois bem, o caso se tornou público em abril/2019, quando empresas de cibersegurança alertaram ao mundo que 540 milhões de dados pessoais de usuários do Facebook foram expostos livremente nos servidores da Amazon na nuvem.
Os dados, solicitados por desenvolvedores de aplicativos para o Facebook na Amazon, continham curtidas, comentários, fotos e até informações de reserva de voos/de hotéis.
Vale lembrar que, em 2018, a coleta de dados ilegal pela Cambridge Analytica já havia vitimado 87 milhões de usuários do Facebook, resultando em multa de US$ 643 mil por violação de privacidade.
Associação de Cartórios de São Paulo
Não pense que vazamento de dados e violação às boas práticas de segurança da informação são problemas apenas para empresas do exterior. Por aqui, até a Arpen-SP (Associação dos Registradores de Pessoas Naturais de São Paulo) levou dores de cabeça aos usuários dos serviços notariais (mais especificamente 1 milhão de pais, mães e filhos que tiveram 381 mil certidões de nascimento expostas na internet).
Nesse caso, entretanto, o que ocorreu foi um erro na configuração do sistema, fato que deixa a lição de que não somente a ação de terceiros resulta na liberação de dados sensíveis: a própria imperícia de funcionários é altamente perigosa na gestão de dados críticos.
Usina de Kudankulam (Índia)
E se as empresas de todos os portes correm risco permanente de roubo de senhas, dados bancários, planos de negócios e informações de clientes, é preciso lembrar que o potencial de destruição dos cibercriminosos vai muito além das questões corporativas, alcançando sistemas de lançamento de mísseis e até mesmo usinas nucleares. Este último, aliás, já foi alvo de invasões de sistemas.
Em novembro/2019, o governo indiano confirmou que a usina nuclear da cidade de Kudankulam foi vítima de um ataque hacker com malwares projetados para captura ilegal de dados para um grupo ligado ao governo norte-coreano. O potencial desse tipo de crime virtual pode ir de acionamento remoto de armas letais a um conflito armado.
Ficaremos com esses 4 exemplos, mas a lista é bem mais extensa, incluindo operadoras de telefonia, e-commerce de artigos esportivos, instituições financeiras e até o Conselho Nacional de Justiça.
Como os governos estão criando ações de proteção contra vazamento de dados?
Alguns ataques, como DDoS (ataques de negação de serviço), são muito usados por interesses políticos ou para sabotar empresas concorrentes, motivando o surgimento de ações legais importantes no mundo.
Regulação Geral de Proteção de Dados (GDPR)
Aprovada pela União Europeia (vigente desde 2018), a GDPR vai além do Velho Continente e sujeita ao peso da lei todas as empresas que coletem dados de cidadãos europeus.
Entre as determinações adotadas na GDPR estão o direito do usuário em consentir a coleta de informações, seu direito de pedir a interrupção dessa captura e a obrigação das empresas de informar às autoridades sobre vazamento de dados em até 72 horas da ciência.
Lei Geral de Proteção de Dados Pessoais (LGPD)
Por aqui, temos nossa versão da europeia GDPR. Trata-se da Lei nº 13.709/2018 (LGPD), que embora seja inspirada na versão de proteção à privacidade do Velho Continente, é mais concisa, e deixa algumas brechas de interpretação, como a não especificação do que são “dados sensíveis”. Trata-se, entretanto, de um marco para o combate ao cibercrime, principalmente vazamento de dados.
5 lições que podemos aprender com os casos recentes de violação de dados
1. Não esperar um ataque hacker para implementar políticas de segurança da informação
Uma pesquisa recente revelou que 56% das empresas solicitam ajuda para proteção de dados apenas após o primeiro ataque.
Não jogue seu patrimônio à sorte: desenvolva controle de acesso nos sistemas (como autenticação de dois fatores), invista em soluções em nuvem com recursos de backups automáticos, implemente proteções como firewall, IDS, IPS, além de internet dedicada de alta capacidade de tráfego.
2. Capacitar os colaboradores
Uma pesquisa da Trustwave (2017) mostrou que 77% das vulnerabilidades detectadas passavam por gerenciamento de sessão. Boa parte dos casos de vazamento de dados envolve vulnerabilidades geradas pelo mau uso de sistemas, como senhas fáceis, abertura de links maliciosos ou manutenção de sessão fora do horário de uso.
3. Aumentar a segurança de dados no passo do aumento da tecnologia
O 5G promete acesso e transmissão de dados de forma muito mais rápida, abrindo as portas para carros autônomos, fábricas inteligentes e cirurgias remotas. O problema é que o crescimento da capacidade de conexão promete também aumento exponencial na quantidade de ataques DDoS.
Invista no aumento da largura de banda (capacidade de transferência de dados na rede), use firewall gerenciado para monitoramento em tempo real e estude a implantação do chamado “scrubbing center”, estação centralizada de limpeza de dados, onde o tráfego é analisado nas camadas de rede e de aplicação, e as ações maliciosas são removidas.
4. Jamais ignorar os sinais de alarme
Um aviso de atividade maliciosa nos antivírus ou demais sistemas de monitoramento deve desencadear ações corretivas imediatas por parte da TI de sua empresa. Ignorar sinais de perigo é das grandes causas de violação de dados no mundo corporativo.
Vale lembrar que , segundo levantamento divulgado pela Revista Exame, 51% das empresas brasileiras já sofreram sequestro de sistemas.
5. Atualizar seu parque tecnológico
Os sistemas modernos de segurança digital incluem até Inteligência Artificial para monitoramento da rede. Fica impossível ter acesso a essas tecnologias se sua infraestrutura de TI (como computadores e ativos de rede) é obsoleta, sem capacidade de processamento para implementação desses recursos.
O custo de comprar computadores modernos (celulares, smartphones, tablets ou acessórios) é bem inferior ao custo de reparação em caso de invasão.
O número de ataques cibernéticos quase dobrou no Brasil em 2018: sua empresa está atualizada com as últimas tecnologias contra vazamento de dados? Acesse o eBook “Cibersegurança: prioridade, desafios e soluções” e conheça as ações definitivas para eliminar esses riscos!
Chamadas para stories
5 lições que podemos aprender com os escândalos de vazamento de dados:
Aprenda como evitar que sua empresa seja a próxima vítima dos cibercriminosos!
Arraste e confira!
