Segurança, Profissional, Segredo

O uso indevido de dados pessoais gera danos muitas vezes irreversíveis para uma organização e, como resultado, está cada vez mais crescente o número de leis e regulamentações.

No Brasil, podemos citar, por exemplo, a Lei Geral de Proteção de Dados (LGPD) que entrou em vigor em 2020.

A proteção de dados pessoais surgiu como uma maneira de regular a utilização da informação pessoal durante o seu tratamento. Ou seja, nos vários processos em que os dados são submetidos depois de colhidos.

Mas afinal, o que são dados pessoais?

Uma informação é considerada dado pessoal quando ela permite a identificação, direta ou indireta, da pessoa por trás do dado. Exemplos mais simples são: nome, data de nascimento, documentos pessoais, endereço, telefone, e-mail e entre outros.

Saiba quais são os países com maior proteção de dados pessoais do mundo

Muitos países ao redor do mundo se asseguraram de garantir esse cuidado porque sabem da importância de ter regulamentações específicas para proteger os dados pessoais.

Foi selecionado os principais exemplos de locais que estão tendo resultados a partir da proteção de dados para você compreender o que já está sendo feito fora do Brasil.

União Europeia

Após um ano e meio do General Data Protection Regulation (GDPR) entrar em vigor na União Europeia, esse já é considerado o maior conjunto de normas de proteção à privacidade online já criado. Os cidadãos europeus têm o direito de saber quais informações as empresas estão coletando sobre eles e para quais objetivos.

O GDPR influenciou legislações em todo o mundo devido ao alto padrão no processamento de dados pessoais, inclusive o Brasil.

Todo esse reconhecimento também pode ser explicado pela aplicação extraterritorial.

Com o GDPR, todos os países que lidam com informações pessoais de cidadãos europeus precisam processar os dados pessoais. Além disso, as autoridades da União Europeia também estão aptas a realizar investigações de conformidade, garantindo o nível adequado de proteção de dados pessoais.

Estados Unidos

A Lei de Privacidade dos Consumidores da Califórnia, intitulada Califórnia Consumer Privacy Act (CCPA), é a primeira lei abrangente de privacidade nos Estados Unidos.  A principal mudança que a lei traz é que os cidadãos da Califórnia têm mais direitos sobre os seus dados. Ou seja, a lei concede às pessoas os direitos de acessar dados, de saber como eles são usados e de proibir o uso deles.

As empresas regulamentadas pelo CCPA terão várias obrigações para esses consumidores. Entre elas, incluindo comunicados, regulamentação geral de proteção de dados (RGPD), como direitos de assunto de dados do cliente (DSRs) e também uma recusa para determinadas transferências de dados e um consentimento requisito para menores.

Japão

O Japão teve sua primeira lei de proteção de dados criada em 2003. A Act on the Protection of Personal Information (APPI) foi atualizada em 2015 e teve as novas regras aplicadas a partir de de 2017, um ano antes da GDPR.

A regulamentação é aplicada em dois tipos de dados, as informações pessoais e as informações que requerem cuidados especiais. Assim como na União Europeia, empresas que não tratarem os dados dos japoneses de forma adequada também podem sofrer sanções.

No país, os cidadãos têm o direito de pedir a revisão e a exclusão de seus dados se acharem necessário. Assim como também poderá ser possível no Brasil com a Lei Geral de Proteção de Dados (LGPD).

Argentina

A Argentina  possui leis específicas para proteção de dados pessoais desde 1994. Atualmente, está em vigor a Lei de proteção de dados pessoais 25.326 (LDPA). Além do Decreto regulamentar 1558/2001 e outras disposições da Diretoria Nacional de Proteção de Dados Pessoais.

A LDPA foi criada de acordo com o modelo legislativo europeu e fez com que a Argentina tenha sido o primeiro país da América Latina a alcançar uma qualificação de adequação para transferências de dados da UE.

A legislação atual protege os dados pessoais armazenados em todas as plataformas de processamento, públicas e privadas. E também os argentinos podem acessar suas informações em bancos de dados públicos.

Brasil teve a LGPD implementada em agosto

Em agosto de 2020, entrou em vigor a Lei Geral de Proteção de Dados (LGPD) no Brasil. A legislação estabelecerá regras mais claras sobre o tratamento de dados pessoais por aqui.

Apesar da ausência de uma lei específica para regulamentar a proteção de dados no país é importante destacar que existem leis setoriais que incluem algumas questões a respeito da proteção de dados pessoais. São elas:

Em todos os países que foram criadas leis e regulamentações específicas sobre o assunto o que permitiu que as organizações começassem a ter um olhar mais atento para a forma como armazenavam os dados pessoais.

Com isso, os investimentos em segurança foram redobrados e trouxeram um ótimo retorno para as empresas.

Compartilho um estudo realizado no mundo todo com os países que já implementaram leis e regulamentos específicos para a proteção de dados para que você compreenda as vantagens que a LGPD vai trazer para o nosso país.

Estudo mostra as vantagens das leis e regulamentos de proteção de dados 

Uma pesquisa publicada pela Cisco, chamada Data Privacy Benchmark Study 2020, mostrou as práticas de privacidade no mundo todo e as vantagens para as empresas que já adotaram práticas para redução de riscos relacionados a segurança dos dados.

O estudo foi realizado em 13 variados países com mais de 2.800 profissionais de segurança em organizações dos mais diversos portes e, a partir dele, trouxe alguns insights do resultado que esse investimento está trazendo:

Quais são as melhores práticas para a segurança da minha empresa?

Separei algumas dicas do que você pode fazer para proteger o seu negócio e que também estão diretamente relacionadas às exigências do Capítulo VII da LGPD, que fala sobre os requisitos mínimos Da Segurança e do Sigilo de Dados e também Das Boas Práticas e da Governança:

Seguindo esses processo continuamente, com certeza você terá mais condições de proteger os ativos importantes para a empresa e, consequentemente, estará mais próximo da proteção de dados que a LGPD exige que você tenha.

Como se proteger?

Através do estudo, percebemos como é inevitável realizar investimentos consideráveis para proteger os dados pessoais da empresa e entre os investimentos indispensáveis estão plataformas que fazem a gestão contínua e monitoramento das vulnerabilidades, como a CITIS SOAR.

Com a CITIS SOAR, é possível reduzir os riscos de vazamento de dados pessoais e violações de segurança através de um trabalho de prevenção assertiva.

Através da ferramenta, profissionais da área de tecnologia e segurança são capazes de identificar, analisar e também entregar informações vivas sobre as vulnerabilidades de segurança digital de uma empresa de qualquer tamanho.

Você já sabe quais são as vantagens das práticas de privacidade, então está na hora de começar a focar no seu negócio. Se você ficou interessado em saber mais sobre a plataforma CITIS SOAR ou se precisar de qualquer dica em relação ao assunto, vamos conversar.

Não existe bala de prata, porém existem muitas soluções no mercado. Uma delas é a CITIS SOAR que poderá ajudar você a reduzir os riscos cibernéticos e cuidar da saúde digital da sua empresa.

Não teve como fugir das manchetes: você com certeza ouviu falar sobre o escândalo envolvendo o Facebook e a Cambridge Analytica – organização especializada na extração e análise de dados, aplicada a estratégias de comunicação em processos eleitorais. Mais de 87 milhões de usuários da rede social tiveram suas informações pessoais coletadas e identificadas pela empresa de consultoria política.

O acontecimento tomou grandes proporções, especialmente pelos indícios de que esse material teria sido usado para manipular o processo eleitoral americano de 2016 e garantir a vitória do empresário e atual presidente dos Estados Unidos, Donald Trump. Além disso, as atividades da Cambridge Analytica teriam influenciado também a polêmica saída do Reino Unido da União Europeia (Brexit).

Isso acontece não é de hoje

Por mais que esses acontecimentos sejam graves e as notícias de quebra de privacidade ganhem as manchetes dos grandes jornais pelo mundo, esta não é a primeira e, provavelmente, não será a última vez que incidentes como esse acontecem. Tome os exemplos da Uber, Equifax, Yahoo. O que eles têm em comum? Bilhões de usuários desses serviços tiveram seus dados pessoais vazados e, em alguns casos até vendidos, na internet.

Muitos desses casos só vêm à tona porque a justiça americana obriga que as empresas tragam os vazamentos a público. O Congresso dos Estados Unidos, aliás, discute uma possível lei federal que proteja os cidadãos contra esses incidentes. Já no Brasil ainda não existe uma lei que exija essa transparência. Ainda assim, veículos de comunicação e autoridades têm se manifestado e estudado formas para prevenir incidentes como esses.

A raiz do problema

Há quem diga que falta rigidez nas regulamentações que garantam a privacidade dos usuários na internet. E, se num cenário mundial esse quadro já é precário, aqui no Brasil não é diferente. Uma pesquisa da PSafe aponta que o país está em segundo lugar no ranking de ataques e vazamentos de dados na deepweb, atrás apenas dos EUA.

No entanto, o problema vai muito além das regulamentações. O caso é que hoje as empresas, em geral, têm dificuldade de acompanhar a ‘criatividade’ e rapidez com que novos mecanismos de invasão são desenvolvidos. Ou seja, a fragilidade é operacional. As equipes de tecnologia não têm tempo ou recursos para investir em estratégias mais eficientes para prevenção de vazamento de dados e passam muito tempo corrigindo e gerindo falhas de segurança.

Quebra de confiança

Quando falamos da relação entre as empresas de tecnologia e seus clientes, não são apenas as implicações legais que saltam aos olhos das empresas, mas também a saúde das relações entre organizações e pessoas. Quando usuários escolhem confiar seus dados a uma companhia, existe um contrato de confiança entre as duas partes, e a parte mais frágil é sempre o cliente.

Isso nos leva a um segundo ponto de atenção: muito da sobrevivência e sucesso dessas empresas que operam nos ambientes virtuais depende da confiança desses usuários. Uma quebra nessa relação de confiança pode, inclusive, custar muito caro para as empresas. Quer um exemplo? Depois de levar a público o vazamento de dados dos seus usuários, a gigante da internet Yahoo perdeu 350 milhões de dólares na venda para Verizon. Mais um motivo para que a segurança dos dados seja uma prioridade dentro das companhias.

O futuro da segurança dos dados

Hoje, nenhum país pode dizer que está 100% seguro contra o risco de vazamentos de dados e as consequências ressoam mundialmente: nações aceleraram a implementação de medidas e tentam acalmar a população, enquanto gerem os escândalos. A União Europeia (UE), por exemplo, se viu nessa situação recentemente diante do caso da britânica Cambridge Analytica.

A resposta? A implementação de novas regras para coleta e troca de dados entre empresas que operem nos países do grupo, a fim de proteger seus cidadãos. Chamada de GDPR – General Data Protection Regulation (ou Regulamento Geral de Proteção de Dados, em tradução livre), a medida deve entrar em vigor em 25 de maio e exige que as empresas protejam as informações pessoais e a privacidade dos cidadãos da UE para transações que ocorram dentro do grupo.

E no Brasil?

Por aqui, a resposta para esses inúmeros escândalos também veio na forma de novas leis e decretos. O Ministério da Justiça, por exemplo, discute aplicar penas administrativas e obrigar empresas a trazer a público casos de vazamentos e já corre no Congresso a aprovação da Lei Geral de Proteção de Dados Pessoais. No entanto, hoje o Brasil já conta com cerca de 30 leis que tratam do tema direta ou indiretamente. Ainda assim, o resultado é pouco eficiente.

E então, o que fazer para oferecer um ambiente seguro hoje

Do ponto de vista corporativo, empresas que prezam a proteção dos dados dos seus consumidores se destacam no mercado e ganham a confiança do público. Portanto, é essencial acompanhar e estar de acordo com as regulamentações de privacidade e utilizar a tecnologia a seu favor, aplicando recursos de criptografia, dupla autenticação – que usa mais de um canal e código para login – entre outros.

Outra alternativa é aplicar metodologias de diagnóstico de segurança do seu site, como a Privacy Impact Assessments (PIA). A partir desses resultados, é possível implementar programas de privacidade que atendam e tratem os pontos que oferecem risco. Desse modo fica mais fácil cuidar da manutenção do site e garantir a segurança da sua empresa.

Mas é possível – e muito recomendável – que as organizações vão além e sigam alguns protocolos de segurança mais sofisticados, a fim de garantir um ambiente seguro de navegação para seus visitantes. Um exemplo? Se sua empresa trabalha com outros parceiros de tecnologia, que instalam ferramentas através de scripts no seu site, é bom ficar atento. Sem dúvida eles vão extrair dados dos seus usuários e, até aqui, isso não é um problema.

O importante é saber exatamente o que essas empresas vão fazer com as informações. Existe o risco de que esses parceiros vendam ou compartilhem os dados dos seus clientes com outras companhias? O compartilhamento de bases, sem autorização específica dos usuários cadastrados, é chamada de cookie pool. Um artifício infelizmente ainda muito comum, que fere a confiança dos visitantes do seu site que escolhem compartilhar com a sua empresa – e somente com a sua empresa – informações de grau pessoal.

Você compartilha os dados dos seus visitantes com outras empresas? Ou, pior, você compra base de dados de terceiros? Práticas como estas pouco se diferem do que foi feito pela própria Cambridge Analytica, que acessou e explorou informações sensíveis de usuários do Facebook, sem a autorização dessas pessoas. Por isso, é muito importante se assegurar de que as empresas parceiras sejam confiáveis, ter documentado tudo o que as ferramentas poderão extrair e saber exatamente como pretendem usar esses dados.

 

Sua informação vale muito dinheiro e é com ela que as empresas definem seu perfil e seus gostos e, consequentemente, o que colocar na tela do seu smartphone ou computador

O mundo ficou chocado com o vazamento de dados do Facebook para a Cambridge Analytica, empresa de marketing político que atuou em várias campanhas, incluindo a de Donald Trump. O caso afetou 87 milhões de usuários do Facebook, sendo 443 mil somente no Brasil. Este não é um caso isolado, não foi o primeiro e não será o último, pelo simples motivo de que as pessoas não se importam, desconhecem ou mesmo não querem saber sobre como suas informações são tratadas na web.

Em uma pesquisa, batizada de AIR e desenvolvida pela A10 Networks por meio do Relatório de Inteligência de Aplicativos, foi constatado que 81% dos brasileiros não se veem como responsáveis pela segurança de seus aplicativos no ambiente corporativo. Na primeira fase da pesquisa, os brasileiros consideram aplicativos tão importantes como comer, beber e respirar e também foi respondido, por um em cada três participantes, que apenas tenta não pensar sobre ciberataques.

É preciso entender que, como na vida real, sempre que mostramos algo em um local público, estamos nos expondo a qualquer desconhecido que estiver por ali. No caso da internet, estamos nos expondo a qualquer pessoa conectada no mundo. Quando deixamos abertas as travas de privacidade, que muitas vezes são públicas por padrão, estamos assumindo riscos.

Por outro lado, existem modelos na web que não existiam antigamente. Uma rede social é uma pesquisa rápida e automática de padrões de comportamento e consumo. Não se engane, serviços “gratuitos” têm um preço – não existe byte grátis. É como o antigo pesquisador que batia na porta das pessoas para perguntar sobre qualquer produto e depois chegavam cartas e mais cartas de propaganda e até livretos sobre o assunto. Isso era o início do SPAM.

Podemos ver pelos ganhos publicitários informados por algumas empresas: Amazon US$ 1,735 bilhões (cresceu 62% em 12 meses), Facebook US$ 39,94 bilhões em 2017 e Google US$ 27,2 bilhões, apenas no último trimestre do ano passado. Ou seja, sua informação vale muito dinheiro. É com ela que as empresas definem seu perfil e seus gostos e, consequentemente, o que colocar na tela do seu smartphone ou computador.

Quando você faz comentários no Facebook, posta uma foto no Instagram, manda um e-mail no Gmail ou Outlook, enfim, em qualquer uma dessas ferramentas “gratuitas”, saiba que está alimentando um banco de dados gigantesco. E você foi avisado. Lembra daqueles avisos “você concorda com os termos de uso”? Ou “você permite que este aplicativo tenha acesso à câmera e microfone”? Se você diz “sim”, está abrindo a sua privacidade para uma empresa, que pode até não associar os dados diretamente à sua pessoa, mas a inteligência artificial e o machine learning estarão estudando você.

Os serviços vendem esse Big Data gerado por todos nós para empresas como a Cambridge Analytica, que vai usar os dados para seus negócios, sejam eles bons, ruins, legais ou ilegais. Na maioria das vezes, as pessoas concordam em pagar o “preço do gratuito”, com informações sobre sua vida pessoal.

Por isso, lembre-se, ao usar uma rede social ou serviço gratuito, o produto no caso é você.

Todos os anos aparecem na internet listas com as senhas mais utilizadas do mundo, sempre com “123456” no primeiro lugar. Naturalmente, no fim de 2017, a famigerada lista apareceu novamente e traz, sem surpresa, a dita combinação de números no primeiro lugar, seguida por “password”. Acontece que não é possível inferir que essas sejam de fato as duas senhas mais usadas do mundo ou que elas sequer representem alguma grande parcela das senhas circulando pela internet atualmente.

Isso porque a lista deste ano foi compilada a partir de 5 milhões de senhas vazadas por hackers durante 2017. Considerando que existem hoje mais de 3,2 bilhões de pessoas online, é muito improvável que essa pequena amostragem represente qualquer coisa próxima da realidade.

Mesmo assim, é obvio que você não deve usar combinações tão ridículas como essas, e ter uma senha com caracteres especiais ajuda a proteger você de ataques direcionados. O problema é que nem a senha mais complexa e aleatória do mundo poderia proteger você de um ataque de phishing, quando um criminoso tenha lhe enganar com algum truque para lhe fazer digitar sua senha em algum lugar e, assim, ter acesso à sua conta.

A única forma de se proteger contra esse tipo de coisa é mudando todas as suas senhas com frequência. Isso deveria ser uma prática comum entre todos nós, especialmente para quem faz compras online, trabalha com emails corporativos ou é, em maior ou menor grau, uma pessoa relativamente conhecida na internet.

Aproveite que 2018 está aí e tente criar esse hábito, fazendo uma resolução de ano novo ou mesmo uma “promessa” para si mesmo. Mudar suas senhas a cada três ou seis meses não é exatamente um grande problema e pode tornar a sua presença na web muito mais segura.

Preguiça?

Só que, quem tem muitas contas em múltiplos serviços provavelmente não vai achar esse tipo de resolução de ano novo algo prático a se fazer. Até porque é difícil lembrar onde você tem alguma conta e, também, as senhas de fato para elas.

Nesse caso, é interessante usar um gerenciador de senhas de confiança. Uma opção interessante que surgiu recentemente é o Dashlane, que agora conta com um recurso capaz de mudar todas as suas senhas salvas no programa com apenas um clique. A novidade funciona até mesmo para serviços que usam autenticação em dois fatores, e mostra uma janela popup para os que requerem esse tipo de coisa.

dashlane

O programa é reconhecido e proveniente de uma empresa confiável chamada PassOmatic, que adquiriu o software recentemente e está fazendo uma renovação de funções nele. Já são mais de 3 milhões de usuários, e existe a possibilidade de usar a ferramenta gratuitamente — apenas em um dispositivo — ou pagar uma assinatura anual (cara) para sincronizar todas as senhas em todos os seus aparelhos WindowsAndroidmacOS ou iOS(versão beta)

Falando em gerenciador de senhas, existem outras opções confiáveis além do Dashlane, tais como o LastPass e o 1Password, mas esses não permitem alterar todas as senhas de uma só vez.

Mas se você não quer usar recursos como esses, pelo menos fique prevenido com atitudes saudáveis:

Seguindo essas dicas, as suas chances de ser exposto na web certamente vão diminuir.

 

 

Uma pesquisa recente realizada pela Varonis, fabricante de software de proteção contra ameaças internas e ciberataques, revela que grande maioria dos entrevistados (89%) expressa confiança em sua estratégia de segurança cibernética e afirma que a empresa tem boas condições para se proteger dos ataques. Porém, nos meses após o estragro provocado pelo WannaCry — ransomware que afeta o sistema operacional Windows —, quatro em cada dez empresas não estão tomando as medidas críticas para bloquear o vazamento de informações confidenciais. Dessa forma, ficam sob risco de perda e roubo de dados e, o que é mais grave, um próximo ataque de ransomware de grandes proporções.

A Varonis fez o estudo para repercutir o panorama das práticas de segurança e expectativas do mercado após o caso Equifax, empresa que teve vazados arquivos com dados de mais de 143 milhões de americanos.

A pesquisa, realizada nos meses de setembro e outubro com 500 líderes de TI em empresas com mais de mil funcionários na Alemanha, França, Reino Unido e nos Estados Unidos, revela uma desconexão preocupante entre a expectativa e a realidade da segurança de dados.

O levantamento indica também que quase metade dos entrevistados (45%) acredita que a empresa em que trabalham enfrentará um grande ataque disruptivo nos próximos 12 meses. Em relação a 2018, o roubo de dados e a perda de dados foram citados como principais preocupações para as empresas.

De acordo com o vice-presidente da Varonis para a América Latina, Carlos Rodrigues, os hackers hoje estão realizando ataques mais sofisticados e destrutivos. Foi o caso, por exemplo, dos ransomwares WannaCry e NotPetya, que fizeram uso de diferentes vetores de ataque. “Ao mesmo tempo, os dados valiosos permanecem vulneráveis a ataques que exigem pouca ou nenhuma sofisticação, por meio de pastas de arquivos excessivamente acessíveis. Vemos então que a realidade e a percepção de segurança das empresas claramente não estão alinhadas”, explica o executivo da Varonis.

De acordo com Rodrigues, o Brasil tem sido uma vítima em potencial para os hackers, sendo um dos países latinos com a maior quantidade de ataques. “Os gestores de segurança brasileiros devem priorizar as ações de proteção de dados, mas não vêm fazendo-o da maneira adequada, uma vez que os ransomwares têm se popularizado no País e gerado altos custos de restauração tecnológica para as empresas”, afirma.

Veja mais alguns pontos da pesquisa:— 25% relataram que a empresa foi atingida por ransomware nos últimos dois anos.

— 26% relataram que a empresa teve problema de perda ou roubo de dados nos últimos dois anos.

— Oito de cada dez entrevistados estão confiantes de que os hackers não estão agindo atualmente em sua rede.

— 85% mudaram ou planejam mudar suas políticas e procedimentos de segurança após ataques cibernéticos generalizados, como o WannaCry.

Mais de 700 milhões de endereços de e-mails, bem como milhões de senhas, caíram em domínio público graças a um programa de spam mal configurado, o que gerou um dos maiores vazamentos de dados já registrados. De acordo com especialistas em segurança, o número final de e-mails reais deve ser bem menor em razão da grande incidência de endereços falsos, incorretos e repetidos.

Os dados ficaram expostos porque os geradores de spams falharam em dar segurança a um de seus servidores, permitindo a qualquer visitante baixar vários gigabytes de informações sem solicitar qualquer credencial. É impossível determinar quantos baixaram a sua própria cópia dessa imensa base de dados.

Embora existam mais de 700 milhões de endereços de e-mails na base de dados, aparentemente muitos deles não são associados a contas reais. Alguns são incorretamente pinçados da internet enquanto outros parecem terem sido criados por adivinhação, com a adição de palavras como “vendas” antes de um domínio padrão, gerando, por exemplo, vendas@newspaper.com.

Há ainda milhões de senhas nesse vazamento que parecem ser resultantes da coleta de informação por parte dos geradores de spams na tentativa de ingressar nas contas de e-mails dos usuários e enviar mensagens personalizadas com seus nomes. Especialistas afirmam, porém, que a maioria das senhas aparentam ter sido coletadas em vazamentos anteriores, como o de 164 milhões de contas registrado pelo LinkedIn em maio do ano passado.

Na análise de Giovanni Verhaeghe, diretor de produto e estratégia de mercado da Vasco Data Security, fornecedora de soluções de identidade, segurança e produtividade para os negócios, vazamentos desse porte sublinham, uma vez mais, a importância da educação quando o tema é gerenciamento e uso de senhas. “Alterar as senhas comprometidas pode ser um bom primeiro passo, mas o vazamento tem pouco a ver com as senhas que nós usamos. Ele é resultado da facilidade com que esses dados podem ser acessados por quem está de fora. O peso da responsabilidade recai fortemente nas organizações e no quanto elas investem na segurança das informações que os usuários compartilham com elas. Isso fará uma enorme diferença em termos da confiança do usuário”, ressalta.

O especialista destaca ainda que os usuários hoje querem uma experiência confortável entre os diversos canais à sua disposição. “Quanto mais amigável a interface com o usuário, maior é a necessidade de segurança. A segurança pode e deve ser transparente, mas se ela não protege os usuários e os seus dados ela pode estar deixando a porta aberta para ataques criminosos”, conclui.

 

Em função dos últimos ataques virtuais, o sinal de alerta soou e as empresas vêm gradativamente voltando a investir mais em segurança e tecnologia.  O futuro é promissor, conforme aponta o Gartner. Em sua última pesquisa, o instituto prevê que em 2018 cerca de 90% das companhias terão algum tipo de estrutura relacionada à segurança de dados.

Apesar de sempre existirem ameaças virtuais, o conceito se popularizou há poucos anos por conta das ameaças passarem de ser vírus ou trojans para esquemas complexos de sequestro de dados ou de informações privilegiadas. Como é o caso dos atuais ransomwares e de pragas como Stuxnet, que são totalmente direcionadas a um fim lucrativo.

Vulnerabilidades chamadas de zero-day, até então nunca divulgadas, têm impactado todos os setores da indústria. Falhas como HeartBleed e ShellShock ou até mesmo recentemente a suíte de ferramentas da NSA, vazada na internet pelo grupo hacker autodenominado Shadow Brokers, a qual continha várias falhas zero-day, sendo a mais importante delas a vulnerabilidade Eternal Blue, explorada por hackers com o WannaCry.

Os ataques ocorrem por todos os lados. Segundo reportagem publicada na Reuters, o site de relacionamento Ashley Madison teve seus dados vazados obrigando a companhia a pagar 11,2 milhões de dólares como indenização aos seus clientes pela exposição de dados. Já a operadora de telefonia Verizon, uma das maiores dos EUA, também sofreu com a disseminação dos dados de seus clientes porque seu fornecedor, a Nice System, estava com um servidor na Amazon aberto para navegação, dando a possibilidade de hackers má intencionados baixarem os dados armazenados.

Conforme os sistemas evoluem, as ferramentas usadas para ataques cibernéticos também progridem na mesma escala. Com isso, as empresas precisam estar atentas a ter um processo de gestão de risco e compliance, contando com uma equipe dedicada especificamente na área de segurança da informação.

Devemos nos perguntar o quanto vale nossos dados e até quando deixaremos nossas informações desprotegidas a ponto de comprometer e causar prejuízos imensos. O alcance da internet em lugares onde antes não havia, a popularização de smartphones e tablets e todo esse crescimento de infraestrutura, desencadeou a facilidade de hoje de qualquer adolescente má intencionado ter a acesso a conteúdos privados.

Antigamente tínhamos os CPDs (Central de Processamento de Dados), onde ficava praticamente toda a infraestrutura de TI da empresa. Evoluímos e hoje temos data center, big data, auditoria, tudo colaborando para expansão dos setores de tecnologia, porém essa evolução amplia exponencialmente áreas que envolvem risco, compliance e segurança.

Na prática, as empresas devem criar times específicos com habilidades distintas, análise de vulnerabilidades, gestão de risco e incidentes. Caso não seja possível criar um time interno, a ação correta é contar com apoio de consultorias especializadas. Tudo isso de forma orquestrada para blindar o ambiente digital da empresa.

Como diversas pesquisas apontam, as empresas terão que invariavelmente investir em segurança da informação, adquirir ou contratar ferramentas e pessoal especializado. Dessa forma, quanto mais rápido esse investimento acontecer, mais protegida a empresa estará, evitando surpresas por conta das novas brechas de segurança para barrar, principalmente, a possibilidade de dados vazarem e resultar em prejuízos financeiros e para a reputação incalculáveis.

Durante a análise de diversas campanhas de espionagem e crimes virtuais, os pesquisadores da Kaspersky Lab identificaram uma nova tendência preocupante: hackers estão usando cada vez mais a esteganografia, a versão digital de uma técnica antiga para ocultar mensagens em imagens de modo a encobrir as pistas de sua atividade maliciosa no computador invadido.

Recentemente, foram descobertas várias operações de malware voltadas à espionagem virtual e diversos exemplos de malwares criados para roubar informações financeiras que utilizam essa técnica.

Da mesma forma que nos ataques virtuais direcionados típicos, o agente da ameaça, depois de invadir a rede atacada, se estabelece e coleta informações valiosas para depois transferi-las para o servidor de comando e controle (C&C). Na maioria dos casos, as soluções de segurança confiáveis ou as análises de segurança feitas por profissionais são capazes de identificar a presença do agente da ameaça na rede em cada estágio do ataque, inclusive durante a extração de dados. Isso porque, durante a extração, são deixados rastros, como o registro de conexões com um endereço IP desconhecido ou incluído em listas negras. No entanto, quando se usa a esteganografia, a tarefa de detectar a extração de dados torna-se complicada.

Nesse cenário, os usuários maliciosos inserem as informações que serão roubadas diretamente no código de um arquivo comum de imagem ou de vídeo, que é então enviado para o servidor C&C. Dessa forma, é pouco provável que esse evento acione qualquer alarme de segurança ou tecnologia de proteção de dados. Após a modificação pelo invasor, a própria imagem não é alterada visualmente; seu tamanho e a maioria dos outros parâmetros também permanecem iguais e, assim, ela não seria motivo de preocupação. Isso torna a esteganografia um método lucrativo para os agentes mal-intencionados como opção de extração de dados de uma rede invadida.

Nos últimos meses, os pesquisadores da Kaspersky Lab observaram pelo menos três operações de espionagem virtual que utilizam essa técnica. E, mais preocupante, ela também está sendo ativamente adotada por criminosos virtuais regulares, além dos agentes de espionagem virtual. Os pesquisadores da Kaspersky Lab detectaram sua utilização em versões atualizadas de cavalos de Troia como o Zerp, ZeusVM, Kins, Triton e outros. A maioria dessas famílias de malware, de modo geral, visa organizações financeiras e usuários de serviços financeiros. Isso pode ser um indício da iminente adoção dessa técnica em grande escala pelos criadores de malware, o que tornaria a detecção do malware mais complexa.

“Embora não seja a primeira vez que observamos uma técnica maliciosa originalmente usada por agentes de ameaças sofisticadas encontrar espaço no cenário do malware convencional, o caso da esteganografia é especialmente importante. Até o momento, não foi descoberta uma forma segura de detectar a extração de dados conduzida dessa maneira. As imagens usadas pelos invasores como ferramenta de transporte das informações roubadas são muito grandes e, embora haja algoritmos que poderiam indicar o uso da técnica, sua implementação em grande escala exigiria enorme capacidade de computação e seus custos seriam proibitivos”, explica Alexey Shulmin, pesquisador de segurança da Kaspersky Lab.

Por outro lado, observa o pesquisador, é relativamente fácil identificar uma imagem “carregada” com dados sigilosos roubados pela análise manual. Esse método, no entanto, tem limitações, pois um analista de segurança seria capaz de analisar um número muito limitado de imagens. “Talvez a resposta esteja na mistura dos dois. Na Kaspersky Lab, usamos uma associação de tecnologias de análise automatizada com o conhecimento humano para identificar e detectar esses ataques. Contudo, essa área ainda deve ser aperfeiçoada, e o objetivo de nossas investigações é chamar a atenção do setor para a questão e impor o desenvolvimento de tecnologias confiáveis, mas financeiramente viáveis, que permitam a identificação da esteganografia nos ataques de malware”, completa Shulmin. 

Segurança da informação é composta por pessoas, processos e tecnologias. Por isso, não basta comprar aquele firewall ou antivírus de última geração se a empresa não for capaz de acompanhar a evolução de ameaças

É fato que a informação tem grande valor para a humanidade e é fator determinante para o fortalecimento de nações e de potências comerciais. Nos dias atuais, o volume de informações alcança proporções astronômicas, assim como aumenta também sua importância e a necessidade de protegê-las. A criação de mecanismos para classificar, avaliar e tratar cada tipo de informação representa direcionar recursos e esforços diferentes para cada uma delas.

Uma pesquisa realizada pela consultoria PwC revela um crescimento de 274% no número de ataques cibernéticos no Brasil. Vimos, desde o começo do ano, ataques a grandes empresas como UOL, Google, divulgação de senhas do governo e até mesmo o Sisu não foi poupado, tendo inscrições de candidatos alteradas. Esses são apenas alguns exemplos de ataques que aconteceram em território nacional.

Sabemos que todas as empresas impactadas por esses ataques possuem grandes soluções de segurança implementadas, times de segurança da informação bem estruturados assim como investimentos consideráveis em segurança. Ao passo que os ataques cibernéticos estão cada vez mais elaborados e sofisticados as empresas, por sua vez, têm de acompanhar esse cenário e desenvolver mecanismos capazes de antecipar esses ataques, bem como reagir de forma adequada para cada tipo de incidente.

Precisamos mesmo ser tão reativos?

Boas práticas não faltam no mercado, assim como soluções tecnológicas complexas e caras, que prometem proteções eficazes contra diversos tipos de ataques e vulnerabilidades. Mas será que somente isso basta? Se temos soluções de alta tecnologia, grandes empresas por trás delas, times de segurança (que deveriam ser bem treinados), bases de conhecimento abertas, por que então em vez dos ataques diminuírem eles só aumentam? Ou melhor, por que temos a sensação de que não conseguimos combater ou nos anteciparmos aos ciberataques de forma eficaz?

A resposta é simples: Segurança da informação é composta por pessoas, processos e tecnologias, ou seja, não basta comprar aquele firewall, SIEM, IPS ou antivírus de última geração se a estratégia de implementação, ciclo de vida, sustentação e resposta a incidentes não forem capazes de acompanhar a evolução de ameaças nos dias de hoje.

Muitas empresas montam seus planos e estratégias de proteção baseadas em dados que não refletem o cenário atual de ameaças ou que não endereçam de forma adequada a proteção de pessoas, processos e tecnologias. Implementações de frameworks como ISO 27001, PCI-DSS, HIPAA e SOX não alcançam seu objetivo real se a motivação para os adotar tiver propósito apenas comercial, em vez de ter como objetivo atender ao que cada um desses frameworks se propõe. Implementar uma metodologia de proteção de dados simplesmente porque a empresa terá vantagem comercial não significa dar importância à segurança da informação.

Muitos C-levels enxergam ou investem mais em tecnologias de segurança e menos em campanhas de conscientização ou em processos e controles internos.

Melhores práticas podem ajudar?

Não existe uma receita pronta ou um método 100% eficaz para se aplicar de forma generalizada em todas as empresas ou em seus ambientes, mas de uma forma geral, a definição de uma boa estratégia de segurança começa pelo entendimento correto de seu escopo, ou seja, definir o alcance real de proteção do que será protegido. Na sequência, análises críticas, de risco e maturidade de processos dará a visibilidade dos principais pontos fracos e fortes de sua empresa.

Com esse mapeamento definido é possível identificar e classificar os tipos de informações a serem protegidas e os níveis de proteção mais adequados para cada uma delas. Otimizando os recursos dessa forma é possível gerenciá-los e direcioná-los de acordo com as necessidades de cada empresa.

Implementar um sistema de gestão de segurança da informação ou algum framework de segurança não impede que incidentes aconteçam, mas endereçam diversas medidas que diminuem suas probabilidades, além de propor métodos capazes de medir se a implementação dos controles e processos adotados são eficazes ou não. Campanhas de conscientização, desenvolvimentos de políticas e procedimentos bem balanceados ainda são os grandes aliados para prevenir incidentes de segurança.