Os riscos de um vazamento de dados na era da LGPD

A Lei Geral de Proteção de Dados, LGPD, já está em vigor. Quais os riscos de um vazamento de dados de agora em diante?

O vazamento de dados, agora em um cenário em que a LGPD já está em vigor, pode trazer inúmeras consequências para uma organização.

Para começar, precisamos falar sobre a credibilidade.

Imagine a dificuldade de, após sofrer algum incidente de vazamento de dados, aproximar os clientes novamente para pontuar o comprometimento da empresa com a segurança dos dados?

Talvez as multas aplicadas pela LGPD não sejam o suficiente para causar danos a uma grande organização, mas todos os conflitos sociais envolvendo, em especial a credibilidade, certamente sim, pois obter a confiança de pessoas não é uma tarefa fácil.

Vale lembrar, que apesar de tudo isso, grandes empresas já sofreram publicamente com esse tipo de incidente, apenas para citar alguns nomes, temos o Facebook, MySpace, e até mesmo o LinkedIn.

Uma dica para quem quer saber se já teve os dados expostos ou até mesmo acompanhar os vazamentos mais recentes, é o site Have I been pwned. Serviços pagos como a versão paga do Serasa Consumidor também podem trazer insights sobre o tema.

[sc name="featured"]

O que você vai ler neste artigo

• O que é vazamento de dados?
• Porque você deveria se preocupar com um possível vazamento de dados
• Quanto custa um vazamento de dados
• O que pode acontecer quando os dados de uma empresa são vazados

[sc name="feature_video_fev_2021"]

Janeiro é um mês importante para a Privacidade de Dados, pois no dia 28 de Janeiro, o mundo celebra o Dia Internacional de Privacidade de Dados.

A data foi criada em 2006 na Europa pela Convenção 108, de 28 de janeiro de 1981 para difundir as boas práticas de segurança e aumentar a conscientização de tudo o que envolve a proteção de dados pessoais e corporativos.

O que é vazamento de dados?

Uma violação de dados, ou data breach, expõe informações confidenciais e sensíveis a uma pessoa não-autorizada. Geralmente, quando ocorre um data breach em função de um ciberataque, essas informações costumam ser compartilhadas sem permissão, vendidas ou, dependendo da motivação do cibercriminoso, sequestradas para extorsão.

Portanto, um data breach ocorre quando existe um ponto de entrada não-autorizado no banco de dados de uma empresa que permite que hackers acessem dados de clientes, como senhas, números de cartão de crédito, CPFs, informações bancárias, carteiras de motorista, registros médicos, dentre outros dados que, por lei, devem ser mantidos em sigilo.

Isso pode ser feito fisicamente, através de endpoints (dispositivos como computador e celular de trabalho, por exemplo), ou ultrapassando a segurança da rede remotamente.

Quem está por trás das violações de dados?

Porém, embora automaticamente tenhamos a supor que toda violação de dados é causada por um hacker ou cibercriminoso externo, nem sempre isso é verdade. Vale considerar que um data breach também pode ocorrer das seguintes formas:

Um acidente entre colaboradores: um exemplo que muitos costumam esquecer ou relevar envolve um colaborador que usa o computador de um colega de trabalho e lê arquivos confidenciais sem a devida permissão. O acesso não é intencional e nenhuma informação é compartilhada. No entanto, como foram visualizados por uma pessoa não-autorizada, os dados são considerados violados;

• Um funcionário mal-intencionado: nesse caso, a pessoa acessa e/ou compartilha propositalmente dados com a intenção de causar danos a um indivíduo ou empresa. O usuário mal-intencionado pode ter autorização legítima para usar os dados, mas a intenção é usar as informações de forma escusa;
• Dispositivos roubados ou perdidos: um notebook, celular ou HD externo não-criptografado e desbloqueado – qualquer coisa que contenha informações confidenciais, na verdade – desaparece ou é roubado, e um terceiro tem acesso às informações neles contidas;
• Pessoas maliciosas de fora: finalmente, aqui temos os hackers que usam vetores de ataque para roubar informações de uma rede ou de um indivíduo.

Os métodos utilizados para violação de dados

Obviamente, cada ataque tem suas particularidades, variando conforme os objetivos de cada indivíduo e gravidade da violação. Porém, comumente, as etapas envolvidas em uma operação de data breach são:

1. Pesquisa: o cibercriminoso procura pontos fracos na segurança da empresa (pessoas, sistemas ou rede);
2. Ataque: O cibercriminoso faz contato inicial, usando um vetor de ataque;
3. Extração: Depois que o cibercriminoso entra em um computador, ele pode atacar a rede e abrir caminho até dados confidenciais da empresa. Uma vez que o hacker consegue extrair os dados, o ataque é considerado bem-sucedido.

Os infratores tendem a seguir esse padrão de ataque, ainda que planejem violação por violação. Afinal, o caminho até a joia da coroa é relativamente conhecido por eles e não costuma variar muito.

Os cibercriminosos estudam suas vítimas, para saber onde estão suas vulnerabilidades, como falhas em atualizações de software ou suscetibilidade dos colaboradores a campanhas de phishing.

1. Depois de conhecerem os pontos fracos de um alvo, eles desenvolvem uma campanha para convencer os usuários a baixarem malwares por engano, ou tentam penetrar diretamente na rede.
2. Uma vez lá dentro, os invasores têm a liberdade de procurar os dados que desejam e muito tempo para fazê-lo, pois a violação média leva mais de cinco meses para ser detectada.

Dentro desse esquema mais genérico, temos as variações dos métodos de ataque. Alguns destaques são:

Credenciais roubadas: a grande maioria das violações de dados é causada por credenciais roubadas. Se os cibercriminosos tiverem uma combinação de nome de usuário e senha de um de seus colaboradores, eles terão uma porta aberta na sua rede. Pior ainda: como a maioria das pessoas reutiliza senhas, os criminosos cibernéticos podem acessar e-mails, sites, contas bancárias, arquivos na nuvem e outras fontes de informações financeiras ou de informações pessoais através de uma única credencial roubada.

• Recursos comprometidos: vários ataques de malware são usados para negar as etapas regulares de autenticação que normalmente protegem um computador, liberando mais facilmente o caminho até os dados de interesse.
• Fraude no pagamento: os escumadores de cartão, por exemplo, invadem caixas eletrônicos ou dispositivos de pagamento (maquininhas de cartão) e roubam dados sempre que um cartão é passado.
• BYOD (bring your own device): quando os funcionários levam seus próprios dispositivos para o local de trabalho, ou para coworkings, por exemplo, é fácil para equipamentos desprotegidos fazerem o download automático de aplicativos carregados de malware que fornecem aos hackers uma abertura para roubar os dados armazenados no dispositivo. Esses dados geralmente incluem e-mail e arquivos de trabalho, bem como as informações de identificação pessoal do proprietário do dispositivo.

Ou seja, não faltam recursos para cibercriminosos causarem dano que desejarem através de uma violação. Faz sentido, uma vez que as frentes de proteção são as mesmas de ataque. Pouco a pouco, os agressores vão ganhando permissões administrativas para rodar códigos maliciosos nos endpoints das vítimas, danificando ou tomando controle e, então, sem muito esforço, conseguem ganhar acesso à joia da coroa.

Para combater esses ataques, é preciso pensar que o cibercrime evolui em paralelo com as soluções tecnológicas que possibilitam vivermos em um mundo cada vez mais conectado. Todas as superfícies de ataque – redes corporativas, colaboradores remotos usando endpoints da empresa, serviços na nuvem, dispositivos móveis dentro ou fora da empresa – e todos os vetores de ataque – endpoints, e-mail, websites – devem ser protegidos no intuito de se evitar uma violação.

[sc name="crimes_ciberneticos"]

Porque você deveria se preocupar com um possível vazamento de dados

Se você ainda não está convencido da seriedade e importância de se evitar o vazamento de dados, coloque-se no lugar do titular de dados. E considere que a lei busca garantir os seguintes direitos a você:

Confirmação e acesso:

Você pode solicitar a confirmação da existência de um tratamento e acesso aos seus dados pessoais, a razão pelas quais eles são armazenados, a origem da informação e quais os critérios de uso da empresa. Aqui também é possível descobrir quando seus dados não estão presentes na organização.

Correção:

Você tem o direito de solicitar que dados incompletos, desatualizados ou incorretos sejam prontamente corrigidos.

Anonimização, bloqueio ou eliminação:

Será possível solicitar que os dados sejam totalmente desvinculados das informações de reconhecimento pessoal (anonimização), suspensão temporária da operação de tratamento dos dados ou a exclusão de algo específico ou um conjunto de coisas dentro do banco de dados de uma organização, especialmente quando considerados desnecessários para a utilização da empresa.

Portabilidade:

É possível solicitar a transferência de dados pessoais para outros fornecedores, serviços, produtos (e até mesmo internacionalmente).

Revogação de Consentimento:

É possível revogar a qualquer momento o consentimento de uso de seus dados pessoais tratados, pois mesmo após a autorização você ainda possui os mesmos poderes sobre eles.

Eliminação:

Sim, você pode manifestar o direito de pedir para que seus dados pessoais tratados, mesmo após consentimento anterior, sejam eliminados.

Compartilhamento:

Você tem o direito de saber informações sobre todas as entidades – públicas ou privadas com as quais suas informações pessoais são compartilhadas.

Explicação:

Você tem o direito de obter informações sobre as possibilidade e consequências de não fornecer o consentimento sobre determinadas ações de tratamento de dados pessoais.

Oposição:

Você pode negar o tratamento dos dados pessoais quando o processo é realizado de maneira ilegal – fora de compliance com a LGPD.

Revisão de decisão automatizada:

O titular dos dados pessoais tem o direito de solicitar informações sobre quais os critérios e processos utilizados na tomada de decisão da estrutura automatizada. Decisões como definição de perfil, profissional, consumo e de crédito são algumas das que afetam diretamente os interesses do titular.

Com todos esses direitos concedidos, o titular de dados passa a ter maior controle em relação aos próprios dados, mas para isso, as empresas precisam mostrar que também tem controle suficiente sobre as suas operações e no processo de tratamento de dados para poder garantir cada um dos itens acima.

Quanto custa um vazamento de dados

Aqui seguimos com alguns dados importantes para entender a dimensão de um vazamento de dados.

Para começar, o mercado brasileiro teve um crescimento de 10,5% de recorrência desse tipo de ataque em 2020, o que é de fato preocupante para o mercado, e a tendência é que esse número seja ainda maior em 2021, considerando que vivemos a continuação de uma crise que se iniciou no ano anterior.

O roubo de dados, vazamento, data breach (como preferia chamar), está entre um dos crimes mais sérios que uma empresa pode sofrer, e essa violação pode custar até R$5,88 milhões para a empresa-alvo, sendo o setor financeiro o mais vulnerável a esse tipo de incidente. A informação parte de pesquisas realizadas pela IBM Security e pelo Instituto Ponemon.

O levantamento também reforça o fato de que as empresas estão mais vulneráveis a vazamentos de dados durante a pandemia, assim como estamos vulneráveis a outros crimes cibernéticos enquanto não houver uma estrutura robusta capaz de nos proteger nos diferentes dispositivos e práticas adequadas.

Mas algo interessante sobre isso, é que empresas que optaram pela implementação de inteligência artificial nos sistemas de trabalho enfrentaram menos ocorrências.

A verdade é que em casos mais graves, um vazamento de dados pode gerar despesas de até R$ 2 bilhões, e no âmbito global, o custo médio gira em torno dos R$20 milhões, ou até R$24,6 milhões caso a perda de dados envolva os dados de funcionários.

Que empresa quer passar por isso, além de todas as questões enfrentando a reputação.

Leia também

• Os crimes cibernéticos mais perigosos de 2021: conheça cada um deles
• Quais os principais vetores de ataques cibernéticos
• Conheça a história de empresas que já enfrentaram ataques cibernéticos

O que pode acontecer quando os dados de uma empresa são vazados

A empresa de segurança americana “The AME group” listou quatro das principais consequências sofridas por empresas que sofrem com o vazamento de dados, de maneira aleatória.

A fim de organizarmos as informações, decidimos reproduzir as consequências em uma ordem de impacto que fizesse mais sentido:

• Danos à reputação da marca

Toda empresa luta para que sua marca seja reconhecida em seu mercado de atuação como a melhor, e uma perda de danos é algo que pode rapidamente prejudicar a reputação já construída. Esse tipo de ocorrência terá uma visibilidade ainda maior com a LGPD, incluindo todas as consequências adicionais.

• Furto de propriedade intelectual

Nenhuma empresa quer ter seus próximos lançamentos expostos antes da hora, ou seu planejamento futuro divulgado na rede de internet, mas o furto da propriedade intelectual, e por aqui incluímos dados importantes para a empresa.

• Cibervandalismo

Alguns criminosos podem ir além dos ataques explícitos contra as empresas e implementar códigos e informações maliciosas na vítima, as quais não são descobertas imediatamente e podem causar constrangimentos futuros. Isso é chamado de cibervandalismo, pois a intenção maior gira em torno do ano de “sacanear”.

• Queda nos Lucros

Com a reputação da marca comprometida, é bem provável que os resultados dos próximos anos não sejam a mesma coisa, ao menos até a empresa ser capaz de se recompor, e com isso existe grande possibilidade de queda nos lucros das empresas que sofrem com isso em relação a períodos semelhantes anteriores.

Estima-se que isso ocorra em cerca de 29% das empresas afetadas por um vazamento de dados, e desse número, mais de 38% pode sofrer prejuízos superiores a 20%.

[sc name="newsletter"]

Qual a duração de um vazamento de dados

Quanto tempo leva para uma empresa construir uma presença relevante no mercado?

Embora as respostas para a pergunta acima possam variar bastante, o mesmo não é aplicado ao título desse tópico, pois na verdade, um vazamento de dados pode ocorrer tão rápido quanto o tempo que você tomaria lendo este artigo.

Isso mesmo.

Um vazamento de dados planejado pode ocorrer em apenas alguns minutos, a ação rápida de cibercriminosos é necessária para garantir que o alvo não tenha tempo suficiente para responder ao ataque.

Pode ser o tempo de você ir buscar um café e retornar a sua mesa de trabalho.

Estudos da CNBC, realizados ao longo de 2016, indicam que cerca de 93% dos ataques hackers bem sucedidos ocorreram em menos de um minuto, e cerca de 80% deles não foram reconhecidos imediatamente. E isso sem contar os possíveis zero-days.

Já uma outra pesquisa do mesmo ano, desta vez da Business Insider, revela que executivos já consideravam a possibilidade de pequenos ataques contra suas empresas algo preocupante.

E olhando o cenário atual, de pelo menos 4 anos depois, aprendemos mais uma vez que a melhor maneira de se proteger contra ataques cibernéticos e se prevenindo de ameaças antes mesmo de elas representarem um grande perigo.

Proteja-se dos ataques cibernéticos mais perigosos do ano

Os ataques cibernéticos não descansam, e a segurança de sua empresa também não pode ser interrompida. Conte com os serviços da Compugraf para que a sua empresa possa liderar com ideias, novos formatos, e se preocupar com o que de melhor a tecnologia tem a oferecer.