Nos últimos meses, o Brasil passou pelos seguintes casos de vazamentos de dados: mais de 160 mil chaves PIX expostas; dados dos cartões de crédito de 227 mil pessoas foram disponibilizados na Dark Web, e; vazamento do Conecte SUS, que revelou os dados de 2,4 milhões de brasileiros. Graças a esses e outros casos, segundo a empresa Surfshark, o Brasil terminou o ano de 2021 em sexto lugar na lista de países mais atingidos por vazamentos no mundo.
Embora a LGPD tenha sido já aprovada, ainda não vemos uma atuação efetiva nesse sentido, como no caso do Conecte SUS, a ANPD (Autoridade Nacional de Proteção de Dados) não havia se posicionado até a data de fechamento deste artigo (01/02/2022).
Contudo, o vazamento de dados não é um problema exclusivamente brasileiro, e a pandemia intensificou a quantidade de golpes. Somente entre 2020 e 2021, houve um aumento de 400% nos ataques. Com isso, as perdas financeiras, que eram de US$3 trilhões em 2015, estão projetadas para US$10,5 trilhões em 2025.
Com golpes e fraudes cada vez mais sofisticados, será feito aqui um apanhado das principais ameaças cibernéticas com as quais tomar cuidado em 2022, o que fazer para evitá-las e como lidar com elas, caso o ataque já tenha ocorrido.
Fique de olho nas principais ameaças cibernéticas para este ano
- Ransomware: acontece quando um sistema é invadido e dados e informações são sequestrados, com o objetivo de se exigir o resgate. Esse ataque ocorre através de anúncios, sites, e-mails e links. Uma vez no sistema, o golpista responsável criptografa as informações e arquivos e bloqueia o acesso aos dados.
- Infostealers: é um malware que coleta diversos tipos de dados da vítima. Segundo a Check Point, 5,25% das empresas brasileiras foram vítimas desse tipo de ataque em 2021.
- Web skimmers: ainda não se sabe por completo como esse ataque funciona. O que se sabe até o momento é que ele é realizado através da infiltração de códigos maliciosos em sites de e-commerce com o objetivo de roubar dados de cartões de crédito.
- Phishing com deepfake: consiste em mensagens com links maliciosos, nos quais o golpista se faz passar por um funcionário da empresa e envia áudios e vídeos falsificados. Empresas em regime de home office são os alvos principais desse tipo de ataque.
- Malware em celulares: 46% das empresas no mundo todo tiveram que lidar com algum funcionário que acabou baixando um malware através de um aplicativo em 2021. Com tantas pessoas trabalhando de celulares, dados da empresa acabam se tornando mais vulneráveis.
- Criptomoedas: existe o risco de criminosos instalarem malwares através de links maliciosos e sequestrarem a CPU para minerar criptomoedas, o que pode danificar o computador e aumentar a conta de luz. Ademais, existe o risco de criminosos se passarem por empresas que dizem fazer investimentos em criptoativos.
- QR Code: realizar pagamentos via QR Code é uma prática cada vez mais comum com a popularização do PIX, e o risco que isso traz é o de dados do cartão serem roubados. Para evitar é importante verificar a conta que irá receber o pagamento através do código escaneado pelo celular.
Conheça os serviços de E-Discovery e Segurança Digital da Bi2 Partners. Se preferir, entre em contato direto: [email protected] | +55 11 96476-9418.
O que fazer para evitar essas ameaças?
- Contratar um software profissional e mantê-lo atualizado: novas versões de sistemas – como o Windows 11 (Microsoft) e o OS Monterey (Apple) – estão sendo lançadas, o que significa que há um “prazo de validade” para os browsers e demais sistemas de operação e serviços. Inclusive, há uma lista de end of life systems na Microsoft e na Apple.
- Usar VPN e tela de privacidade: VPNs servem para proteger a conexão de hackers, e as telas de privacidade podem proteger a navegação dos olhares de pessoas curiosas, ainda mais levando em consideração que cada vez mais pessoas aproveitam o home office para trabalhar em locais públicos, como cafeterias, o que pode deixar as informações da empresa expostas.
- Manter a equipe atualizada: um bom programa de compliance, com controles internos firmes, pode ajudar os funcionários a não transferir os vírus para os servidores da empresa. Também é importante que o programa de compliance e as políticas internas sejam reforçados continuamente.
- Contratar um especialista em segurança digital: esse especialista não é um profissional de TI responsável por essa área da empresa. Ele é parecido com um hacker, pois consegue encontrar falhas na segurança. Por isso, deve trabalhar com o responsável pela área de TI para tapar as brechas encontradas.
Quais são as perguntas a serem feitas para lidar com um vazamento de dados?
Quais são as áreas de risco da empresa?
Onde estão as “joias” da empresa? Quais são os ativos? A resposta a essas perguntas indica quais são os possíveis alvos da empresa e os riscos resultantes com os quais ela pode sofrer. Nesse sentido, é importante revisar os sistemas e os processos para chegar a essas áreas, bem como organizar um time multidisciplinar para que seja mais fácil a identificação.
Como realizar o treinamento em segurança digital?
O treinamento deve ocorrer com regularidade e feito em reuniões com a equipe, sejam elas online ou presenciais, e encorajar os envolvidos a citar casos em que perceberam uma brecha para um golpe ou uma fraude, como um e-mail ou áudio suspeito, por exemplo.
Como fazer uso de um protocolo de segurança de senha?
Usando senhas complexas, com letras, números, caracteres especiais e espaço, sem esquecer de criar uma senha para cada plataforma e de não as deixar expostas onde podem ser vistas, o que inclui não salvar uma cópia no desktop.
Quem são os stakeholders em caso de ataque?
O ideal é ter uma equipe para lidar com possíveis ataques e que seja formada por: TI, compliance, gestão de risco, jurídico, liderança executiva e membros do conselho. Além de uma equipe externa, composta por investigador forense, advogados, consultores e um relações públicas.
Existe um Plano de Resposta a Incidentes?
Se sim, esse Plano deverá ser testado com regularidade; se não, ele deverá incluir os seguintes pontos: papéis e responsabilidades, detecção e análise, contenção, resposta e análise pós-acidente. Ainda, ele deverá estar alinhado com as prioridades da organização e com o perfil de risco.
Há uma revisão da apólice de seguro cibernético?
Se acontecer um ataque, o que será retirado da apólice para ajudar a mitigar as consequências?
Qual é a segurança digital adotada pela supply chain?
Esse é um dos pontos mais importantes e que mais passam despercebidos: muitos dados são vazados a partir de terceiros. Então, conhecer a segurança digital adotada pela supply chain é essencial para não acabar prejudicado também. Já no ato da contratação, coloque junto a um advogado uma cláusula para compensação e um acordo de nível de serviço.
Conclusão
Sites como “Minha Senha”, “Have I Been Pwned” (em inglês) e o Registrato, do Banco Central, monitoram se algum dado seu foi vazado. Embora a informação seja particular, ela pode trazer consequências para a empresa, pois, se um funcionário foi hackeado, dados da empresa podem ser atingidos e, consequentemente, o de mais e mais pessoas.
Já foi dito em outros artigos sobre o assunto que, infelizmente, ainda iremos lidar com muitos vazamentos. A demora na aprovação da LGPD e os passos lentos com os quais ela caminha para se tornar 100% eficaz aqui no Brasil fazem com que as empresas acabem tendo que tomar medidas por conta própria. Muitas dicas dadas acima já são adotadas nos EUA e na Europa, e têm trazido bons resultados. Logo, as empresas brasileiras que seguirem essas recomendações estarão em um bom caminho.
Conheça os serviços de E-Discovery e Segurança Digital da Bi2 Partners. Se preferir, entre em contato direto: [email protected] | +55 11 96476-9418.
Referências
BANDEIRA, Katarina. Especialistas explicam por que estamos vulneráveis na Internet e o que fazer para proteger seus dados. Folha de Pernambuco, 31 de janeiro de 2022. Disponível em: https://www.folhape.com.br/colunistas/tecnologia-e-games/especialistas-explicam-por-que-estamos-vulneraveis-na-internet-e-o-que-fazer-para-proteger-seus-dados/29400/.
LAWCADIA. 7 Cyber Security Tips for In-House Lawyers. Lexology, 27 de janeiro de 2022. Disponível em: https://www.lexology.com/library/detail.aspx?g=2cd69b57-dc12-4409-a761-f01c5050f0b3.
LEIPOLD, Stefan. Four Tips for Adjusting Your Cybersecurity Strategies in 2022. Forbes, 11 de janeiro de 2022. Disponível em: https://www.forbes.com/sites/forbesbusinesscouncil/2022/01/11/four-tips-for-adjusting-your-cybersecurity-strategies-in-2022/?sh=18db37fb7434.
PRADO, Filipe. Segurança digital: especialistas apontam as 7 maiores ameaças para 2022. Istoé Dinheiro, 3 de janeiro de 2022. Disponível em: https://www.istoedinheiro.com.br/seguranca-digital-especialistas-apontam-as-7-maiores-ameacas-para-2022/.