Como lidar com uma violação de dados

Dificilmente passa uma semana sem que uma violação de dados chegue aos cabeçalhos dos jornais. Os cibercriminosos normalizaram o phishing e o resultado são grandes quantidades de dados roubados.

Um relatório recente do organismo do sector da segurança A ISACA revela que menos de um quarto dos consumidores britânicos considera que as empresas protegem os seus dados pessoais. O relatório também aponta para o impacto real das perdas de dados, com quase metade dos consumidores a afirmar que já não negociaria com uma empresa que tivesse sofrido uma violação de dados.

A perda de dados significa perda de clientes, multas avultadas e danos na reputação. É importante saberes como lidar com uma violação de dados quando ela acontece.

Eis as nossas dicas de boas práticas para lidar com uma violação de dados.

Informações pessoais e proteção de dados

Os dados pessoais são tudo o que pode ser utilizado para identificar uma pessoa. Por exemplo, nome, morada, idade, endereço de correio eletrónico, número de telefone, etc. Estes dados são como ouro em pó para os cibercriminosos e correm o risco de uma simples exposição acidental.

Os dados pessoais devem ser protegidos de acordo com vários regulamentos sobre proteção de dados e privacidade. Por exemplo, o Reino Unido  A Lei de Proteção de Dados de 2018 (DPA2018) descreve as regras de proteção de dados para garantir a segurança dos dados pessoais. Os princípios básicos da DPA2018 são que os dados devem ser:

• Utilizada de forma justa, legal e transparente
• utilizados para fins específicos e explícitos
• Utilizada de forma adequada, pertinente e limitada apenas ao que é necessário
• precisas e, se necessário, actualizadas
• conservados apenas durante o tempo necessário
• tratados de forma a garantir a segurança adequada, incluindo a proteção contra o tratamento, acesso, perda, destruição ou danos ilegais ou não autorizados

A DPA 2018 é por vezes comparada com o RGPD da UE. Como tal, a DPA 2018 é também referida como o RGPD do Reino Unido. Existem algumas diferenças entre a DPA 2018/RGPD do Reino Unido e o RGPD da UE, como o facto de o tratamento de dados criminais ser menos rigoroso no Reino Unido. Além disso, as razões legítimas para a definição de perfis são menos rigorosas no Reino Unido do que na UE.

No entanto, ambas exigem que os dados pessoais sejam protegidos e, em caso de violação, devem ser cumpridas determinadas condições pós-violação. Isto inclui regras de notificação de violações e potenciais coimas por incumprimento.

Como é que uma violação de dados acontece?

Sempre que os dados são criados, armazenados, partilhados ou utilizados, correm o risco de serem roubados ou acidentalmente expostos. Uma variedade de ameaças cibernéticas causam violações de dados, incluindo:

• Phishing – os fraudadores roubam dados diretamente através de sítios Web maliciosos. Em alternativa, os cibercriminosos utilizam o spear phishing para roubar credenciais de início de sessão. Estas credenciais são depois utilizadas para obter acesso a redes e aplicações empresariais. Até mesmo  As credenciais de pessoal sem privilégios podem levar a invasões de bases de dados e a violações maciças de dados.
• Engenharia social – os cibercriminosos enganam os empregados para que estes forneçam dados pessoais que depois utilizam para cometer outros crimes. Os autores de fraudes utilizam muitos meios para levar a cabo a engenharia social, incluindo telefonemas e redes sociais. Estes ataques podem acabar por conduzir a violações de dados mais significativas.
• Componentes Web mal configurados – simples erros de configuração podem deixar os servidores Web e as bases de dados abertos aos piratas informáticos.
• Vulnerabilidades de software – as falhas no código do software podem deixar as bases de dados, os servidores Web e outro software vulneráveis a um ataque. Muitas vezes, as vulnerabilidades do software são utilizadas com outros vectores de ataque, como o phishing, para instalar malware, como o ransomware. Isto leva a violações de dados mais significativas.
• Infeção por malware – todas as técnicas e tácticas acima referidas podem resultar em infeção por malware. Por exemplo, o malware pode levar à exfiltração de dados para um cibercriminoso que está à espera de os colocar à venda num mercado da dark web. Ou pode levar a uma infeção por ransomware. Muitas vezes, o ransomware rouba dados antes de os encriptar e tentar extorquir.
• Violações acidentais de dados – os dados pessoais não estão apenas em risco devido aos cibercriminosos. A exposição acidental de dados é uma forma de violação de dados que pode resultar de simples erros e acções descuidadas.

O relatório The Cost of a Data Breach 2022 da IBM concluiu que:

• Os principais vectores de ataque que causam uma violação de dados: credenciais roubadas ou comprometidas (19% das violações), phishing (16% das violações) e má configuração da nuvem (15% das violações). Todos estes vectores podem ser causados por erro humano; por exemplo, um funcionário não se apercebe de que está a ser vítima de phishing e clica numa ligação maliciosa que conduz a credenciais roubadas.

Números semelhantes foram obtidos no Relatório de Investigação de Violação de Dados da Verizon para 2022:

• 82% das violações envolvem um ser humano, por exemplo, que clica numa hiperligação de phishing numa determinada altura do ataque.
• 62% das violações de dados utilizam fornecedores da cadeia de abastecimento. Mais uma vez, os atacantes utilizaram tácticas de engenharia social para visar fornecedores terceiros e atacar empresas mais a montante na cadeia.

Os danos que os hackers podem causar

Os autores de fraudes utilizam informações pessoais para perpetuar uma série de cibercrimes. Por exemplo, a usurpação de identidade: o crime mais comum no Reino Unido  A Base Nacional de Dados sobre Fraudes do CIFAS registou um aumento de 11% nos casos de roubo de identidade no primeiro semestre de 2021. Além disso, o CIFAS registou um crescimento ainda mais significativo em 2022, com os casos de roubo de identidade a aumentarem um terço em relação aos números de 2021.

A usurpação de identidade conduz a perdas financeiras para os indivíduos e as empresas que lidam com o autor da fraude por detrás da identidade roubada. Assim, as empresas e os indivíduos do Reino Unido perdem cerca de 4 mil milhões de libras por ano devido a fraudes relacionadas com a identidade.

O relatório “The Cost of Data Breaches” apresenta as provas do impacto de uma violação de dados:

• O custo médio de uma violação de dados em 2022 foi de 4,2 milhões de dólares (3,8 milhões de libras)

O custo de uma violação de dados inclui:

• Custos de reparação dos danos diretos nos sistemas informáticos
• Danos à reputação
• Coimas por incumprimento da regulamentação
• Danos aos clientes; muitas vezes, as violações de dados podem levar a acções colectivas
• Despedimento de pessoal e problemas de moral
• Potencial fuga de propriedade intelectual ou de segredos da empresa.

O que fazer no caso de uma violação de dados

Qualquer organização que sofra uma violação de dados deve ter um plano sólido para atenuar o impacto. Aqui tens algumas ideias e dicas sobre como lidar com uma violação de dados:

Mantém a calma

Aconteceu uma violação de dados pessoais: gerir a situação é fundamental para conter o evento e minimizar o impacto. Mantém a calma e resolve os problemas.

Avalia os danos

A investigação da ocorrência é uma tarefa sensível ao tempo. Tens de informar as autoridades se a violação preencher os critérios necessários para a tornar uma violação notificável. Por exemplo, no Reino Unido, a  O Information Commissioner’s Office (ICO) deve ser informado no prazo de 72 horas após a descoberta de uma violação de dados.

Investiga o incidente

Regista todos os factos relacionados com o incidente à medida que os fores descobrindo. É essencial que registe os acontecimentos e inclua os danos. Este registo pode ser utilizado como prova se o caso for parar ao tribunal.

Contém a violação

Podes desenvolver uma estratégia de contenção de violações à medida que avalias os danos e registas o que aconteceu. As medidas de contenção dependem do tipo de incidente que ocorreu. Por exemplo, um ataque de ransomware exigirá medidas de contenção mais técnicas do que uma entrega incorrecta de um e-mail com dados de clientes. O tipo de medidas para conter os diferentes tipos de incidentes deve ser cuidadosamente delineado numa  política de segurança.

Avalia o risco

Avalia até que ponto a violação de dados foi prejudicial para as pessoas envolvidas. Por exemplo, existe um risco de roubo de identidade ou alguém pode estar em risco de sofrer danos físicos? Compreender o nível de risco ajudará a orientar a tua empresa para uma resposta adequada.

Responde ao incidente

A resposta a um ciberataque tem muitos níveis. Inclui lidar com as consequências da perda de dados pessoais do ponto de vista das pessoas afectadas. Significa também que a tua organização tem de reavaliar a sua postura de segurança. Vê onde falharam as medidas existentes. Precisas de mais formação regular em sensibilização para a segurança? Estás a utilizar a encriptação de forma adequada? Uma resposta ponderada analisará toda a cadeia de eventos do incidente para que possas reforçar a segurança da tua empresa.

Medidas que ajudam na resposta a uma violação de dados

Uma violação de dados pode causar danos incomensuráveis a uma organização. No entanto, como já foi referido, o fator humano na cadeia de acontecimentos que conduz a uma violação de dados é onde podem ser feitas verdadeiras mudanças.

Os resultados do relatório da ISACA comprovam a eficácia da formação em segurança. O relatório regista que 80% das organizações afirmaram que  A formação em sensibilização para a segurança beneficia positivamente a sensibilização dos trabalhadores.

Ao utilizar a formação de sensibilização para a segurança do pessoal como uma medida fundamental na luta contra os ciberataques, uma organização pode evitá-los. Se acrescentarmos medidas como a encriptação de dados e a autenticação robusta a esta formação em matéria de segurança, a probabilidade de ocorrer uma violação de dados maliciosa ou acidental é muito menor.