Em meados de setembro (2022), o Banco Central confirmou o quarto vazamento de informações relacionadas à chave PIX, desde o lançamento do meio de pagamentos em fevereiro de 2020. Na época, entre 1º de julho e 14 de setembro, cerca de 137 mil dados de natureza cadastral, sob a guarda e a responsabilidade da ‘Abastece Aí’, foram expostos em virtude de ‘falhas pontuais em sistemas da instituição de pagamento’ - de acordo com o BC. Mais recentemente, a ‘Porto Saúde’ divulgou uma nota na qual se dizia ciente sobre a exposição indevida de dados de algumas das empresas parceiras. Na última quinta-feira de novembro (24), de acordo com a investigação do Cybernews, quase 500 milhões de números de celular de usuários do WhatsApp estavam à venda na deep web. Ao todo, 84 países foram afetados pelo vazamento, sendo o Brasil o 20º da lista, com 8 milhões de números vazados. Por fim, listo - a título informativo - o vazamento de dados que expôs 5,4 milhões de contas do Twitter no início do ano e que, agora, foram novamente expostos em um fórum de hackers, de acordo com o BleepingComputer.
Percebe-se a ocorrência em várias fontes e o Brasil
está na 12ª posição do ranking de países mais atingidos. No ano de 2018 foram
registrados três grandes incidentes; em 2019, o número chegou a 16 - um aumento
de 493%, segundo pesquisa do MIT (Massachusetts Institute of Technology). Já em
janeiro de 2021, 223 milhões de dados pessoais foram vazados e, no mês
seguinte, 102 milhões de contas de celular caíram na rede. Pelos dados da
holandesa Surfshark, empresa de segurança cibernética, estima-se que 455
brasileiros tenham seus dados expostos na internet a cada minuto. O que
corrobora para os cerca de 3,2 milhões de pessoas que, apenas no segundo
trimestre de 2022, tiveram informações como RG, CPF, CNH, registros bancários,
números de celular e outros documentos vazados no país. Diante das comunicações
que garantem a segurança da operação, você sabe porque esses eventos acontecem?
Para explicar este contexto, faço uma analogia com
uma empresa responsável por transportar valores em carro forte. Considere um
banco com cofres, sistema de segurança e equipe devidamente treinada e
fortemente armada em carros-fortes blindados. Vê como há todo um aparato para
garantir que o transporte seja feito da maneira mais segura possível? Assim
também ocorre com a montagem da governança e a segurança do processo de tráfego
de dados. As empresas montam seus sistemas com firewall, criptografia e uma
malha de cibersegurança que garante que o perímetro esteja seguro para
manuseio, uso e transporte de dados, sempre respeitando a LGPD (Lei Geral de
Proteção de Dados, promulgada para proteger os direitos fundamentais de
liberdade e de privacidade e a livre formação da personalidade de cada
indivíduo). Entretanto, assim como ocorre com as empresas de carro-forte, o
risco não está apenas no transporte, mas nos inúmeros elementos que precisam
ser previstos e monitorados ao longo do trajeto com o intuito de que todas as
pessoas, rotinas e processos estejam alinhados e seguros, sem falhas nas
barreiras de proteção.
No entorno da segurança de dados ocorre o mesmo. O
risco não está somente no transporte dos dados entre as empresas. Cada pessoa,
sistema, banco de dados e os demais elementos de todas as empresas envolvidas
na operação precisam estar sob uma governança de segurança de dados que garanta
que nenhuma tentativa de invasão seja bem-sucedida, que os acessos às
informações e aos bancos de dados estejam somente com as pessoas responsáveis e
que os procedimentos sejam seguidos rigorosamente por todos os funcionários
(que devem estar bem e regularmente treinados) para que este tipo de ocorrência
seja infrutífera. Em caso de alguma inconformidade, o sistema torna-se
suscetível e tal vulnerabilidade é maior à medida que a preocupação e
governança de segurança de dados é menor. Falhas humanas, na política de acesso
a um sistema ou base de dados, assim como falhas no armazenamento da informação
ou na segurança de algum equipamento da rede interna da empresa (como notebook,
impressoras wi-fi, drives de DVD, pen-drives etc.) são alguns exemplos que
culminam no vazamento de informações.
Tendo em vista que essas são as principais causas,
existem algumas maneiras de prever e, consequentemente, mitigar as chances
dessas falhas ocorrerem. O primeiro passo é contar com uma governança de
segurança de dados bem estruturada, ativa e proativa para a criação de uma
malha de cibersegurança. A segunda dica é potencializar treinamentos e
simulações de situações que poderiam colocar a empresa em risco. No que tange a
falha de acesso, a governança atua na definição de permissões para cada usuário
e o nível de confidencialidade da informação que ele pode acessar. Já para
mitigar a falha no armazenamento da informação, a governança define quais
informações podem ser extraídas do perímetro seguro e quais podem ser
manuseadas em áreas individuais. Por fim, as falhas de segurança dos
equipamentos internos podem ser minimizadas com uso de firewall e antivírus
sempre habilitados e atualizados, incluindo realização recorrente de testes
preventivos que simulem possíveis ataques externos.
Resumindo, é a governança quem cria uma malha de
cibersegurança para, essencialmente, garantir que o perímetro de
segurança seja definido e assertivo em torno da identidade de uma pessoa ou
elemento. Quando tal governança não está bem estruturada, abre-se precedentes
para notícias como as supracitadas.
Kendji Wolf - ocupa o cargo de Diretor Executivo da Qads.
Formado em estatística pela UNICAMP, com pós-graduação em Marketing pela FGV,
MBA pela Fundação Dom Cabral com especialização no IEDE (Barcelona) e Internet
of Things no MIT. Com mais de 20 anos trabalhando com Analytics, Machine Learning,
Big Data, IA, conquistou sua carreira em empresas como VIA, Santander,
Telefônica/Vivo, Bank Boston e TIM. É também professor do curso de Analytics
aplicado a BIG DATA na PECE-POLI (USP) e do MBA em Customer Experience na SEDA
Executive Education.
Nenhum comentário:
Postar um comentário