Da LGPD até a Inteligência artificial, o ano de 2021 continua com muitos desafios para a área de segurança da informação (SI). Isso sem falar do Covid!
Que a pandemia colocou a área de cibersegurança sob os holofotes da mídia estamos carecas de saber. Ano passado tivemos casos de Ransomware na Capcom, Credential Stuffing no Spotify e tivemos o megavazamento de 220 milhões de dados do SERASA no início deste ano. Esses são só alguns dos vários casos que ocorreram nos últimos 2 anos.
Mas a proteção de dados vai além disso, por isso separamos 7 desafios da segurança da informação em 2021. Pois a área de segurança da informação é vasta e o blog Deep Space está aqui para te ajudar a encontrar a proteção digital que sua empresa precisa!
Essa parte é pra você mostrar pros pais, amigos e superiores sempre que te perguntarem: o que você faz?
Quando falamos em segurança da informação, hacker ou cibersegurança, a imagem que imaginam é o Neo no início de Matrix, um cara, com um computador, contra toda a internet. E não é por aí que a banda toca. O objetivo da segurança da informação é a proteção de dados em todas suas formas, dos bancos de dados digitais, até uma senha escrita em um pedaço de papel.
Como o Deep Space foca em tecnologia, concentramos as nossas dicas na parte mais digital da Segurança de Informação, conhecida como cibersegurança. Mas já fique ligado que a segurança de dados depende muito dos usuários e não só dos equipamentos.
Lei Geral de Proteção de Dados (LGPD):
2021 começou com a corrida das empresas para se adequar a LGPD. A Lei Federal 13.709/18, que passará a aplicar sanções financeiras a partir de agosto de 2021, esclarece as penalidades para empresas que violarem o sigilo dos dados que mantém sob sua custódia. Essa lei é de abrangência nacional, mas também poderá afetar dados que estejam localizados no exterior.
Mas como ela fará isso? Foi criada a ANPD: Autoridade Nacional de Proteção de Dados. A ANPD é responsável por aplicar multas aos infratores da Lei. Essas multas começam a partir dos 50 mil reais e chegam na casa dos milhões, aumentando a importância de se investir em um investir em um robusto sistema de proteção de dados e de monitoramento de vazamentos.
Sua empresa está preparada? Ainda dá tempo de entrar em conformidade com a LGPD, mas, proteger os dados e os consumidores é mais que seguir a lei, é proteger a imagem da empresa. Não é um investimento em cibersegurança e sim no negócio. E para manter o negócio a salvo, será fundamental estar em conformidade, atender a lei, proteger os dados e monitorar vazamentos, tendo um plano de reação estruturado caso isso aconteça.
Ransomware:
O ransomware não é novo, é um tipo de malware que não rouba os dados, e sim os criptografa, impedindo que você acesse seus dados, a menos que você pague um resgate por eles. Ransom é traduzível como resgate, e “ware” vem de Malware.
O problema dos ransomwares é tão grande que o Tesouro dos Estados Unidos já apontou regras de que o resgate de alguns tipos de ransomware não deve ser feito acionando um seguro. Um fator que agrava esse cenário é a criação de ransomware que não apenas bloqueia os sistemas, mas também rouba os dados que estão lá. Este tipo de programa é usado como chantagem para acelerar o pagamento do resgate.
E fica um alerta que nosso CEO, Fabio Ramos, deu: Os ataques estão aumentando no setor privado.
Para pensar: Preparar e treinar constantemente não só o time de segurança da informação, mas todas as áreas da empresa, para identificar e não abrir links e arquivos suspeitos é um desafio por si só. Além disso, criar protocolos para que seus colaboradores possam avisar de potenciais riscos de forma simples e, definir um plano de contingência para o acaso da sua empresa ser infectada também serão fundamentais para estar preparado para o desafio.
Engenharia Social:
Ao contrário da visão tradicional do hacker, um eremita digital, isolado em um porão escuro, sem contato humano, o engenheiro social é alguém que não estuda somente programação, mas também as relações humanas e a estrutura dos negócios.
A Engenharia Social trabalha com as falhas humanas no processo de segurança, então ela utiliza estatísticas de senhas mais comuns, vazamentos de informação*, dados que fornecemos nas nossas redes sociais (nome da mãe, dos bichinhos de estimação, serviços que utilizamos) para conseguir acessar nossos dados. A engenharia social é muito utilizada pelo Phishing, junto do Credential Stuffing* e dos já citados vazamentos de Informações*.
O xis da questão: Muitas empresas têm treinado os funcionários contra a engenharia social, mas esse não é um desafio apenas interno. É necessário comunicar e orientar os clientes e consumidores também. E pra isso, se manter atualizado sobre as técnicas e procedimentos dos cibercriminosos, não só em relação a sua marca ou segmento, é importantíssimo para reduzir os impactos da engenharia social. Você já pensou em monitorar a Dark Web e ficar atento aos que os cibercriminosos estão planejando?
Inteligência Artificial (I.A.):
Se o uso de Inteligência Artificial tem aumentado no nosso dia-a-dia, pode ter certeza que hackers e outros fraudadores também estão utilizando. Hoje em dia as I.A. são utilizadas em quase todas as fraudes.
A inteligência artificial é fundamental para a criação de Deepfakes*, podem ser usadas em ataques de phishing e para quebrar os melhores sistemas de segurança. Entender em que pé está o desenvolvimento das Inteligências Artificiais é fundamental para a proteção de dados e outros tipos de ataques.
Dica: Às vezes, as melhores formas de combater ameaças é usar fogo contra fogo. Usar a I.A para detectar perigos digitais, como os deepfakes, pode ser algo inviável a curto prazo para muitas empresas. Porém, já há soluções que usam I.A para combater cibercriminosos. De qualquer forma, treinar colaboradores ou comunicar clientes das práticas criminosas, sempre vai ter impacto positivo. O desafio é grande, e se torna maior à medida que os bandidos virtuais evoluem.
Deepfake:
O Deepfake se utiliza de técnicas de Deep learning para a criação de vídeos falsos (fake), daí que vem seu nome. Seu uso se tornou famoso quando vídeos falsos constrangedores de famosos e políticos apareceram na mídia. Para se criar um deepfake é necessário acesso a vários vídeos de seu alvo, o que antes só era possível com pessoas famosas, agora, graças às mídias sociais, é possível criar com quase qualquer pessoa.
Existem vários vídeos que explicam como são criados os deepfakes, um resumo seria, a utilização de redes neurais de computador para a criação de vídeos ou áudios com base em um banco de dados. Esses deepfakes podem copiar a aparência e a voz de uma pessoa, ou até criar uma pessoa que não existe. Essas Deepfakes podem ser usadas para Engenharia Social* e outras fraudes para ter acesso aos dados de uma pessoa ou empresa.
Dica: É possível treinar os colaboradores para identificar sinais que um vídeo seja falso, como movimentos bruscos, falta de sincronia labial ou mudanças bruscas no tom da pele. Consumidores também podem ser treinados. O ideal é que as empresas realizem esses treinamentos em conjunto com outras práticas, de cibersegurança, evitando até que a pessoa chegue até o vídeo deepfake.
Vazamento de dados:
Infelizmente nós, brasileiros, nos tornamos muito familiarizados com os vazamentos de dados, principalmente daqueles que acontecem em grande escala, como a exposição do CPF de 220 milhões de brasileiros no início deste ano.
Entretanto, existem outros vazamentos que são importantes para a Segurança da Informação. Da forma que falamos sobre o trabalho, até a forma como jogamos um documento fora, existem várias maneiras de expor informações. Por isso, é sempre importante só armazenarmos ou manipularmos o mínimo de informações possível e sempre destruir qualquer documento que contenha informações sigilosas.
Um ataque de Engenharia Social* bem feito pode levar a um vazamento de informações, criando um ambiente propício para outros tipos de ataque, como o Credential Stuffing*. Por isso é necessário conhecer o maior número de fraudes possíveis, pois não basta se proteger de apenas um dos itens dessa lista, vocês tem que tentar se proteger de todos.
Fique esperto: Nenhum sistema digital é 100% seguro até que esteja fora da tomada (e olhe lá!), então, além de ter sistemas e procedimentos que garantam a segurança do dado, sua empresa está pronta para identificar um vazamento? E mais, está pronta para fazer isso rapidamente? Se a resposta for não, esse desafio pode se tornar um grande pesadelo. Monitorar a internet em busca de dados vazados ou expostos, é parte fundamental não só para o desafio da LGPD, mas também para uma estratégia completa contra vazamentos.
Credential Stuffing:
Apesar do nome soar estranho em português, o Credential Stuffing é um dos ataques mais simples de se entender. Credential se refere às credenciais, isto é, ao nome de usuário e senhas que utilizamos para acessar sites, softwares e serviços diferentes. Stuffing, neste caso, é uma expressão que se refere a testes em massa. Ou seja, Credential Stuffing é o ato de testar uma mesma credencial em múltiplos sites e sistemas para ver se o usuário a repetiu.
Com o aumento dos vazamentos de informações e uma maior quantidade de senhas para lembrar, nos levando a repeti-las, tornam o Credential Stuffing em um problema cada dia maior. Por isso, repetindo o alerta, nunca foi tão importante lembrar seus clientes de trocar as senhas periodicamente, ativar a identificação em duas etapas e utilizar um gerenciador de senhas.
Ponto-chave: Criar formas de engajar seu cliente a se proteger, demonstrando com uso de senhas fortes, não repetidas e com trocas contínuas, é fundamental pra segurança dele. Pode não ser a tarefa mais fácil, mas se seu consumidor não usa senhas repetidas, o risco de credential stuffing é zero. Não menos desafiador que isso, é identificar que seu cliente teve uma senha comprometida e orientá-lo a trocar. O minhasenha.com é um recurso que pode ajudar o seu usuário.
Com o prazo final para as empresas se adequaram a LGPD* chegando, torna-se vital que as empresas comecem a trabalhar ou instaurar uma Cultura Organizacional de Proteção à Privacidade de Dados. Essa parece uma dica óbvia, mas a instauração dessa cultura organizacional vai além de contratos de confidencialidade e alguns treinamentos esporádicos. É necessário mostrar para todos que trabalham na empresa as consequências que um vazamento pode ter.
A cultura organizacional de proteção de dados tem que ir da Alta Direção até a mais simples das funções. Pensem em filmes de espionagem, quase nunca você vê o cartão do CEO da empresa sendo usado para invadir a companhia, normalmente usam o do funcionário que gosta de se exibir falando onde trabalha ou do faxineiro que ninguém percebe. Por isso que o treinamento tem que ser para todos, repito, TODOS!
Outro fator importante na criação de uma Cultura Organizacional de Proteção à Privacidade de Dados, é o engajamento dos colaboradores nos treinamentos e no dia-a-dia da empresa. Por isso é importante mostrar que a alta cúpula passa pelos mesmos treinamentos, mas também é interessante tornar o treinamento mais atrativo. Muitas empresas têm utilizado treinamentos gamificados para aumentar o engajamento nos treinamentos. Treinar já é um desafio enorme, mas manter o colaborador engajado na cultura, talvez seja a cereja do bolo dos desafios quando o assunto é proteção de dados.
A Segurança da Informação está repleta de desafios dos mais variados tipos, e essa lista ressalta apenas alguns que achamos importantes destacar, mas ela é só um começo. O mais importante é a criação de uma cultura de Segurança da Informação na sua vida, no seu trabalho ou empresa. As informações não são commodities para fraudadores, elas são parte da sua identidade e da identidade de uma marca que muitas pessoas ralaram para estabelecer.
A dica mais importante que eu aprendi estudando para escrever esse artigo é agir antes que o vazamento aconteça, antes que o malware se instale e antes que a sua empresa tenha que pagar uma alta multa na LGPD. Além disso, ter certeza de que você tem pessoas ao seu lado que sejam especialistas em Segurança da Informação.