O QUE É UM VAZAMENTO DE DADOS?

-


O vazamento de dados corresponde a um incidente de segurança em que dados pessoais são expostos publicamente sem que haja o consentimento do titular, podendo afetar não só o próprio titular de tais dados, como a entidade que os possui.

Quando ocorre um vazamento de dados, determinadas informações podem ser consultadas, copiadas e comercializadas para diversos propósitos indesejados. Além de sua utilização para fins comerciais, existe o grave risco de se praticar golpes financeiros, extorsões e tentativas de se prejudicar negócios e a imagem de empresas.

Os riscos do vazamento de dados podem ser dimensionados não só por sua massa, ou seja, o volume de dados ou titulares expostos, mas também pelos impactos financeiros que tal situação ocasionou a empresa detentora. Estamos falando não só dos dados pessoais que uma empresa possui de terceiros, mas também de informações tidas em segredo comercial e industrial dela mesma.

Destarte, não há dúvidas que tal situação corrobora também com a prática da famosa engenharia social para se obter vantagens ilícitas em face ou em nome do titular dos dados, favorecendo assim o êxito em golpes e crimes relacionados.

Em nota, a engenharia social tem por base a interação humana, no qual o infrator manipula psicologicamente a vítima para que ela execute ações ou lhe exponha informações privilegiadas. Prática bastante conhecida, mas que por explorar vulnerabilidades emocionais, técnicas ou mesmo por despertar a curiosidade ou a vaidade do indivíduo, se mostram, infelizmente, muito eficazes àqueles de má-fé.

É comum ouvir dizer: “mas eu não sou tão importante para que queiram saber meus dados pessoais”. Neste contexto, quantos de vocês já não sofreram a tentativa de golpes oriundos da obtenção de dados e o uso da engenharia social, ou mesmo quantas pessoas vocês conhecem que já passaram pela mesma situação? Seja pela clonagem de cartões de crédito, compras indesejadas na Internet, a posse de acesso em aplicativos de mensagens, redes sociais, tentativas de estelionato, fraudes, ameaças, entre tantos outros. Sim, pessoas comuns cada vez mais podem sofrer danos oriundos da má utilização de dados pessoais e o uso da engenharia social.

Ainda que na prática o titular tenha pouco a fazer frente ao vazamento de dados por instituições em que depositou sua confiança, deve haver a plena consciência dos riscos e das medidas cabíveis caso isso ocorra.

Neste ponto, matéria divulgada pela ABRANET (Associação Brasileira de Internet) em novembro/2020, diz que num ranking de 50 países, o Brasil teve a posição 42ª, no que tange educação digital em cibersegurança[1].

Neste estudo se avaliou o nível de conhecimento atual sobre riscos cibernéticos de populações, bem como a relevância de iniciativas para promover a educação e o treinamento deste tipo de risco. Veja os critérios avaliados: a motivação da população em geral em termos de boas práticas de segurança cibernética; políticas públicas para melhorar o conhecimento em riscos cibernéticos; como os sistemas educacionais abordam o tema; as estratégias das empresas para melhorar as habilidades em riscos cibernéticos de seus funcionários; e a inclusão digital da população, principalmente os mais vulneráveis à esses riscos como os idosos. Dentre os países avaliados, a Suíça, Cingapura, Reino Unido, Austrália, Holanda, Canadá, Estônia, Israel, Irlanda e Estados Unidos lideraram o ranking com as melhores pontuações.

Todavia, pode-se dizer que a preocupação com a privacidade de dados é um tema que vem evoluindo em nosso país, e espera-se que cada vez mais as pessoas se conscientizem que vivemos na era da informação e que dados pessoais hoje são valiosos e deve ser assegurados.

Pesquisa realizada pelo MIT - Massachusetts Institute of Technology e publicada pela empresa Abril em fevereiro/2021, discorre que os vazamentos de dados aumentaram em 493% no Brasil, ao passo que no ano de 2019 mais de 205 milhões de dados vazaram de forma criminosa[2].

Em mesma notícia baseada em relatório feito pela empresa de segurança Kaspersky, relata-se que dentro da América Latina[3], o Brasil é o país com mais tentativas de ataques cibernéticos, seguido pelo México. Já no ranking global o Brasil chega a ser o 7ª no que tange a ataques à segurança pessoal ou financeira do indivíduo. Mesma pesquisa realizada no período de jul/2018 a jul/2019, demonstra que 45 tentativas ataques são bloqueadas a cada segundo na América Latina.

Neste contexto, a própria legislação vem buscando se adequar a nova realidade, no Brasil podemos citar algumas leis importantes, entre elas o Marco Civil da Internet e a Lei Geral de Proteção de Dados, na qual tem por objeto trazer diretrizes no que versa o tratamento de dados, bem como mecanismos e sanções para que organizações zelem pela segurança de dados pessoais.

Ressaltando-se que em caso de qualquer incidente de segurança que envolva dados pessoais, o controlador deve analisar brevemente os riscos da situação, ao passo que, dependendo da gravidade, deve comunicar em tempo hábil a Autoridade Nacional de Proteção de Dados - ANPD.

Veja que é muito comum que ataques maliciosos que envolvam ameaças a divulgação de dados pessoais obtidos por empresas, tenham como foco a exigência de pagamentos para que tal ação não seja executada (chamado de Ataque de Resgate). Situação que muitas vezes são acobertadas pelas companhias sem chegar ao conhecimento público ou de agentes regulatórios.

Nesta esteira, recentemente notícias relatam que uma das maiores redes de medicina diagnóstica do país, o Grupo Fleury (220 unidades de atendimento e mais de 10 mil funcionários), sofreu um ataque cibernético com pedido de resgate em 5 milhões para que dados da empresa não fossem divulgados. O que acarretou a indisponibilidade de serviços por alguns dias e trouxe graves prejuízos a empresa[4].   

Este caso possui um agravante, a companhia atacada faz o tratamento de dados pessoais sensíveis, haja vista que detém informações da saúde dos pacientes que contratam seus serviços, o que requer um cuidado e tratamento especial aos olhos da LGPD.

Hoje o investimento em segurança da informação deve ser uma prioridade nas empresas, lembrando aqui os conceitos de Privacy by Design e Privacy by Default, que trata sobre a adoção de medidas de segurança, técnicas e processuais, realizadas desde a concepção de um projeto.

Pode-se dizer que quanto maior o volume de dados pessoais que uma empresa detém, maior será o seu poder no mercado, assim como maior deve ser sua preocupação e tomada de medidas para conter a possibilidade de vazamentos.

Matéria veiculada na Forbes em novembro/2020 diz que para 2022 a previsão de gastos em segurança cibernética pode chegar a 133,7 bilhões no mundo todo, enquanto os danos causados por crimes digitais podem atingir 6 trilhões ao ano até 2021[5].

A seguir disponibilizamos algumas matérias que relatam substanciais vazamentos de dados sofridos nos últimos anos:

https://g1.globo.com/economia/tecnologia/noticia/2021/01/28/vazamento-de-dados-de-223-milhoes-de-brasileiros-o-que-se-sabe-e-o-que-falta-saber.ghtml

https://www.uol.com.br/tilt/noticias/redacao/2021/06/08/rockyou2021-maior-vazamento-da-historia-expoe-84-bilhoes-de-senhas.htm

https://www.techtudo.com.br/listas/2020/12/relembre-os-oito-maiores-vazamentos-de-dados-em-2020.ghtml

Em suma, a proteção de dados pessoais é um tema que cada vez mais vem ganhando destaque, exigindo que empresas invistam em processos internos e estejam sempre atualizadas para que se evite o vazamento de dados pessoais.

A proteção de dados pessoais é uma pauta mundial, sendo um movimento global a realização de negócios com países que possuem como bandeira tal prerrogativa protecionista, ao passo que a Lei Geral de Proteção de Dados foi um marco importante para se regulamentar o tratamento de dados no Brasil e fomentar as melhores práticas de segurança no tratamento de dados.


Autora desde artigo: Nadya Prinet Godoy

Disponibilizado em: Jun/2021 

Photo by Markus Spiske on Unsplash




 [3] MUNDO CONECTADO. Golpes de dados. Disponível em: https://mundoconectado.com.br/noticias/v/10238/brasil-e-lider-mundial-em-golpes-de-dados-financeiros-phishing-diz-pesquisa. Acesso em: 25 de jun. de 2021.

[5] FORBES. Cibersegurança. Disponível em: https://forbes.com.br/forbes-tech/2020/11/ciberseguranca-entenda-os-perigos-do-ambiente-digital/. Acesso em: 25 de jun. de 2021.  

 

Location: São Paulo, Brasil

Comentários

Postar um comentário

Postagens mais visitadas deste blog

PRIMEIRA MULTA APLICADA PELA ANPD - EMPRESA DE PEQUENO PORTE

-
Imagem
  Na última semana, mais precisamente na sexta-feira, a ANPD divulgou a ocorrência da primeira multa aplicada pelo descumprimento da LGPD [1] no Brasil e desde então o assunto ganhou bastante repercussão no mundo jurídico e empresarial. Trata-se de um marco legal significativo, haja vista que inaugura uma fase de fiscalizações e sanções por atos contrários a preservação da privacidade de dados pessoais no país em detrimento dos ditames estabelecidos pela LGPD. A penalidade ocorreu após a conclusão de um processo administrativo sancionador de nº 00261.000489/2022-62 conduzido pela Coordenação-Geral de Fiscalização (CGF/ANPD) e publicado no Diário Oficial da União no dia último dia 06 de julho [2] . Para a surpresa de muitas empresas de pequeno e médio porte, que em sua maioria, não dão tanta credibilidade a LGPD, seja pela possibilidade de serem fiscalizadas ou até mesmo sancionadas, a empresa autuada foi uma microempresa de telemarketing localizada no estado do Espírito Sant...
Leia na íntegra

ANPD - 1ª Semana de Proteção de Dados Pessoais - DIA 02

-
Imagem
  ANPD Como sabido, nesta semana (30/05 a 03/06/2022) a Autoridade Nacional de Proteção de Dados - ANPD promove a 1ª Semana de Proteção de Dados Pessoais , com a iniciativa do Programa de Privacidade e Segurança da Informação (PPSI), da Secretaria de Governo Digital e do Ministério da Economia [1] . Em continuidade ao artigo anterior, trataremos do conteúdo disponibilizado no segundo dia do curso: DIA 02 – 31/05/2022 – TEMA: PRIVACIDADE NO PODER PÚBLICO HORÁRIO: 09:00 - 10:30 TEMA: LAI versus LGPD  PALESTRANTE: Marcos Lindenmayer - Chefe de Gabinete da Ouvidoria-Geral da União (OGU/CGU) Perguntas realizadas pelo público (respostas em 1:01:20 h do vídeo): 1. Em relação a dados pessoais de servidores públicos requeridos pelos cidadãos, quais os limites que a LGPD traz para fornecer ou não estes dados? 2. Quando se fala de dados pessoais, se aplica também a PJ? E a respeito dos dados de servidores públicos indicados em documentos públicos é considerado também divulga...
Leia na íntegra

LGPD - COMO COMUNICAR UM INCIDENTE DE PRIVACIDADE PARA ANPD

-
Imagem
  Em artigos anteriores tratamos com mais detalhes sobre o que corresponde ao temido vazamento de dados pessoais, bem como da relevância de uma governança eficiente e de uma gestão de riscos que busque evitar a ocorrência de incidentes de segurança. Lembrando que um incidente de segurança diz respeito a situações que coloquem em risco a preservação de dados pessoais tratados por um agente, seja através do acesso e conhecimento de pessoas não autorizadas, até situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito. Veja que os agentes de tratamento de dados pessoais ou qualquer outra pessoa que intervenha em uma das fases do tratamento é obrigada a garantir a segurança da informação determinada pela Lei Geral de Proteção Dados, mesmo após finda a necessidade de utilização de tais dados. Sendo primordial neste contexto, que agentes de tratamento de dados adotem medidas de segurança, técnicas e administr...
Leia na íntegra