Skip to content

TI para Negócios

Como fazer a tecnologia trabalhar pelo seu sucesso e da sua empresa

Archive

Category: Segurança

Desde janeiro de 2017, o Serviço Britânico de Impostos e Alfândegas coletou 5,1 milhões de amostras para identificação de voz de seus contribuintes através da autenticação de usuário Voice ID. Durante o lançamento do serviço, foi dito que os clientes poderiam escolher o meio pelo qual seria feita a confirmação de sua identidade. No entanto, a organização de direitos humanos Big Brother Watch descobriu que, ao ligar para o call-center, não há opção: é solicitada aos clientes uma gravação de voz.

No site do serviço não há instruções sobre como recusar essa gravação. Funcionários da Big Brother Watch descobriram através de testes que a única maneira, é dizendo “não” três vezes durante a ligação. Para formalizar a recusa do uso da identificação de voz, é necessário passar por um procedimento demorado, mas mesmo depois disso, o serviço continua armazenando a gravação de voz.

Defensores dos direitos humanos exigiram explicações, mas o serviço se recusou a informar como a gravação de voz poderia ser excluída do banco de dados. De acordo com a Big Brother Watch, o serviço viola as regulamentações sobre proteção de dados do GDPR. Após a publicação da organização de direitos humanos, o Gabinete do Comissário da Informação Britânico (ICO) interveio.

Ex-chefe da sede eleitoral de Donald Trump usava foldering para se comunicar com cúmplices

O ex-chefe da campanha presidencial dos EUA, Paul Manafort, recebeu novas acusações. O consultor político é acusado de pressionar testemunhas. Ele lhes enviava mensagens através dos aplicativos Telegram e WhatsApp, e também usava o método foldering para sua comunicação. Durante o segundo semestre de 2017, Paul Manafort foi indiciado em 12 acusações, incluindo lavagem de dinheiro, sonegação fiscal, conspiração contra os EUA, corrupção e tentativas de envolver membros do Congresso dos EUA e políticos europeus em esquemas criminosos. Desde então, ele estava em prisão domiciliar.

As tentativas de Paul Manafort de intervir no depoimento de testemunhas no processo criminal sobre o lobby dos interesses da Ucrânia nos Estados Unidos tornaram-se motivo para uma nova acusação e mudança da medida preventiva de prisão. A investigação sugere que o consultor político tentou convencer as testemunhas a dar falso testemunho. Para as negociações, os membros do conluio usavam uma única caixa de e-mail. As informações nele contidas eram transmitidas através do um método chamado foldering: os participantes do diálogo salvavam os e-mails na pasta de rascunhos em uma caixa compartilhada. Os investigadores confirmaram o conluio com a ajuda de registros de chamadas telefônicas e mensagens encontradas no armazenamento em nuvem de Paul Manafort.

“Os agentes infiltrados que usam este método acreditam que é suficiente excluir o e-mail da pasta de rascunhos depois de sua leitura. No entanto, se um sistema DLP estiver instalado na empresa, a mensagem criada será interceptada, independentemente de ter sido excluída ou não”, – disse Vladimir Prestes, Sócio-diretor da SearchInform no Brasil.

Empresa francesa Optical Center é multada em 250 000 euros por vazamento de dados

Em 7 de junho de 2018, a agência francesa de proteção de dados CNIL (Comissão Nacional de Informática e Liberdade), anunciou oficialmente sua decisão pela aplicação da multa de 250 000 euros à empresa Optical Center, já que a mesma não poderia garantir a proteção dos dados de seus clientes.

Durante a verificação, os profissionais da CNIL descobriram que era possível acessar contas de clientes inserindo várias URLs na barra de endereços do navegador. Entre as informações comprometidas estão nomes e endereços de clientes, endereços postais, informações sobre o quadro de saúde (correção oftalmológica), e também números do seguro social. No momento do incidente, o banco de dados da empresa continha mais de 300.000 documentos.

Os representantes da CNIL salientaram que era necessário divulgar sua decisão, já que o número de vazamentos de dados aumentou significativamente nos últimos anos e é preciso aumentar a conscientização. O incidente ocorreu antes da entrada em vigor do GDPR, por isso a Optical Center foi multada em conformidade com a lei da França n.º2016-1321 de 07 de outubro de 2016 “Sobre a república digital”.

Junho sob a vigência do GDPR

Não importa o quão foram alarmadas, nem todas as empresas tiveram tempo para se preparar para a entrada em vigor das regras de proteção de dados pessoais do GDPR. Entre as vítimas está a gigante Jaguar Land Rover. A empresa permitiu o vazamento de dados sobre as demissões planejadas, e informações sobre o assunto chegaram à mídia algumas horas antes de os regulamentos entrarem em vigor.

Foram divulgadas informações sobre 647 funcionários que trabalham na empresa Jaguar Land Rover, na Inglaterra. Um dos documentos continha os nomes dos funcionários, dados da folha de pagamento, notas sobre violações disciplinares e a duração de afastamentos médicos. Em outra lista, eram fornecidas informações sobre lesões e deficiências. Em outro arquivo, centenas de nomes estavam marcados em vermelho, e ao lado de alguns havia datas específicas.

Após a publicação no HuffPost UK, o Gabinete do Comissário da Informação Britânico (ICO) disse que iria realizar sua própria auditoria. É muito provável que a Jaguar Land Rover seja a primeira empresa a ser sancionada pelo GDPR.

Serviço genealógico MyHeritage admitiu o vazamento de 92 milhões de contas

MyHeritage, serviço de genealogia e testes de DNA, permitiu o vazamento de dados pessoais, endereços de e-mail, e senhas com hash de mais de 92 milhões de clientes. As informações se aplicam exclusivamente aos usuários que se cadastraram na empresa MyHeritage antes de 26 de outubro de 2017.

Segundo o chefe do departamento de segurança da informação, um pesquisador de SI independente notificou que um arquivo foi encontrado com o nome da empresa no servidor fora dos perímetros da MyHeritage.

A empresa iniciou uma investigação sobre o incidente. O representante da MyHeritage acredita que nenhum outro tipo de dado de usuários foi comprometido, uma vez que as informações sobre cartões de crédito são processadas por terceiros, como PayPal e BlueSnap, e os dados de DNA do usuário são armazenados em sistemas separados.

Segundo relatório “Not logging on, but living on” da Kaspersky Lab, 53% dos usuários no Brasil ainda não protegem seus dispositivos móveis, e apenas 21% usam soluções antirroubo. Assim, ao roubar um smartphone, os ladrões podem acabar conseguindo um prêmio que não esperavam. Essas estatísticas mostram que as pessoas deixam seus dispositivos – e a crescente quantidade de dados valiosos que contêm – ao alcance de qualquer pessoa.

Hoje em dia, muitas pessoas utilizam seus dispositivos móveis para acessar a Internet e realizar atividades online. Assim, o roubo de um dispositivo pode ser mais prejudicial e perturbador do que nunca. Por exemplo, 74% das pessoas no Brasil dizem que usam a Internet regularmente em seus smartphones (em comparação com 75% dos usuários na América Latina em 2016) e 26% dos brasileiros costumam usar um tablet para ficar online.

Desse modo, diferentes tipos de dados preciosos são armazenados e enviados por esses aparelhos. Por exemplo, 43% dos brasileiros usam seus smartphones para fazer transações em bancos online que, naturalmente, dão acesso a informações financeiras valiosas. Além disso, 62% dos brasileiros usam seus smartphones regularmente para acessar suas contas pessoais de e-mail e 64% para atividades em mídias sociais; isso envolve uma enorme quantidade de dados sigilosos.

Mas, mesmo tendo muitos dados preciosos em seus dispositivos móveis, as pessoas não necessariamente são cuidadosas ou estão seguras. Cerca de 53% dos usuários protegem seus dispositivos móveis com senhas, e apenas 16% criptografam seus arquivos e pastas para evitar o acesso não autorizado. Assim, se esses dispositivos caírem em mãos erradas, todos esses dados, de contas pessoais a fotos, mensagens e até informações financeiras, podem ficar acessíveis para outras pessoas.

Até a perda de dispositivos que estão protegidos por senha pode ter consequências graves. Menos da metade (47%) dos brasileiros faz backup de seus dados, e apenas 21% usam recursos antirroubo em seus dispositivos móveis. Desse modo, é provável que o proprietário do dispositivo perdido não consiga acessar suas próprias informações pessoais e contas.

Para Dmitry Aleshin, vice-presidente de marketing de produtos da Kaspersky Lab: “Todos nós adoramos nossos dispositivos conectados porque eles permitem acessar informações essenciais de qualquer lugar e a qualquer momento. São itens valiosos nos quais naturalmente os criminosos desejam colocar as mãos, e seu trabalho fica ainda mais fácil porque alguns celulares roubados não têm proteção por senha. Há algumas medidas muitos simples que todos podem tomar para proteger seus dispositivos e os dados contidos neles. Ao configurar a proteção por senha e usar uma solução de segurança dedicada, incluindo proteção antirroubo, você protege suas informações pessoais, fotos e contas online contra perda e uso mal-intencionado.”

O Kaspersky Security Cloud e o Kaspersky Internet Security for Android foram desenvolvidos para proteger dispositivos móveis. O Kaspersky Security Cloud, por exemplo, se adapta automaticamente ao comportamento do usuário, oferecendo proteção avançada independentemente da situação. Além disso, o Kaspersky Internet Security for Android insiste que o usuário proteja o dispositivo com uma senha, reforçando a segurança contra ameaças on-line e off-line, como roubo, malware ou a curiosidade de estranhos.

por Vladimir Prestes
A proteção de dados confidenciais nas empresas é baseada no componente técnico e no fator humano. De acordo com as últimas tendências de desenvolvimento da segurança da informação o foco passa a ser o indivíduo. Isto é evidenciado por tecnologias tais como: UEBA (User and Entity Behavior Analytics), UBA (User behavior analytics), SUBA (Security User Behavior Analytics) e outras ferramentas de análise de comportamento de usuários, que visam detectar ameaças presentes.
As ameaças em TI podem ser divididas em dois grandes grupos: tecnológicas e “humanas”. Proteção antivírus, filtragem de tráfego, cobertura de vulnerabilidades, proteção contra ataques direcionados, DDOS – são tarefas com as quais soluções especializadas lidam de modo automático, já que a lógica do computador reconhece bem as ameaças e é capaz de tomar decisões sobre seu bloqueio autonomamente.
Ameaças “humanas” em TI – é uma área especifica. Contra elas não há uma solução totalmente automatizada. E geralmente essas ameaças são tratadas de forma integrada: configura-se o acesso aos componentes da infraestrutura de TI, utiliza-se sistema DLP (Data Loss Prevention), aumenta-se o conhecimento técnico dos funcionários e introduzem-se regulamentações de trabalho com informações críticas para os negócios.
As ameaças são muito distintas. Por isso, diferentes funcionários e até mesmo departamentos trabalham com elas: funcionários do departamento de TI cuidam das ameaças tecnológicas; profissionais de segurança da informação são responsáveis pelo monitoramento do “fator humano”. A propósito, o departamento de TI nem sempre sabe quais as soluções e métodos de proteção estão sendo usados na empresa. Isso cria um tipo de contrapeso aos riscos que podem ser ocasionados pelos próprios profissionais TI. Em geral, essa abordagem mais precisa da segurança é praticada por empresas de médio e grande porte.
A proteção contra “ameaças humanas” possui um caráter integrado, ao mesmo tempo são aplicadas soluções especializadas e medidas administrativas.
Por um lado, é necessário elevar o nível de capacitação técnica de seus funcionários, de modo que informações confidenciais não venham a ser encontradas em e-mails pessoais, em anotações de smartphones ou, por descuido, não venham a cair nas mãos de terceiros. Representantes da empresa Cybersecurity Ventures, especializada em pesquisas no campo da segurança cibernética e análise de mercado, afirmam que os custos globais com treinamento de funcionários no âmbito da segurança da informação podem chegar a 10 bilhões de dólares até 2027.
Por outro lado, é importante acompanhar a movimentação de dados confidenciais que podem ser transmitidos para fora do “perímetro” da empresa. Apenas o uso integrado de soluções técnicas e medidas administrativas serão capazes de impedir a maioria dos vazamentos de informações. As consequências destrutivas provocadas por vazamentos são óbvias, mas os riscos causados pelo fator humano, muitas vezes, podem levar uma empresa à falência.
Na luta contra vazamentos de informações, todas as empresas estabelecem tarefas semelhantes: impedir o roubo de dados financeiros, evitar danos à reputação, manter em segredo assuntos internos, não perder a carteira de clientes, proteger os dados pessoais de funcionários e clientes. As ameaças tecnológicas podem interromper temporariamente o trabalho de uma empresa, as comunicações, o contato com os clientes – mas tudo isso é resolvido rapidamente. Em contrapartida, um alto executivo mal intencionado, possuindo acesso a todos os dados secretos, planos, documentos financeiros e analíticos, podendo causar não apenas sérios danos ao negócio, mas destruí-lo completamente.
A imprudência de um funcionário de um de nossos clientes resultou no vazamento de dados confidenciais. O gerente da empresa simplesmente esqueceu o notebook em cima da mesa da sala de conferências onde havia ocorrido uma reunião com um cliente. O notebook continha muitas informações interessantes: um arquivo com ofertas comerciais para o ramo de atuação do cliente, sistemas de formação de preços, arquivo de contratos, planos, etc. O sistema DLP registrou a tentativa de download dos documentos para uma mídia externa e um grande vazamento foi evitado. No entanto, o cliente acabou visualizando dados aos quais ele não deveria ter tido acesso.
E vazamentos ocasionais como estes não são raros. De acordo com uma pesquisa realizada pela SearchInform, em 2016 eles foram responsáveis por 42% de todos os incidentes relacionados à segurança da informação nas empresas dos países da CEI (Comunidade dos Estados Independentes).
Para garantir a proteção das informações da empresa é necessário desenvolver sua estratégia de segurança da informação ou seguir as recomendações abaixo, que permitem a redução de riscos:
1. Estabeleça regras para o manuseio de informações. A estrita observância das regras de armazenamento e operações com dados e documentos confidenciais diz respeito a qualquer funcionário – desde o mais alto executivo até o profissional comum.
2. Realize o treinamento dos funcionários do departamento de segurança da informação. Isso pode ser feito dentro da estrutura de sua organização: atribua esta tarefa ao departamento de RH ou de TI, ou inclua esta função às reponsabilidades do departamento de SI. Também é possível recorrer aos serviços de empresas especializadas em treinamento de agentes de segurança da informação (CTI, Security Awareness Training).
3. Crie o departamento de Segurança da Informação, que trabalhará na prevenção de incidentes. A tarefa dos funcionários de SI não é apenas investigar violações, mas analisar potenciais ameaças. Por exemplo, dar atenção especial aos funcionários que se enquadram em grupos de risco: apostadores, dependentes químicos, funcionários em processo de demissão ou insatisfeitos, etc.
4. Implemente soluções de proteção da informação. Use ferramentas de controle de informação: sistema DLP, sistema SIEM, etc. É necessário monitorar o maior número possível de canais de transmissão de informação dentro da empresa.
5. Abandone a abordagem convencional de proteção. Por si só, a implementação de ferramentas de proteção de informações não é uma garantia de segurança, ainda mais se forem usadas apenas diante de uma necessidade. Frequentemente, o incidente ocorre e só então, descobre-se que algo não foi configurado corretamente: um canal não estava sendo monitorado, um usuário teve acesso a informações que deveriam ser restritas, etc. Configure as ferramentas corretamente e monitore os canais de informação constantemente.
6. Faça uso do princípio de “freios e contrapesos”. Não delegue toda a responsabilidade e poder apenas a uma pessoa: justamente com esse propósito é estabelecido o departamento de SI, para ser o “contrapeso” ao departamento de TI, que muitas vezes tem acesso às mais importantes informações confidenciais e possui conhecimento técnico suficiente para usá-las indevidamente.
Vladimir Prestes é Diretor Geral da SearchInform no Brasil, líder russa em sistemas de segurança da informação há mais de 20 anos. Com mais de dois mil clientes e cerca de 1.200.000 computadores protegidos, possui escritórios em 16 países.