Coluna Digitopia / Coordenador Marcelo Chiavassa

A temática da segurança da informação esteve em destaque desde o ingresso na Sociedade da Informação, principalmente no que tangenciou a questão da exploração de vulnerabilidades e incidentes de segurança. E ganhou mais relevância com o ingresso na temática de proteção de dados, que em um movimento global, resultou em leis sancionadas ao redor do mundo, GDPR (Europa, 2016), LGPD (Brasil, 2018), CCPA (Califórnia, 2019).

Em  meio a grande onda de interlocução e valorização da privacidade e investimento em segurança da informação, os avanços no mundo digital se expandiram rapidamente, e como consequência gerou maior integração da tecnologia no dia a dia das pessoas, criando um ambiente mais propenso a exploração de vulnerabilidades e aplicações de golpes contra os usuários desavisados.

No Brasil, a Segurança da Informação é essencial para o devido cumprimento da Lei Geral de Proteção de Dados Pessoais (Lei n° 13.709/2018) e apesar de estar refletida em somente dois dos seus dez princípios, segurança e prevenção, sem a sua devida estruturação o resto da cadeia de proteção de dados se torna completamente vulnerável.

Posto isso, verifica-se que em tempos de pandemia, nos deparamos com dois cenários principais: o primeiro do qual diante do caráter de urgência, tornou a necessidade de alocação dos funcionários para o regime de “home office” imediata, com necessidade de grande empenho das empresas de garantir o acesso remoto a todos, o que traz o risco adicional no que concerne à segurança da informação[1].

E o segundo, do qual em meio ao regime de quarentena e no cenário de insegurança econômica e da saúde pública, a população se viu obrigada a se tornar usuária ativa dos meios digitais, principalmente para acesso a informação e contato com outras pessoas, o que por consequência tornou as pessoas mais vulneráveis no meio cibernético[2].

É perceptível que, apesar de focos diferentes, em ambos os cenários o resultado fora o mesmo, o aumento na quantidade de incidentes envolvendo a segurança da informação, fato comprovado através de levantamento recente que apontou que o número de ataques cibernéticos triplicou em um período de apenas 3 (três) meses[3].

Em consonância, pesquisas realizadas pela Kaspersky, evidenciaram os seguintes dados: (i) os ataques de ransomware no Brasil cresceram 3.5 vezes[4]; (ii) foram detectados centenas de domínios maliciosos usando o tema COVID-19[5]; e (iii) ataques a dispositivos móveis cresceram 124% em março de 2020[6].

Tais dados demonstram que diante da grande quantidade de novos usuários digitais por conta da pandemia, a falta da devida conscientização e ensino básico sobre segurança da informação tornou o país refém de diversos ataques, sejam dos mais simples ou mais elaborados.

A grande procura por informação sobre a pandemia tornou popular o uso dos termos “COVID-19” ou “Corona” como isca perfeita para manipulação do usuário e leva-lo a um link malicioso, o que poderia resultar no roubo de seus dados pessoais, como número de cartão de crédito[7], ou em outros casos, resultar na criptografia completa dos dados do dispositivo infectado, somente sendo possível sua liberação mediante pagamento do invasor, famoso ataque conhecido como ransomware[8].

Em outro levantamento realizado pela Fortinet[9], foi constatado que os atacantes também se utilizam do artificio de se disfarçar através de relatórios aparentemente de fontes confiáveis como agencias governamentais para manipular o usuário a executar arquivos maliciosos em seus dispositivos. O ataque se tornou tão popular que acabou gerando comunicados oficiais de agencias solicitando cautela aos usuários, informando sobre criminosos se passando pelas organizações, como no caso da WHO[10] (World Health Organization).

Essa migração compulsória de todos os indivíduos nesse período não gerou somente os impactos diretos já mencionados, mas também despertou o interesse sobre os padrões de segurança das ferramentas utilizadas e que se tornaram essenciais ao período de quarentena.

Nesse sentido, temos como exemplo o caso do Zoom, aplicativo de videoconferência, da qual já amplamente utilizado no meio corporativo para realização de reuniões em chamadas de vídeo, se tornou mais evidente nos últimos tempos. Tal exposição teve por consequência o apontamento de vulnerabilidades em seus sistemas e inconsistências quanto a sua publicidade[11]. A plataforma permitia a exploração de vulnerabilidades que possibilitavam a invasão de conferências, e resultou na confirmação da ausência de padrões de segurança aptos a garantirem a total confidencialidade das chamadas[12].

O tema de segurança da informação nunca foi tão importante. A devida conscientização e divulgação acerca dos cuidados a serem tomados, tanto pelos usuários diretos da internet, como empresas visando proteger seus ativos, se tornou valiosa, principalmente nesse momento de pandemia.

O próprio CGI.br divulgou em sua página orientações para proteção dos usuário na Internet, sendo alguns deles o aconselhamento sobre: (i) o cuidado com mensagens que busquem induzir o usuário a fornecer dados pessoais; (ii) se atentar sobre a origem dos aplicativos que prometem informações sobre a pandemia; e (iii) se utilizar somente de conexões seguras, como “https”; dentre outras orientações[13].

Para as empresas, mesmo diante da aprovação do Projeto de Lei n° 1179/2020[14] no Senado[15] no dia 03 de abril de 2020, que dispõe sobre o adiamento da vigência da LGPD para 1° de janeiro de 2021 e da aplicação de sanções somente a partir de 1° de agosto de 2021, é imprescindível diante desse cenário de ataques cibernéticos que as empresas se adequem e tornem o critério de segurança da informação e proteção de dados como prioridade.

Nesse sentido, a IBM Security em parceria com o Instituto Ponemon, desenvolveu uma calculadora para estimativa do custo de um vazamento de dados, que demonstra que a ocorrência de um incidente de segurança possui consequências além da própria multa, por envolver diretamente a imagem e confiabilidade da empresa diante do mercado, afetando diretamente no financeiro da empresa[16].

Dada a importância da adequação da segurança da informação das empresas, é visível que a postergação da vigência da LGPD, indiretamente prejudicou a possibilidade de orientação sobre os requisitos de segurança da informação que a satisfaçam, posto que, muitas questões ainda se encontram pendentes de determinação pela Autoridade Nacional de Proteção de Dados. Assim, em face da falta de orientações específicas e a necessidade de cumprimento da legislação, uma solução seria a adoção de parâmetros aceitos internacionalmente, como é o caso da ISO/IEC 27001:2013 e da ISSO/IEC 27701:2019, reconhecidas pelas autoridades europeias[17] como um parâmetro aceitável de segurança da informação.

Além disso, no que se refere ao uso de dispositivos pessoais para fins corporativos, cabe mencionar o guia desenvolvido pela ICO (Information Comissioner’s Office), Autoridade de Proteção de Dados Pessoais do Reino Unido, que trata de orientações e boas práticas para o uso de BYOD (Bring Your Own Device)[18].

Por fim, será necessário que as empresas implementem um processo de monitoramento da infraestrutura e procedimentos para orientação dos colaboradores que acessam a rede corporativa de suas casas. Enfatizando que em caso de identificação de incidente de segurança da informação, com consequente vazamento de dados pessoais, deverá a empresa seguir com um plano de mitigação de riscos e transparência perante os titulares dos dados vazados, conforme determina o artigo 48 da LGPD.

Notas e Referências

[1] Disponível em: https://www.awingu.com/study-security-threats-360k-companies/ Acessado em 06/04/2020

[2] Disponível em: https://canaltech.com.br/hacker/ataques-hackers-crescem-a-medida-que-pandemia-da-covid-19-se-alastra-162080/ Acessado em 06/04/2020

[3] Disponível em: https://valor.globo.com/empresas/noticia/2020/03/27/com-pandemia-invasao-de-sistemas-triplica.ghtml  Acessado em 06/04/2020

[4] Disponível em: https://olhardigital.com.br/coronavirus/noticia/ataques-de-ransomware-no-brasil-cresceram-3-5x-desde-janeiro-diz-kaspersky/98583 Acessado em 06/04/2020

[5] Disponível em: https://www.kaspersky.com.br/about/press-releases/2020_kaspersky-detecta-centenas-de-dominios-maliciosos-usando-o-tema-covid-19 Acessado em 06/04/2020

[6] Disponível em: https://www.kaspersky.com.br/blog/phishing-covid-smartphone-pesquisa/14663/ Acessado em 06/04/2020

[7] Disponível em: https://olhardigital.com.br/coronavirus/noticia/hackers-usam-panico-com-coronavirus-para-aplicar-golpes-ciberneticos/98062 Acessado em 06/08/2020

[8] “A ransomware attack can be defined as an attempt to extort an organization by denying it access to its data. Ransomware is a subset of malware, a collective term for all forms of malicious code, including computer viruses and worms.” -  Disponível em https://www.welivesecurity.com/wpcontent/uploads/2018/10/ESET_Ransomware_Enterprise.pdf Acessado em 06/04/2020

[9] Disponível em: https://www.fortinet.com/blog/threat-research/attackers-taking-advantage-of-the-coronavirus-covid-19-media-frenzy.html Acessado em 07/04/2020

[10] Disponível em: https://www.who.int/about/communications/cyber-security Acessado em 07/04/2020

 [11] Disponível em:  https://canaltech.com.br/seguranca/app-de-videochamadas-zoom-e-acusado-de-propaganda-enganosa-sobre-criptografia-162714/ Acessado em 06/04/2020

[12] Disponível em: https://citizenlab.ca/2020/04/move-fast-roll-your-own-crypto-a-quick-look-at-the-confidentiality-of-zoom-meetings/ Acessado em 06/04/2020

[13] Disponível em: https://internetsegura.br/coronavirus/ Acessado em 06/04/2020

[14] Disponível em: https://www25.senado.leg.br/web/atividade/materias/-/materia/141306 Acessado em 08/04/2020

[15] O texto deverá ser encaminhado para a Câmara dos Deputados para aprovação. 

[16] Disponível em: https://databreachcalculator.mybluemix.net/?_ga=2.261825545.562767425.1586367476-1111754422.1586367476&cm_mc_uid=16390016505715863674772&cm_mc_sid_50200000=46384141586367477302&cm_mc_sid_52640000=86884251586367477311 Acessado em 08/04/2020

[17] Disponível em: https://ico.org.uk/for-organisations/the-guide-to-nis/security-requirements/ - Acessado em 08/04/2020

[18] Disponível em: https://ico.org.uk/media/for-organisations/documents/1563/ico_bring_your_own_device_byod_guidance.pdf - Acessado em 08/04/2020