All about Data Breach — Vazamento de dados
O que é “Data breach” ou “Vazamento de dados”? Como ocorrem? Como se prevenir? O que fazer depois que vazou?
Essas são apenas algumas das perguntas que muitos brasileiros, principalmente pequenos empreendedores têm feitos nas últimas semanas. Após seguidos anúncios de vazamentos de dados pessoais cada vez maiores no Brasil.
Vamos começar respondendo a primeira grande indagação:
O que é um “Data Breach” ou “Vazamento de Dados”?
Um “Data Breach” ou “Vazamento de Dados”, é a liberação intencional ou não intencional de informações pessoais, privadas e/ou confidenciais para um ambiente não confiável ou público. Outros termos para este fenômeno incluem divulgação não intencional de informações. Os incidentes variam de ataques orquestrados por hackers (indivíduos que invadem ambientes de redes de dados para obter algum tipo de ganho pessoal), associados ao crime organizado, ativistas políticos ou governos nacionais, ou ainda o descarte descuidado de equipamentos de informática usados, ou mídia de armazenamento de dados, ou ainda a gestão displicente de ambientes de negócios.
A segunda pergunta que a maioria das pessoas fazem, é como isso ocorre?
Dentro do que chamamos o ciclo de vida dos dados, a primeira etapa é a “Geração e coleta de Dados”, o processo para “ingestão” de dados coletados do ambiente aberto (internet) para o ambiente seguro (Datawarehouse ou Data Lake) de armazenamento das empresas, executado através de comandos “SQL” e armazenados em áreas temporárias (pre-stage) não devidamente seguras, ambientes colaborativos de compartilhamento de código, muitas vezes expõem características de processos da empresa e facilitam o processo de quebra dos métodos de segurança que esta possa ter.
Na etapa de “Tratamento e Transformação”, é quando podemos fazer a “anonimização” dos dados, ou seja, tirar deles as informações que poderiam caracterizar, ou identificar uma pessoa. Aqui mais uma vez a segurança quanto aos profissionais que estão manipulando estes dados, controle de acesso, ambiente de manipulação é que vão garantir a segurança quanto a possíveis vazamentos.
A etapa de “Análise dos dados” também pode ter riscos de vazamento, porque normalmente as etapas anteriores se dão em ambientes de rede de maior segurança, e os profissionais que manuseiam os dados são especialistas. A etapa de análise é quando os dados são disponibilizados muitas vezes para analistas de negócios que estão em ambientes diferentes, as vezes menos seguros e não tem tanto conhecimento técnico.
Também a etapa de “Publicação dos Dados”, ou seja, a disponibilização de informações para consulta através de aplicativos ou sites na internet deve ser monitorada e conter processos de segurança para que só as pessoas autorizadas possam acessá-las ou que seja possível rastrear quem acessou.
As etapas de “Reutilização e Armazenamento” também são alvos de ataques cibernéticos, e devem ser controladas e monitoradas com rigor. A reutilização de dados armazenados pode abrir informações sigilosas para um publico não autorizado e o armazenamento histórico se não tiver o devido controle também.
Para todas as etapas vale o uso de ferramentas como Firewall, controle de acesso, criptografia, monitoramento para detecção de anomalias nos padrões de comportamento.
No âmbito da infraestrutura de redes, devemos observar o ambiente que estamos utilizando para trafegar os dados sigilosos da empresa.
Não acessar estas aplicações em ambientes de rede pública, Wi-Fi gratuito, estes ambientes tem pouca ou nenhuma segurança.
Muitos já ouviram falar da Dark Web e da Deep Web, vamos explicar um pouco como isso funciona para que possam compreender melhor como ocorrem os vazamentos de dados e porque são tão danosos.
A web como conhecemos (Surface web) pode ser dividida em 6 níveis de acesso, conforme a seguir:
1 — O nível 1 é a internet que todos conhecemos, de acesso a redes sociais, serviços diversos e que utilizamos os buscadores comuns para encontrar informações. Neste nível já conseguiremos acessar dados muitas vezes pessoais e confidencias com muita facilidade. Você pode testar colocando seu nome, ou seu CPF, ou então seu endereço e vai obter muita informação a seu respeito, que talvez nem saiba que estava assim tão acessível a qualquer um.
2 — No nível 2 já se faz necessário mais conhecimento técnico de navegação em redes. A partir deste nível a rede funciona utilizando o TOR, “The Onion Router” que é como a rede é organizada: ele envia dados criptografados através de vários níveis de retransmissão no mundo todo, obscurecendo assim o conteúdo, o remetente e a localização. Este procedimento não é apenas mais seguro, mas também oferece mais privacidade, uma vez que os rastreadores online são efetivamente desativados. O roteador Tor é uma ferramenta extremamente eficaz para a segurança e a proteção de dados na internet e não é uma indicação de que o usuário esteja fazendo algo de errado.
3 — O nível 3 é muito utilizado para download e upload de filmes, música, muito streeming ilegal, ferramentas como BiTorrent são exemplos desse tipo de procedimento.
4 — No nível 4 é que usualmente são negociados dados pessoais, números de conta bancária, cartões, telefones, localização de pessoas. A ferramenta Hidden Wiki serve como uma Wikipedia de informações ilícitas;
5 — O nível 5 é a Deep Weeb, onde o anonimato é ainda maior e é justamente onde está o mercado de crimes financeiros, pornografia infantil, venda de objetos roubados dentre outras ilicitudes.
6 — O nível 6 é normalmente utilizado pela polícia secreta dos países, estão os segredos de estado.
Como podem perceber, navegar na internet pode ser tão perigoso como navegar em alto mar sem conhecimento de rota.
Saber se seus dados foram vazados até o submundo da “Dark e Deep Web” é tão fácil quanto buscar um brinco no oceano, é melhor cuidar para que ele não caia no oceano.
Então vamos a pergunta 3. Como se prevenir?
Se você é um pequeno empreendedor e começou a utilizar canais digitais como redes sociais como interface com seus clientes. Fique atento as políticas de privacidade destas redes, o que elas coletam, e para que coletam. Quando trocar informações com seus clientes relacionadas a dados pessoais (nome, endereço, data de nascimento, gênero etc.) crie um processo, mesmo que seja armazenar no seu drive, coloque senha de acesso, instale um antivírus no seu notebook ou celular, tenha hábitos de segurança. Para empreendedores maiores, aconselho ter um responsável pela área de Segurança da Informação como pede a LGPD, o DPO (Data Protection Officer) tem como responsabilidade olhar todo ciclo de vida dos dados na sua empresa e administrar processos que garantam a segurança de dados da sua operação. Para as pessoas físicas valem os passos mencionados ao pequeno empreendedor, preste atenção às políticas de privacidade das redes sociais, sites e aplicativos que você utiliza, não aceite todos os “cookies” que os sites te oferecem, leia com atenção. Tenha antivírus no computador e celular, utilize dupla certificação. São cuidados básicos que evitam problemas grandes.
E a pergunta de US$ 1 milhão, o que fazer se meus dados vazaram?
Se você é um pequeno empreendedor, você deve em primeiro lugar comunicar a todos seus clientes e contatos que seu equipamento foi invadido. Fazer um boletim de ocorrência e entrar em contato com sua operadora de rede para bloqueio do chip se foi o celular, se foi seu computador, desligue tudo, inclusive da rede, caso seja conexão via cabo. Acione seu suporte.
Se você é uma pessoa física, avise seus contatos, acione a operadora nos casos de celular, desligue tudo, faça o Boletim de Ocorrência.
Como puderam notar, não se trata de um problema simples. O vazamento de dados pode gerar prejuízos não apenas financeiros, mas principalmente de imagem quando falamos de empresas que deixam vazar dados de seus clientes. Conquistar a credibilidade de um cliente pode levar anos, mas para perdê-la basta um vazamento de dados e para reconquistar a confiança você levará décadas ou dependendo das consequências terá que mudar de ramo.
Espero ter esclarecido as principais dúvidas e até a próxima.
Fontes:
Site Wikipedia — Data Breach — https://en.wikipedia.org/wiki/Data_breach
Site data Breach Today Florida City’s Water Hack: Poor IT Security Laid Bare — https://www.databreachtoday.com/
Site G1 — Como acontecem os vazamentos de dados? http://g1.globo.com/tecnologia/blog/seguranca-digital/post/como-acontecem-os-vazamentos-de-dados-g1-explica.html
Researchgate — Dark Web e seus não lugares: por um estudo das dobras invisíveis do ciberespaço — https://www.researchgate.net/publication/314200791_Dark_Web_e_seus_nao_lugares_por_um_estudo_das_dobras_invisiveis_do_ciberespaco_The_Dark_Web_and_its_non-places_towards_a_study_of_the_invisible_folds_of_cyberspace
