Definição e tipos de violação de dados
Uma violação de dados, ou fuga de dados, é um evento de segurança em que os dados protegidos são acedidos por ou divulgados a espectadores não autorizados. Uma violação de dados é diferente da perda de dados, que é quando os dados já não podem ser acedidos devido a uma falha de hardware, eliminação ou outra causa. Os dados protegidos podem incluir informações sobre clientes individuais ou funcionários, tais como informações pessoalmente identificáveis (PII), informações pessoais de saúde, informações sobre cartões de pagamento e números da Segurança Social. Podem também incluir informações sobre empresas ou propriedade intelectual (PI), tais como segredos comerciais, detalhes sobre processos de fabrico, dados de fornecedores e clientes, informações sobre fusões e aquisições, ou dados sobre processos judiciais ou outros litígios.
As violações de dados nem sempre são intencionais. Os utilizadores podem acidentalmente enviar dados protegidos para o endereço de correio electrónico errado ou carregá-los para a parte errada; de facto, os erros representam 17% das violações, de acordo com o conhecido Relatório de Investigação de Violação de Dados de 2018 da Verizon. Mas o relatório concluiu que a maioria das violações são deliberadas e motivadas financeiramente. Embora sejam utilizados diferentes métodos para obter acesso a dados sensíveis, 28% das violações envolvem infiltrados, de acordo com o relatório Verizon. As organizações em cada indústria são alvos potenciais.
Diferentes fontes definem diferentes tipos de violações de dados. Aqui, agrupo-as pela causa raiz:
- Ataques cibernéticos – Os hackers utilizam malware, phishing, engenharia social, skimming e técnicas relacionadas para obter acesso a informação protegida.
- Roubo ou perda de dispositivos – Portáteis, smartphones, unidades de polegar e outros meios de armazenamento de dados podem ser perdidos, roubados ou eliminados de forma imprópria. Se contiverem informação protegida e esta acabar nas mãos erradas, isso é uma violação de dados.
- Roubo ou fuga de dados de funcionários – Os funcionários, especialmente aqueles que estão a partir em breve, podem aceder deliberadamente a informação protegida sem autorização com intenção maliciosa.
- Erros humanos. Os erros acontecem, e as pessoas são negligentes. Os funcionários enviam acidentalmente dados proprietários à pessoa errada, carregam-nos para acções públicas ou configuram mal os servidores onde são armazenados.
Licenças aprendidas com as três maiores violações de dados do mundo
Quem: Yahoo
Quando isso aconteceu: Série de violações em 2013 e 2014
Quando foi revelado: 2016
O alcance da violação: Em 2016, Yahoo estimou que mais de mil milhões de contas de utilizadores poderiam ter sido comprometidas na violação de 2014. Mais tarde, em 2017, admitiu que todos os 3 mil milhões das suas contas de utilizador tinham sido pirateados.
Detalhes: As violações envolveram o roubo de detalhes de contas de utilizador, tais como endereços de correio electrónico, números de telefone, senhas de hash, datas de nascimento e, em alguns casos, respostas a questões de segurança. Felizmente, nenhuma informação sobre pagamentos, tais como números de cartões de crédito ou detalhes de contas bancárias, foi roubada. A primeira violação anunciada publicamente em 2016 ocorreu em 2014 e afectou aproximadamente 500 milhões de utilizadores. Alguns meses mais tarde, o Yahoo divulgou outra violação, que ocorreu em 2013, e disse que tinha afectado mais de mil milhões de contas de utilizadores. Levaram quase um ano a investigar e anunciar que todos os 3 mil milhões das suas contas de utilizadores tinham sido provavelmente afectados na violação de 2013.
Implicações: Em 2016, quando os dois primeiros anúncios de violações chegaram às manchetes, o Yahoo estava a meio da negociação de um acordo de compra com a Verizon. Devido a esta descoberta, a Verizon baixou a sua oferta de activos do Yahoo em 350 milhões de dólares. Além disso, a empresa foi atingida com cerca de 43 processos de acção colectiva.
Lessons learons: A investigação da violação de 2014 mostrou que a equipa de segurança do Yahoo e os executivos seniores sabiam imediatamente que algumas contas de utilizadores tinham sido pirateadas, e tomaram algumas medidas correctivas, incluindo contactar os utilizadores cujas contas pensavam ter sido afectadas. No entanto, não conduziram mais investigações para compreender plenamente o assunto. Se o Yahoo tivesse investigado adequada e prontamente a violação de 2014, poderiam ter tomado conhecimento da violação de 2013 mais cedo, possivelmente antes de os dados dos utilizadores terem sido vendidos no mercado negro. A principal lição aqui é a de não comprometer a investigação, mesmo que um incidente pareça ser pequeno. Investigar minuciosamente para compreender completamente o que aconteceu, como aconteceu e que dados foram afectados, para que se possa minimizar os efeitos negativos e evitar que incidentes semelhantes aconteçam no futuro.
Quem: Equifax
Quando aconteceu: Meados de Maio de 2017
Quando foi revelado: Setembro de 2017
O âmbito da violação: 147,9 milhões de consumidores norte-americanos
Detalhes: Os hackers obtiveram acesso a certos ficheiros contendo números de Segurança Social, datas de nascimento, moradas, números de carta de condução e outras informações pessoais. 209.000 consumidores também tiveram os seus dados de cartão de crédito expostos no ataque. Uma investigação do U.S. General Accounting Office atribuiu a violação ao facto de a empresa não ter utilizado as conhecidas melhores práticas de segurança e a sua falta de controlos internos e revisões de segurança de rotina; em particular, o ataque explorou uma vulnerabilidade de software num único servidor Web virado para a Internet que Equifax não tinha conseguido corrigir.
Implications: A violação afectou o preço das acções da empresa e o CEO, CIO e CSO da Equifax demitiu-se pouco depois de a violação ter sido anunciada. A violação também ajudou a despoletar alguns estados, incluindo a Califórnia, a aprovar regulamentos de protecção de dados mais rigorosos.
Lessons learons: Para evitar que coisas semelhantes aconteçam à sua empresa, nunca se esqueça destas bases de segurança:
- li>Conheça os seus bens e realize um inventário regular de bens.li>Regularmente actualize e corrija o software.
- Classifique os seus dados e proteja-os de acordo com a sua sensibilidade.
- Arquivar ou apagar dados desnecessários de forma oportuna.
Quem: Uber
Quando aconteceu: 2016
Quando foi revelado: 2017
O âmbito de uma violação: Os dados pessoais de 57 milhões de utilizadores Uber e 600.000 condutores
Detalhes: No final de 2016, Uber soube que os hackers tinham obtido os nomes, endereço de e-mail e números de telemóvel de 57 milhões de utilizadores da aplicação Uber, bem como os números da carta de condução de 600.000 condutores Uber. Os hackers conseguiram aceder à conta GitHub de Uber, onde encontraram as credenciais para a conta de Uber’s Amazon Web Services (AWS). Uber tomou conhecimento da violação em 2016 quando os hackers exigiram dinheiro para apagar a sua cópia dos dados; Uber finalmente foi a público com a violação um ano depois.
Consequências: Pensa-se que a violação custou caro a Uber, tanto em termos de reputação como de dinheiro. Quando a violação foi anunciada, a avaliação de Uber era de 68 mil milhões de dólares e a empresa estava em negociações para vender uma participação à Softbank. Quando o negócio foi fechado em Dezembro, a sua avaliação tinha caído para 48 mil milhões de dólares. Nem toda a queda é atribuível à quebra, mas os analistas consideram-na um factor significativo. O CEO e director de segurança e aplicação da lei de Uber foram ambos despedidos e o OSC também foi forçado a sair. O acordo totalizou 148 milhões de dólares.
Lessons learons: Se utilizar repositórios de nuvens, assegure-se de que o seguinte é minimizado para minimizar o risco de um incidente semelhante:
- Saber que informação armazena em repositórios públicos, e não armazene aí quaisquer dados desnecessários.
Configure de forma segura os seus repositórios de nuvens.Force fortes controlos de segurança nos seus repositórios de nuvens.
As maiores brechas de dados do mundo em poucas palavras:
Nome da empresa | |||
---|---|---|---|
Yahoo | Yahoo não conseguiu conduzir uma investigação minuciosa para compreender plenamente a violação de 2014. Como resultado, apenas em 2016 encontraram o verdadeiro alcance desta violação. | 3 mil milhões de contas | Ponha-se a prioridade de investigar minuciosamente quando se tem mesmo uma pista de um incidente. |
Equifax | Hackers exploraram software não corrigido num único servidor web virado para a Internet. | 147,9 milhões de contas | – Conheça os seus bens e realize um inventário regular de bens. – Actualize regularmente e corrija software. – Classifique os dados e proteja-os de acordo com a sua sensibilidade. – Arquive ou elimine dados desnecessários de forma atempada. |
Uber | Hackers puderam aceder à conta GitHub de Uber, onde encontraram as credenciais para a conta Uber’s Amazon Web Services (AWS). | 57 milhões de utilizadores Uber e 600.000 condutores /td> |
– Saiba que informação armazena em repositórios públicos, e não armazene aí quaisquer dados desnecessários. – Configure correctamente os seus repositórios na nuvem. – Forme fortes controlos de segurança nos seus repositórios na nuvem. |
Consequências de violação de dados
As consequências de uma violação de dados são frequentemente graves e podem ter efeitos duradouros em quatro áreas-chave:
- Financeiro. As empresas enfrentam normalmente perdas financeiras substanciais, incluindo multas regulamentares e pagamentos de liquidação. Vêem frequentemente uma queda na sua avaliação também, como nos casos de Yahoo e Uber. E podem perder receitas futuras, especialmente se a propriedade intelectual for violada, porque muitas vezes leva à perda de vantagem competitiva e quota de mercado.
- Legal. Sempre que uma violação envolve qualquer tipo de informação pessoal, as empresas são susceptíveis de enfrentar processos judiciais de acção colectiva. Em alguns casos, as autoridades podem proibir as empresas de realizar determinadas operações, como aconteceu com a Heartland em Janeiro de 2009, quando esta foi considerada fora de conformidade com o PCI DSS e proibida de processar pagamentos com os principais fornecedores de cartões de crédito até Maio de 2009.
- Reputacional. Pode ser difícil estimar os danos que uma violação causa à reputação de uma empresa, mas os danos são frequentemente de longa duração. Além disso, executivos individuais podem ser despedidos ou forçados a demitir-se para mitigar os danos.
- Operacional. As violações de dados perturbam frequentemente as operações normais, especialmente durante o processo de investigação. Além disso, algumas violações de dados envolvem a perda completa de dados importantes, o que é especialmente doloroso porque leva tempo a replicar os dados.
Factores de risco de violação de dados
De acordo com o Estudo do Custo da Violação de Dados de 2018 realizado pelo Instituto Ponemon, o custo médio de uma violação de dados nos EUA é de $7,91 milhões e o número médio de registos violados é de 31.465 – através de $251 por registo. Claramente, é sensato investir alguns dos seus esforços de segurança na mitigação do risco de violação de dados.
Para reduzir o risco de uma violação de dados, é necessário compreender de onde vem o risco. Há dois grandes factores de risco: pessoas e dispositivos. Algumas pessoas têm de ter acesso a informação regulamentada ou sensível; não se pode simplesmente proibir todo o acesso aos dados. Mas as suas acções deliberadas ou acidentais podem levar a uma violação de dados de dados valiosos da empresa. Como vimos, podem cometer erros, tais como enviar informações para o endereço de correio electrónico errado ou carregar para uma acção não segura, e podem também utilizar deliberadamente o seu acesso para roubar dados importantes para ganhos financeiros ou para sabotar a empresa. Além disso, os utilizadores podem ser vítimas de roubo de identidade, no qual alguém aprende as suas credenciais e assume a sua identidade de utilizador para obter acesso a dados.
Os dispositivos são o outro principal factor de risco, especialmente os dispositivos portáteis que podem armazenar dados sensíveis e os dispositivos móveis que são utilizados para aceder a redes e recursos empresariais. Estes dispositivos são frequentemente perdidos ou roubados, e pode ser difícil alargar os controlos de segurança a estes dispositivos. Outros dispositivos também apresentam um risco grave quando o software não é remendado atempadamente ou está mal configurado.
Prevenção e resposta à violação de dados
Criminosos cibernéticos estão constantemente a surgir com novas técnicas e estratégias, o que torna difícil prever exactamente como irão executar o seu próximo ataque aos seus dados sensíveis. No entanto, há coisas que pode fazer para minimizar o risco de uma violação de dados. Neste blogue, decidi utilizar o Quadro de Segurança Cibernética NIST para delinear passos básicos que o podem ajudar a prevenir violações de dados:
ul>
Apenas 33% das organizações reavaliam os seus riscos informáticos pelo menos uma vez por ano
- Proteja os seus dados implementando salvaguardas apropriadas. Se não tiver a certeza por onde começar, pode sempre recorrer a um dos documentos de conformidade regulamentar para orientação. Pode aprender uma ou duas coisas sobre os controlos de segurança de dados, especialmente com regulamentos que se centram exclusivamente na segurança e privacidade de dados, como o GDPR. Outra fonte útil é a lista de Controlos CIS, que foi criada e é mantida actualizada pelo Centro de Segurança da Internet. Como este é um tópico importante, mencionarei apenas três salvaguardas básicas que podem melhorar significativamente a segurança dos seus dados:
- Encriptação – De acordo com a pesquisa Ponemon, o segundo factor que reduz os custos globais de uma violação de dados é a encriptação. É uma forma simples, mas frequentemente negligenciada, de proteger os seus dados. Mesmo que sejam roubados ou violados, os dados devidamente encriptados serão inúteis para os actores maliciosos; não poderão vendê-los ou utilizá-los contra si ou contra os indivíduos cujos dados roubaram.
- Governação do acesso aos dados – A certificação regular de privilégios e a monitorização do acesso aos dados reduzirá a sua superfície de ataque e ajudá-lo-á a detectar actividades anormais nas suas fases iniciais.
- Formação e sensibilização dos funcionários – O relatório Netwrix mostra que 50% das violações de dados envolveram utilizadores regulares. Comunique claramente a sua política de segurança e ensine os seus funcionários a detectar e responder a ataques, e reduzirá as suas hipóteses de sofrer uma violação de dados.
- Permitirá a detecção atempada de eventos de cibersegurança que ameaçam os seus dados. Com 68% das violações a passarem despercebidas durante meses ou mesmo mais, segundo a Verizon, não é de admirar que a detecção seja uma das duas áreas principais que os inquiridos do inquérito Netwrix IT Risks planeiam melhorar, a fim de minimizar o risco de violação de dados. Uma fonte realmente boa que pode ajudar é a MITRE ATT&CK base de conhecimentos, que detalha os sinais que é necessário procurar para detectar ataques.
- Esteja preparado para responder adequadamente quando for detectada uma violação de dados. Mapear um plano de resposta e comunicá-lo claramente para que todos na empresa saibam quem contactar e o que fazer no caso de uma violação de dados. Inclua no seu plano um procedimento de notificação alinhado com os regulamentos a que a sua empresa está sujeita. Lembre-se da lição das violações do Yahoo – faça uma investigação exaustiva para compreender completamente o que aconteceu, como aconteceu, que dados são afectados e o que precisa de ser feito para evitar que incidentes semelhantes aconteçam no futuro.
- Seja capaz de recuperar dados, sistemas e serviços que foram roubados ou destruídos numa violação de dados. Ter um plano de recuperação e testá-lo e melhorá-lo regularmente.
- não o faça sozinho. Procure soluções que possam ajudar a automatizar tantas tarefas quanto possível para que você e a sua equipa possam concentrar-se em actividades estrategicamente importantes.
- Procure novos desenvolvimentos de cibersegurança em várias indústrias e aplique as que lhe pareçam mais adequadas à sua empresa.
62% dos inquiridos declaram que precisam de desenvolver e implementar actividades apropriadas para identificar a ocorrência de um evento de cibersegurança
Conclusão
Estas medidas básicas podem ser um grande ponto de partida para reduzir o risco de uma violação de dados. No entanto, cada uma delas requer uma análise e tradução minuciosas para as especificidades do negócio da sua empresa. Eis algumas coisas que o podem ajudar nesse processo: