Controlador – Infra News Telecom

Abranet propõe notificação de incidentes de segurança à ANPD só em casos de alta relevância

Simone Rodrigues — Fri, 26 Mar 2021 20:39:55 +0000

Foto: Pixabay

Abranet propõe notificação de incidentes de segurança à ANPD só em casos de alta relevância

Redação, Infra News Telecom

A Abranet – Associação Brasileira de Internet encaminhou para a ANPD – Autoridade Nacional de Proteção de Dados suas contribuições referentes à tomada de subsídios na regulamentação de alguns tópicos da LGPD – Lei Geral de Proteção de Dados. No documento, a entidade propõe que os incidentes de segurança sejam divididos em três níveis, conforme os riscos e potencial de danos, além de apontar quais casos deveriam ser isentos da notificação obrigatória, entre outras sugestões.

Para a Abranet, a notificação à ANPD e aos titulares dos dados só seria obrigatória quando houvesse incidentes considerados de alta relevância. Nesse caso, o incidente teria que possibilitar a identificação dos titulares, tais como nome, CPF, RG e endereço; ou envolver dados sensíveis que não estejam mascarados e que sejam passíveis de associação a seus titulares (ambos independentemente da porcentagem de dados afetados na base do controlador); ou ainda envolver informações que correspondam a mais de 50% da base de dados.

Os casos de baixa e média relevância estariam dispensados da notificação. Segundo a associação, são considerados baixa relevância incidentes cujos dados, isoladamente, não possibilitem a identificação dos titulares; dados mascarados ou criptografados; e dados que correspondam a 30% ou menos da base de dados do controlador. Já casos média relevância incluem incidentes que não possibilitem a identificação do titular e os dados que correspondam de 30% a 50% da base de dados.

No documento, a Abranet ainda propõe que o incidente de segurança não seja considerado relevante quando houver casos de phishing ou compartilhamento de senhas, uma vez que os cuidados com as credenciais de acesso são de responsabilidade do titular e não do controlador. O mesmo se aplicaria no caso de o titular usar a mesma credencial para vários serviços/produtos e ocorrer o vazamento dela.

Outra questão é a diferenciação entre risco e dano. “Para que seja considerado dano ao titular é necessário que dano material ou moral tenha de fato ocorrido ao titular dos dados. Enquanto nenhum dano de fato ocorrer, seria classificado como risco.” Exemplo: havendo vazamento de nome, CPF e RG do titular, o incidente entrará na categoria de “risco” até que o titular seja afetado, como, por exemplo, com a tentativa ou realização de fraude financeira e/ou roubo de identidade.

A Abranet também sugere algumas metodologias já consagradas para mensurar e avaliar os riscos e danos: ISO 27001, CERTs, CSIRTs, FIRST, IRM, FAIR e OCTAVE. Sobre o prazo para notificação, a proposta é que seja feita em até cinco dias, tanto para a ANPD como para os titulares dos dados. Sempre que possível, o incidente deve ser comunicado diretamente ao titular, salvo aqueles que envolvam dados de milhões de usuários. Nesse caso, a comunicação poderia ser pública.

Aumento no número de botnets no Brasil acende o sinal amarelo para ISPs

Michel Dalla Mariga Araujo — Fri, 27 Nov 2020 20:23:55 +0000

Aumento no número de botnets no Brasil acende o sinal amarelo para ISPs

Michel Dalla Mariga Araujo, country manager Brasil, da NSFOCUS

Em meio à pandemia, os hackers não descansam. Pelo contrário, tornam-se mais ativos e agregam uma nova camada de problemas a um cenário que já é bastante complicado, afinal o trabalho remoto e o isolamento social são armas conhecidas no enfrentamento da pandemia da Covid-19.

Ao longo de 2020 foram registrados ataques massivos a agencias estatais de saúde, serviços de delivery e outras empresas fundamentais a uma sociedade que necessita restringir a movimentação social.

Entre as novas ameaças registradas ao longo destes ataques, podemos citar algumas mais críticas:

• Vulnerabilidades Ripple20 0-day foram descobertas e, desde então, afetam milhões de dispositivos de redes em vários mercados em todo o mundo.

• Uma vulnerabilidade 0-day de alto risco foi descoberta em dezenas de dispositivos da Netgear, um dos roteadores mais populares do mercado.

• Um grupo de honeypots da ICS – Industrial Control System atraiu quatro ataques 0 days nos últimos meses, e ainda não se tem ideia do impacto destes ataques.

• Uma vulnerabilidade crítica de RCE – Remote Code Execution afetou milhões de dispositivos baseados em open WrT.

• Hackers foram flagrados explorando vulnerabilidade 0-day em dispositivos DrayTrek para lançar ataques em redes corporativas.

• Pela primeira vez hackers conseguiram tomar o controle de um smart building e lançar ataques a partir de dispositivos de inteligência e automação residencial e empresarial.

• Milhões de dispositivos LoRaWan foram atacados e acessados com sucesso por hackers, e servidores, gateways e nodes LoRaWan são comprovadamente vulneráveis.

• Até agora, hackers divulgaram 500 mil credenciais telnet de milhares de dispositivos.

• Pesquisadores descobriram a existência da LiquorBot, uma botnet com funções de crypto mining.

• O Google foi atingido por um ataque massivo de mais de 2 Tbps. Imagine por um momento este canhão direcionado a sua organização.

Como se não bastassem os episódios acima, o Brasil caminha a passos largos para se tornar uma “potência” em botnets. Perdemos apenas para a China e EUA, como mostra o gráfico abaixo.

Distribuição geográfica do endereço IP de origem nos registros honeypot

Somente este fato já deveria acender a luz amarela para os responsáveis por segurança e disponibilidade dos serviços de TI. Mas ainda temos mais. O fator HUMANO:

• O Brasil carece de uma educação cibernética, de esclarecimento maior da população em geral. Questões simples, como gerenciamento de senhas, navegação segura, etc., ainda são um desafio em nosso país. As agências governamentais deveriam assumir este papel, por meio de campanhas de conscientização e trabalho junto aos ISPs. Mas não é ainda o que ocorre.

• Legislação. Apesar da LGPD já estar em vigor, a lei não contempla casos de ataques de negação de serviços. Além disso, as punições ainda são consideradas muito brandas. A polícia faz o seu trabalho. Vide o desmonte recente das operações dos criminosos TOPIARY e GUERREIRO. Por anos a fio estes dois meliantes extorquiram e tiraram o sono de vários administradores de redes. Qual será a punição? Voltarão a transgredir? O mercado sabe que vários outros praticam os mesmos crimes.

• Tratados internacionais. Outra área onde o Brasil patina. O acordo de Budapeste, de 2001, prevê que crimes cibernéticos cometidos em países signatários possam ser investigados nos países de origem. Isto é, se um hacker baseado na Rússia promoveu um ataque a uma organização do país, o estado brasileiro passaria a contar com a colaboração das autoridades russas para investigar e punir o crime. Aqui ao menos uma boa notícia: O governo atual já manifestou a vontade de aderir ao acordo de Budapeste. Isso pode ser uma ajuda.

Mas enquanto não resolvemos as questões humanas, como devemos proceder para garantir nossos ambientes e clientes sempre no ar e não sermos vítimas de ataques DDoS? A resposta é simples: PREVENÇÃO.

Não deixe para tratar a questão quando os ataques estiverem ocorrendo. Custos e alternativas serão mais altos e limitados, respectivamente. O ideal é contar com soluções de nuvens anti DDoS capazes de mitigar ataques bastante altos, sem limites dos tamanhos de ataques e com POPs de mitigação no Brasil. Isso é essencial. Dessa forma, a latência de retorno de tráfego limpo será muito menor, e o impacto nas aplicações será mínimo.

Outro ponto importante é que o provedor do serviço de mitigação em nuvem tem de oferecer também o sistema de detecção e envio do ataque de forma automática para a nuvem de mitigação. Isso vai viabilizar a operação e evitar custos e dores de cabeça ao pessoal do SOC – centro de operações de segurança. Finalmente, as opções de retorno de tráfego limpo não devem se limitar a túneis GRE. A partir de POPs de mitigação no Brasil, o provedor de soluções em nuvem anti DDoS deve ser capaz de oferecer opções de conexões diretas ao POP: VLAN bilateral, cross-connect.

Outro ponto importante é contar com soluções especializadas de mitigação de ataques DDoS, caso a escolha seja por uma solução de mitigação in-loco (on-premises). Firewalls não são a melhor solução; balanceadores também não.

A solução on-premise, caso seja a escolha, deve necessariamente ser STATELESS. Não deve possuir tabelas de sessões, do contrário ataques de exaustão de sessões podem facilmente derrubar estes dispositivos.

Procure sempre a solução especializada. Não confie no pato. O seu negócio é importante demais para ficar fora do ar.

LGPD – Lei Geral de Proteção de Dados e os ISPs

Wlademir e Wallace — Fri, 27 Nov 2020 17:41:41 +0000

LGPD – Lei Geral de Proteção de Dados e os ISPs

Wallace Rodrigues Wanderley e Wlademir Andrade, especialistas em proteção de dados

Certamente você já teve acesso à LGPD – Lei Geral de Proteção de Dados e deve ter pensado “o que eu e minha empresa temos a ver com isso?”. Você e sua empresa, seja ela um açougue, supermercado, hospital ou provedor de acesso à Internet, têm muito a ver com a LGPD.

Para você, a LGPD, em vigor desde 18 de setembro de 2020, empodera seu controle sobre qualquer utilização e processamento de seus dados pessoais. Ou seja, você como titular dos dados tem poder sobre trânsito e uso das informações pessoais, você permite ou não que sejam usadas.

Para sua empresa, é a chance de mostrar ao seu cliente que seu negócio é transparente no sentido do tratamento e armazenamento dos dados, gerando credibilidade e respeito com as informações coletadas.

É claro que um tema complexo e tão amplamente divulgado gera dúvidas para quem está tentando entender por onde começar, afinal o volume de informações sobre o tema é enorme. Neste artigo vamos abordar temas específicos para que os ISPs – provedores de serviços de Internet possam dar os seus primeiros passos em direção à conformidade na Lei 13.853 (LGPD).

ISP – Quais dados são coletados? Onde armazenam?

Grandes responsáveis pelo avanço do acesso à Internet e pela popularização das redes de fibras ópticas no país, com taxas de crescimento da base de clientes acima de 10% ao mês, os ISPs basicamente armazenam dados de clientes para compor contratos e efetuar cobranças, e utilizam log de conexões para mitigar incidentes de redes.

Como o foco do negócio é, basicamente, expandir a carteira de clientes da rede de acesso, normalmente, tais informações são integradas e armazenadas em sistemas cloud based de empresas especializadas em sistemas de gestão de pequenos ISPs. Todo o armazenamento de dados acaba sendo terceirizado neste caso, à exceção dos logs.

Para ISPs com estrutura maior e serviços como streaming, voz e celular, o armazenamento de dados pode utilizar servidores em data centers locais.

Em seus sites, eles utilizam ferramentas como cookies para armazenar preferências de pessoas que navegam, ou mesmo para atender a alguma campanha de marketing no intuito de promover produtos e serviços, bem como melhorar a experiência do cliente.

Alguns provedores estão em modelos de negócios de “franquia” com algumas operadoras de grande porte, sendo que realizam a entrega do serviço dessa operadora por meio de sua estrutura local de cabos ópticos e equipamentos para chegar aos clientes.

ISP – Fases para adequação à LGPD

Em linhas gerais, o tema LGPD não é novidade para os ISPs, dado que o Marco Civil da Internet (Lei nº 12.965/14) regulamentou o uso da Internet no Brasil, estabelecendo princípios, garantias, direitos e deveres a serem observados por provedores e usuários dos serviços de Internet.

A LGPD veio para consolidar, legitimar e complementar o Marco Civil da Internet no âmbito dos direitos e garantias para a privacidade e proteção de dados do indivíduo.

Para ter o correto diagnóstico de seu caso, é necessário realizar todo o mapeamento dos dados, desde a sua entrada até o seu descarte, passando por um programa de conscientização em toda a empresa seguindo para o diagnóstico, planejamento e execução.
LGPD não se trata somente de consentimento, aprovação de cookies e aceitar as políticas de privacidade do site. LGPD estabelece as regras de como devem ser tratados os dados pessoais desde a coleta até o seu descarte. (Sim, dados pessoais têm prazo de validade).

A Conscientização é deixar claro para todos na empresa os objetivos da LGPD. Nessa fase, discute-se bastante sobre privacidade, segurança de dados e outros aspectos legais que podem impactar no negócio da empresa.

Já o Diagnóstico, um dos pontos principais do processo, trata do mapeamento dos dados coletados, elencando aí a finalidade da coleta e tratamento: quais dados são coletados, onde são armazenados, como e quando são descartados. Essa fase é documentada por meio da geração de um fluxograma de tratamento dos dados.

Esse documento permite identificar algum dado que esteja sendo solicitado sem necessidade, além da identificação de problemas no fluxo de coleta e tratamento de dados. Esses desvios ou problemas encontrados, incluindo aí brechas no sistema de cibersegurança, são elencados no gap analysis.

O planejamento nada mais é do que planejar a execução das soluções identificadas no gap analysis. Partindo daí para a execução e o acompanhamento do processo.

Fique atento com as bases legais

A LGPD traz em sua composição 10 bases legais para permitir o tratamento de dados. São elas: Consentimento; Obrigação legal; Exercício regular do direito; Execução de contratos; Tutela da saúde; Proteção da vida; Políticas públicas; Proteção ao crédito; e Legítimo interesse.

Durante as fase de diagnóstico, é necessário enquadrar cada coleta/tratamento em uma, e somente uma, dessas bases legais. Nem tudo em LGPD se resume na Base legal do consentimento.

DPO – Data Protection Officer

A lei determina a obrigatoriedade da empresa ter um profissional interno ou externo (via consultoria) que seja o encarregado de dados. Sua principal função é propagar internamente a importância ao cumprimento da legislação, bem como ser o interlocutor com a ANPD – Agência Nacional de Proteção de Dados.

Controlador e operador

Pode ser que alguns ISPs ainda não estejam muito atentos com a adequação à lei neste momento. Uma vez que somente coletam os dados e servem de meio de transporte, por meio de sua estrutura, onde os dados são armazenados remotamente, eles entendem que não há necessidade da adequação à LGPD, o que é um equívoco.

É necessário tomar cuidado e observar os aspectos da LGPD no que tange às responsabilidades do operador e do controlador.

O controlador é o responsável pelas decisões referentes ao tratamento dos dados e o operador realiza o tratamento dos dados de acordo com a determinação do controlador. Porém, ambos devem manter registro das operações realizadas, e segundo o ART.42 Inciso I (LGPD) – O Operador responde solidariamente pelos danos causados aos titulares.

Segurança dos dados

Uma vez que a empresa que coleta e trata os dados deve, segundo a LGPD, zelar pelo armazenamento correto e seguro das informações, é necessário que exista uma política de segurança de dados robusta. Pois, no caso de algum vazamento de dados, a responsabilidade é da empresa que pode sofrer sanções.
Importante atentar para os dados de RH ou de prestadores de serviços que também devem ser levados em consideração pois estão sob tutela da LGPD.

LGPD – Boas práticas para seu negócio

Ao contrário do que possa parecer, a LGPD é mais uma forma de tratar com transparência e ética os dados dos seus clientes, demonstrando seriedade e comprometimento com os titulares dos dados.

Sem dúvida, é uma nova legislação que traz boas práticas de planejamento, possibilita o lançamento de novos produtos com os componentes de segurança da informação e proteção de dados, já aderentes às normas LGPD (privacy by design).

É sempre importante lembrar que um processo de adequação a LGPD passa por uma metodologia de execução sendo primordial conhecer o negócio da empresa. Isso leva tempo, pois cada produto, dado, tecnologia de armazenamento e proteção do dado deve ser devidamente mapeado e ajustado.
Apesar das sanções entrarem em vigor somente em agosto de 2021, já existem processos sendo judicializados. As sanções podem variar de 2% do faturamento até R%$ 50 milhões por infração.
Entenda, a LGPD não é uma opção, é uma obrigação legal e atinge a todas as empresas. Informe-se, obtenha orientação de profissionais com credibilidade, adeque-se. Até a próxima!

Controlador, operador e encarregado: Quem é quem na LGPD

Gisele Kauer — Mon, 29 Apr 2019 17:32:51 +0000

Controlador, operador e encarregado: Quem é quem na LGPD

Gisele Kauer, Advogada em proteção de dados/senior data protection analyst no Banco Safra

Três importantes figuras foram introduzidas na legislação brasileira pela LGPD: o Controlador, Operador e Encarregado. A compreensão do papel de cada um, tal como as suas atribuições legais, é essencial para a compreensão da nossa nova legislação – e, sem dúvidas, para que possamos fazer um paralelo com a GDPR (ou RGPD – “Regulamento Geral sobre a Proteção de Dados”), que está em vigor há quase um ano na União Europeia.

Hoje, nossa proposta é apresentar cada uma dessas figuras e as suas peculiaridades para acabar de vez com qualquer dúvida. Então, vamos lá:

Controlador

É ele que MANDA. Nas palavras da própria lei, o controlador pode ser classificado como “pessoa natural ou jurídica, de direito público ou privado, a quem compete as decisões referentes ao tratamento de dados pessoais”. Seria a figura equivalente ao responsável GDPR, ou seja, a empresa que demanda o tratamento, podendo ela mesma realizá-lo ou contratar um operador (que veremos logo a seguir). A lei brasileira, no entanto, traz uma peculiaridade: o controlador pode sim, ser pessoa natural – na GDPR essa classificação é limitada a pessoa jurídica. De certa forma, é um viés interessante, já que inibe condutas criminosas como colocar “laranjas” desempenhando o papel de controlador; caso a pessoa física desrespeite a lei, haverá sanções também.

Cabe ao controlador, por óbvio, seguir o disposto na LGPD, devendo realizar o tratamento de acordo com os princípios ou orientar corretamente o operador, para que este realize um tratamento lícito. Um ponto interessante é a responsabilidade do controlador de elaborar o relatório de impacto (nas hipóteses aplicáveis).

Ele responde pelos danos patrimoniais, morais, individuais ou coletivos, tal como violações à legislação (dever de reparação). Ainda, responde solidariamente pelos danos causados pelo operador, se diretamente envolvido no tratamento que resultar em danos.

Operador

Está apenas cumprindo ordens e os dispositivos legais, é claro. Caso o controlador deseje que um terceiro realize o tratamento dos dados, será preciso contratar um operador: “pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador”. Esta figura seria o equivalente ao subcontratante da GDPR (é o processador dos dados pessoais).

O operador deve seguir as diretrizes trazidas pelo controlador e tratar os dados de acordo com as políticas de privacidade referentes e ao ordenamento jurídico.

Ele ainda responde pelos danos patrimoniais, morais, individuais ou coletivos, tal como violações à legislação (dever de reparação) – assim como o controlador. Responde solidariamente caso descumpra a legislação (equiparando-se ao controlador, caso não houver seguido as instruções deste).

Encarregado

Por último, mas não menos importante, temos a figura do encarregado: “pessoa indicada pelo controlador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados”. Equipara-se à figura do já conhecido DPO, da GDPR, e tem como responsabilidade legal estabelecer comunicação com os titulares e autoridade nacional, esclarecimentos, providências, orientações internas. Na redação original da lei brasileira, havia a exigência de que o encarregado fosse pessoa física; mas a redação foi alterada com a MP 869/2018.

Na LGPD, pelo menos por enquanto, o encarregado deve ser indicado pelo controlador, não havendo previsão expressa de indicação por parte do operador.

Ainda que o encarregado seja uma figura que ganhou lugar nos holofotes em ambas legislações, é importante lembrar: em momento algum há previsão sobre esta figura responder legalmente – entende-se, portanto, que cabe ao controlador a sua fiscalização, que pode ser seu funcionário ou prestador de serviços por meio contratual, pois, a quem interessa se o encarregado está desenvolvendo as suas atividades adequadamente é a própria empresa que o contratou. A responsabilidade, em caso de incidente, é do controlador ou operador (a depender do caso concreto); mas jamais do DPO/encarregado.