Como garantir a segurança dos dados quando a IA impera?

Fernando Ortega, CISO da Paschoalotto

Com o avanço da IA – inteligência artificial e sua crescente incorporação em diversos aspectos de nossa sociedade, a segurança de dados emergiu como uma preocupação de suma importância. Enquanto a IA oferece uma ampla gama de benefícios, incluindo ganhos de eficiência, produtividade e inovação, ela também traz consigo desafios consideráveis no que diz respeito à proteção e privacidade das informações.

Um dos principais pontos de atenção na era da IA é a salvaguarda da privacidade dos dados. Com a coleta e análise de grandes volumes de dados pessoais, há o risco iminente de violações de privacidade e exposição de informações sensíveis. Algoritmos sofisticados possuem a capacidade de identificar e até mesmo reidentificar indivíduos, mesmo em conjuntos de dados aparentemente anônimos, suscitando preocupações sobre o uso indevido e não autorizado dessas informações.

De acordo com um estudo recente conduzido pelo SAS em colaboração com o IDC, o Brasil se destaca como líder na adoção de IA na América Latina, com 63% das empresas já utilizando essa tecnologia em suas operações, superando a média regional de 47%. Setores como o financeiro, varejo e manufatura estão na dianteira desse avanço tecnológico. Ademais, 90% das empresas brasileiras investem em dados e ferramentas de analytics para identificar tendências e padrões de consumo.

Entretanto, à medida que a automação e a conectividade aumentam, a segurança cibernética emerge como uma preocupação crítica. Os sistemas de IA podem se tornar alvos para ataques cibernéticos, tais como roubo de dados, violações de segurança e sabotagem.

A entrada em vigor da LGPD – Lei Geral de Proteção de Dados em 2020 representa um marco na gestão e proteção das informações pessoais no Brasil. Esta legislação visa regular o tratamento de dados por organizações públicas e privadas, estabelecendo princípios fundamentais como consentimento do titular, transparência nas operações, acesso e correção de informações, bem como a responsabilidade das empresas na proteção dos dados pessoais.

Contudo, mesmo com a promulgação da LGPD, novos desafios emergem em meio à crescente onipresença da inteligência artificial. À medida que a IA se integra cada vez mais às operações cotidianas, questões éticas e de privacidade ganham destaque.

Diante desse cenário, é essencial reforçar as técnicas de anonimização e estabelecer padrões rigorosos de proteção de dados. Além disso, é imperativo repensar nossos valores e abordagens em relação à IA.

A educação e a conscientização desempenham um papel crucial nesse processo. As pessoas devem compreender como seus dados são coletados, utilizados e compartilhados. Da mesma forma, as empresas devem ser transparentes sobre suas práticas de coleta e uso de dados, assegurando políticas de privacidade claras e elucidando o funcionamento dos algoritmos.

Proteger nossos dados pessoais não é apenas uma questão ética, mas também uma obrigação legal. Com conscientização e práticas de segurança robustas, podemos garantir que nossa privacidade seja preservada, mesmo em um cenário cada vez mais permeado pela IA.

Sete soluções para os maiores desafios da IA na cibersegurança

Paulo de Godoy, country manager da Pure Storage no Brasil

À medida que a IA – inteligência artificial ganha cada vez mais popularidade e amplia a forma como trabalhamos, há uma área na qual ainda precisamos ter muita cautela: a segurança cibernética. A IA pode apoiar a proteção? Certamente, mas também pode ajudar os cibercriminosos. Nas mãos das pessoas erradas, esses recursos podem ajudar a identificar vulnerabilidades e explorar caminhos de forma mais rápida para lançar ataques ou violar defesas. É uma faca de dois gumes e, à medida que aprendemos a manejá-la, aqui estão alguns pontos a considerar ao lidar com os desafios da aplicação de IA à segurança dos dados.

 

1 – Não descarte o elemento humano da segurança cibernética

 

A IA pode resolver alguns problemas de forma mais rápida do que os humanos, mas ainda não está totalmente sob controle. E, enquanto o elemento humano for fundamental na implementação, esse fator também abre portas para vulnerabilidades que a IA não consegue resolver.

Em alguns casos, como modelos de treinamento, podem até ser influenciados por erros. Pior: a IA pode até gerar mais complexidade para o gerenciamento humano. À medida que aumentam os ataques baseados ou gerados por IA, treinar pessoas para identificá-los e aplicar medidas de segurança torna-se cada vez mais desafiador.

 

2 – IA não é uma solução mágica – cuidado com a falsa sensação de segurança

 

A segurança é uma história sem fim e em constante evolução. Assim como uma empresa com experiência em segurança evolui, os invasores e desenvolvedores de malware fazem questão de modernizar suas ferramentas e táticas todos os dias. Embora a IA tenha se tornado uma importante ferramenta na sua caixa, ela também está na deles.

As empresas precisam ter esse mesmo cuidado com suas práticas, adotando novas ferramentas e tecnologias e aplicando uma abordagem de segurança em vários níveis para se manterem atualizadas. A IA deve fazer parte desse esforço, mas não é o todo.

 

3 – IA é mais reativa do que proativa

 

A própria natureza dos modelos de aprendizagem e do reconhecimento de padrões é reacionária – é uma ferramenta poderosa quando se trata de detecção de anomalias e de discrepâncias comportamentais que podem indicar uma violação ou um invasor à espreita. No entanto, essa aplicação é frequentemente rotulada como proativa.

Tecnologias e processos amplos e proativos de segurança ajudam a construir uma postura defensiva mais robusta, que é crucial quando os cibercriminosos estão sempre aprendendo novas maneiras de escapar dessa detecção reativa.

A reativa é importante, mas, para ser eficaz, uma estratégia de segurança deve abranger o antes, o durante e o depois de uma violação. Isso significa boa higiene de dados, gerenciamento de patches, autenticação multifatorial, análise rápida de registro consistente e muitos treinamentos e exercícios práticos para garantir que os objetivos de recuperação sejam exaustivamente testados e possam ser executados com sucesso quando for necessário.

 

4 – De olho nos modelos, inteligência artificial é um reconhecimento avançado de padrões. Mas e se algum valor atípico gerar respostas erradas porque os modelos não evoluem?

 

O problema é que os usuários de rede corporativa geralmente são bastante previsíveis. Os modelos aprendem isso com o tempo, mas isso significa que quaisquer irregularidades podem, na verdade, introduzir problemas no ambiente de segurança, em vez de resolvê-los. Um exemplo disso pode ser um sistema que reage e modifica regras de firewall de forma dinâmica, bloqueando usuários legítimos do sistema.

Ainda é necessário um sólido grau de revisão prática, especialistas para fazer um double check, uma grande quantidade de dados para filtrar falsos positivos e, ao mesmo tempo, monitorar o modelo ao longo do tempo.

 

5 – Criar uma aprendizagem supervisionada

 

Confiar demais na IA como parte de um sistema de segurança capaz de influenciar e transformar pode trazer à tona preocupações importantes em torno da IA e da sua predisposição a erros. Por definição, esses sistemas podem criar regras de sim/não de forma dinâmica, com base no que consideram “padrões” ou “valores discrepantes”. Isso significa que a ferramenta pode fazer alterações que você não pretende, proteger excessivamente um sistema ou tornar um sistema pouco seguro. Uma ligeira anomalia no comportamento do usuário pode causar um bloqueio, mesmo para os usuários remotos.

Esses tipos de ajustes baseados em modelos podem ser ainda mais difíceis de determinar, localizar ou reverter do que os ajustados por humanos. Um ponto ainda mais preocupante é se suas permissões ou regras de acesso forem complexas, a IA poderá não conseguir distinguir entre exceções e anomalias.

 

6 – A criticidade da intervenção humana e da lógica

 

A aprendizagem supervisionada reintroduz o elemento humano nos modelos, o que nos leva de volta ao ponto nº 1: os humanos precisam fazer parte da equação e precisam ser capazes de interagir com a IA como usuários, mas também como um dos aspectos mais importantes da segurança – precisam andar de mãos dadas.

O que é um resultado bom ou ruim? Quando a IA deve agir? Embora não seja sensato deixá-la funcionar inteiramente por conta própria, você corre o risco de reintroduzir conceitos preconcebidos ou gerar mais vulnerabilidades ao intervir.

Não podemos confiar totalmente na IA ou presumir que ela nos dá uma imagem completa e precisa. Um ser humano terá que entender as informações para tomar a decisão certa e com cautela.

 

7 – O essencial para a assertividade da detecção de anomalias em grande escala

 

É necessário uma quantidade imensa de dados para executar o reconhecimento avançado de padrões. Para encontrar a agulha no palheiro, os dados devem vir de diversas fontes. Não se trata apenas do volume, mas também da amplitude a partir da qual os dados devem ser recolhidos e analisados.

Muitas empresas subestimam isso, fazendo com que a IA como ferramenta de segurança esteja longe de estar pronta para uso. As plataformas de dados devem oferecer visibilidade, simplicidade e escala a níveis incríveis para atender a essas demandas.

 

Conclusão

 

Embora a IA possa não resolver todas as preocupações de segurança de dados, uma plataforma de armazenamento de dados projetada para resiliência pode, principalmente uma que ofereça recuperação antes e depois que a IA detecte algo.

É fundamental que os líderes reflitam sobre isso agora, já que essas plataformas analíticas e de IA para ingestão e correlação de maior volume potencializam a detecção de ameaças e análises forenses com insights rápidos para que você possa conter invasores antes que eles implementem malware. Também é fundamental garantir a proteção dos dados com total imutabilidade e com controles de acesso rígidos e recuperação de dados rápida e granular.

Sete dicas para proteger os dados da sua empresa em 2024

Fernando Ortega, CISO da Paschoalotto

A situação atual em relação à segurança cibernética apresenta desafios significativos para as empresas em todo o mundo. O relatório da Seguradora Allianz revelou um aumento alarmante nos ataques cibernéticos em 2023, destacando um aumento de 50% nos casos de sequestro de dados (ransomware) apenas no primeiro semestre em comparação com 2022.

Além disso, casos de extorsões direcionadas a empresas também cresceram. Uma tendência preocupante é a rapidez dos ataques, com o tempo médio para a realização de ataques de ransomware caindo drasticamente de cerca de 60 dias em 2019 para apenas quatro dias.

Esses números impactantes destacam a urgência e a necessidade crítica de medidas robustas para proteger os dados empresariais e as empresas enfrentam uma pressão crescente para investir em tecnologias que ajudem a prevenir esses ataques. No entanto, é fundamental reconhecer que as soluções tecnológicas por si só não são suficientes para deter os cibercriminosos.

De acordo com a análise da Seguradora Allianz, de mais de 3 mil reclamações cibernéticas nos últimos cinco anos, mais de 80% de todos os incidentes foram causados por manipulação externa de sistemas.

Neste cenário de constantes ameaças e ataques, a proteção das informações empresariais se tornou uma prioridade absoluta para todas as organizações. Em 2024, é crucial mudar o jogo em relação à segurança cibernética e para isso, apresento sete dicas essenciais para manter os dados da empresa seguros.

 

Conscientize e eduque os funcionários

 

Violações de dados frequentemente resultam de erros humanos. Investir em programas de treinamento para conscientização sobre segurança cibernética é crucial. Os funcionários devem ser educados regularmente sobre práticas seguras, reconhecimento de ameaças e procedimentos corretos para lidar com informações sensíveis.

 

Fortaleça as senhas e autenticação multifatorial

 

Senhas fortes são a primeira linha de defesa contra invasões. Incentive o uso de senhas complexas e únicas para cada conta e sistema. Além disso, implemente a autenticação multifatorial sempre que possível. Isso adiciona uma camada extra de segurança, exigindo não apenas a senha, mas também uma verificação adicional, como um código enviado para um dispositivo móvel.

 

Faça atualizações e patches de segurança

 

Manter todos os softwares, aplicativos e sistemas atualizados com os patches mais recentes é crucial para fechar brechas de segurança conhecidas. Muitos ataques exploram vulnerabilidades antigas que poderiam ter sido facilmente corrigidas com atualizações.

 

Implemente a criptografia de dados

 

A criptografia é uma técnica vital para proteger dados confidenciais. Ela codifica as informações, tornando-as ilegíveis para qualquer pessoa que não possua a chave de descriptografia. Implementar a criptografia em dados em repouso, em trânsito e durante o armazenamento na nuvem é uma prática fundamental.

 

Faça backups regulares

 

Os backups regulares são uma estratégia de recuperação fundamental em caso de violação de dados, ataques cibernéticos ou falhas nos sistemas. Certifique-se de que os backups sejam frequentes e armazenados de maneira segura, preferencialmente em locais separados para evitar a perda total em caso de incidente.

 

Aposte em restringir o acesso e controle de privacidade

 

Adote uma abordagem baseada no princípio do “menor privilégio”, ou seja, conceda acesso aos dados somente a quem realmente precisa deles para desempenhar suas funções. Implemente sistemas de controle de acesso robustos para garantir que apenas usuários autorizados possam acessar informações sensíveis.

 

Tenha um monitoramento e resposta a incidentes

 

Implante sistemas de monitoramento em tempo real para detectar atividades suspeitas ou anomalias nos sistemas. Tenha também um plano de resposta a incidentes bem elaborado para agir rapidamente em caso de violação, minimizando os danos e restaurando a segurança o mais rápido possível.

Wiperware: Tudo o que você precisa saber sobre o maior exterminador de dados

Paulo de Godoy, country manager da Pure Storage no Brasil

O Wiperware, ou malware de limpeza, é uma evolução na guerra cibernética. Ao contrário dos ataques nos quais os cibercriminosos têm como objetivo negociar (muito) dinheiro para um resgate, como o ransomware, o Wiperware não faz reféns – ele apenas extermina permanentemente os seus dados.

Mas embora o objetivo seja o caos, e não o dinheiro, há coisas que sua empresa pode fazer para recuperar o controle. Confira abaixo uma lista com 10 perguntas e respostas essenciais sobre esse malware devastador e algumas dicas para manter a sua empresa mais segura.

 

1 – O que é e como ele difere de outros tipos de ameaças cibernéticas?

 

Wiperware é um tipo de malware como o ransomware, mas possui características diferentes.

O objetivo do Wiperware não é o ganho financeiro – é a destruição. O ransomware criptografa os arquivos da vítima ou os bloqueia fora do sistema, mas oferece uma chave de descriptografia ou acesso restaurado para resgate. O Wiperware, por outro lado, foi criado para destruir ou “limpar” dados em um sistema ou rede alvo. O objetivo é causar danos, interromper operações ou até mesmo sabotar a infraestrutura de um alvo.

A comunicação é diferente (ou inexistente). Os invasores de ransomware geralmente desejam se comunicar com você – para fornecer instruções sobre como pagar, por exemplo. Já os cibercriminosos que atuam com o Wiperware têm menos incentivos para se comunicar.

O impacto do Wiperware pode ser muito pior. Esses ataques podem resultar na perda permanente de dados e causar interrupções significativas que são difíceis, e até mesmo impossíveis, de recuperar sem extensos backups de dados e medidas de recuperação de desastres.

 

2 – Quais são as motivações?

 

Como não se trata apenas de dinheiro e os ataques são muitas vezes irreversíveis, os objetivos dos cibercriminosos podem ser políticos, ideológicos ou destrutivos. A meta pode ser desestabilizar uma infraestrutura crítica, causar o caos ou chamar a atenção. As tensões ou conflitos geopolíticos podem por vezes aumentar o risco de ataques de Wiperware, e é por isso que a compreensão destes fatores pode ajudar as empresas a avaliar a sua exposição ao risco global.

 

3 – O que acontece durante um ataque?

 

Wipers como o Meteor podem vir repletos de recursos que melhoram a abordagem típica de ataque de comprometimento, propagação, destruição e interrupção. Isso pode incluir alteração de senhas de usuários, exclusão de cópias de backup e desativação de modos de recuperação.

 

4 – É possível detectar um ataque de Wiperware em andamento?

 

É vital detectar invasores em sua rede o mais cedo possível para reduzir o tempo de interrupção enquanto eles estão reunindo reconhecimento e aperfeiçoando seu ataque. Quanto mais espionagem for realizada antes de um ataque, mais o invasor conhecerá sobre a sua configuração, provedor de backup e muito mais. Os mecanismos de detecção devem incluir gerenciamento de eventos e informações de segurança (SIEM) e sistemas de detecção de intrusão, detecção de anomalia e análise do comportamento de usuários e entidades (UEBA).

 

5 – Quais medidas são essenciais para evitar?

 

A visibilidade é fundamental. Depois que o wiperware for implementado em um ambiente, a capacidade de prevenir um ataque provavelmente será, na melhor das hipóteses, limitada. A verdadeira chave é garantir a capacidade de recuperação de um desses ataques devastadores.

Comece com uma arquitetura de resiliência que proteja os dados e, ao mesmo tempo, os disponibilize em caso de ataque. Arquiteturas de resiliência em camadas com diferentes localizações lógicas e geográficas podem ajudar a atender às necessidades mais diversas de backup e recuperação.

Outras medidas preventivas incluem snapshots imutáveis, arquiteturas de backup seguras e em camadas, segurança de redes, proteção de endpoint, controles de acesso e autenticação forte (incluindo armazenamento de credenciais de administrador), treinamento de funcionários e exercícios tabletop para os executivos na linha de frente da tomada de decisões.

 

6 – Fui vítima. E agora, o que fazer?

 

Um ataque de Wiperware é um desastre. Portanto, executar um plano de recuperação de desastres após um ataque é fundamental.

Primeiro, a recuperação de snapshots protegidos é fundamental para reestabelecer os negócios após um ataque. Provedores de armazenamento como serviço também oferecem SLAs de recuperação de ransomware, que ajudam a empresa a se recuperar de forma mais rápida, enviando arrays limpos para retomar a operação online enquanto os arrays infectados são bloqueados pela análise forense.

 

7 – Quais são os requisitos legais e regulamentares relativos à proteção de dados e à comunicação de incidentes de Wiperware?

 

Dependendo da localização e do setor, as empresas podem precisar cumprir regulamentos específicos de proteção de dados e violação de relatórios. Compreender esses requisitos é essencial para a conformidade legal.

 

8 – Os colaboradores podem ajudar a minimizar a chance de ameaças?

 

Sim. A conscientização dos usuários, a clareza da segurança e o treinamento são componentes vitais em qualquer estratégia de segurança cibernética.

 

9 – Existem segmentos específicos que são mais vulneráveis a ataques de Wiperware?

 

Algumas indústrias ou setores podem ser alvos mais atraentes para esses ataques devido à sua infraestrutura crítica (por exemplo, energia, serviços financeiros e transporte) ou dados sensíveis e regulamentados, como saúde e serviços financeiros.

 

10 – O que posso fazer agora para proteger a minha empresa?

 

Investir em armazenamento de dados moderno é o marco zero para uma melhor proteção de dados contra qualquer ameaça. O Wiperware evoluiu para ser mais destrutivo, e conhecer todo o potencial deste novo ataque deve deixar toda a sua empresa em alerta e aproveitar todos os recursos possíveis para evitar uma catástrofe desses softwares exterminadores de dados.

​

ISH Tecnologia detecta mais de 480 mil vulnerabilidades ativas em máquinas brasileiras

Redação, Infra News Telecom

A ISH Tecnologia, empresa de cibersegurança, revela em levantamento que detectou 488.831 vulnerabilidades ativas em máquinas brasileiras. A empresa alerta que são vulnerabilidades, na sua maior parte, antigas, isto é, cujas atualizações já foram disponibilizadas, mas nunca foram baixadas por descuido de usuários e/ou gestores.

E essas vulnerabilidades são muito comuns para a grande maioria das instituições e consideradas críticas por conta da simplicidade que seria invadir esse sistema. Segundo Paulo Trindade, gerente de inteligência de ameaças cibernéticas da ISH Tecnologia, esses grupos procuram por, além de softwares que não estão atualizados corretamente, sistemas que não têm backups feitos com regularidade e não possuem um sistema de segurança instalado. Por falta dessas devidas correções, muitas das fraquezas cibernéticas das corporações acabam sendo expostas.

De acordo com o levantamento, as vulnerabilidades mais procuradas pelos grupos maliciosos são:

Heartbeat. Permite que uma versão desatualizada e mais simples do software de uma máquina seja lida e criptografada, assim roubando dados do sistema operacional como tráfego, nomes e senhas do usuário podendo fazer com que os invasores se passem pelos usuários da corporação e roubem dados diretamente da fonte.

HTTP sys (execução de código). Nesse caso, a máquina analisa incorretamente um o protocolo de comunicação HTTP, pois seu código foi mudado por um invasor para obter os privilégios do sistema. Essa falha afeta vários servidores Windows, como 7SP1, 8, 8.1, Server 2008 R2, Server 2012, Server 2012 R2.

SMBv3. Afeta os protocolos de sistemas do Windows dos servidores Windows 10 e Windows Server, e é colocada como crítica, já que dificilmente se recupera o sistema uma vez que tomado pelos grupos. Nesse ataque, o grupo malicioso pode até explorar que corporação ele vai atacar: o sistema do prestador de serviço ou do cliente, porque ele concede justamente a execução de código arbitrário no servidor e no cliente SMB — o protocolo de compartilhamento de arquivos que permite que o computador os leia e grave-os.

RDP. É classificado como crítico no mapeamento pois o malware altera os códigos da Área de Serviço Remota, e cria configurações exclusivas para o servidor que ele está invadindo. Uma vez que instalado o código, o invasor poderá instalar programas, visualizar, alterar ou excluir dados e criar contas como se fosse um usuário do servidor.

Grafana. Nessa vulnerabilidade, são atacadas as informações operacionais fora do sistema Grafana, assim acessando e lendo arquivos que estão em locais restritos., incluindo senhas e definições de configuração.

Roteadores Cisco. Essa é baseada na interface web de gerenciamento dos roteadores Cisco Small Business RV320 e RV325 Dual Gigabit WAN PAN, e ocorre devido à validação imprópria da entra fornecida pelo usuário, assim permitindo que o grupo por trás do ataque seja administrador do sistema Linux da máquina.

Servidor IIS da Microsoft. Essa vulnerabilidade acontece quando o software acaba excedendo os números de dados suportados pelo buffer da máquina, a partir de uma solicitação PROPFIND do atacante. Esse tipo de invasão ocasiona nas negações de execuções e serviços da máquina da empresa após sequestrar os seus dados.

 

Importância da gestão de vulnerabilidades

 

Mesmo com o número alto de vulnerabilidades, há diversos passos que as empresas podem tomar. Segundo Trindade, o gerenciamento de vulnerabilidades é parte essencial para não só a segurança, mas também a prosperidade de uma instituição. “A importância no gerenciamento de vulnerabilidades reside no fato de que estas são frequentemente exploradas por hackers para obter acesso a dados sensíveis, podendo resultar em uma perda financeira imensurável.” Além de proteger seu próprio sistema e lucratividade, esse gerenciamento também garante a conformidade com a Lei de Proteção de Dados, que determina confidência máxima com as informações e dados pessoais de seus clientes.

Mesmo com a instalação de um sistema sólido de proteção de dados e gerenciamento de vulnerabilidades, Trindade destaca que é extremamente importante para a continuidade de uma sólida e resiliente defesa de sistemas da corporação, os cuidados cotidianos nos sistemas, como a atualização constante dos aplicativos e sistemas operacionais, a utilização de softwares antivírus ou uma solução mais avançada como EDR, uso de senhas fortes mesclando letras maiúsculas, minúsculas, números e símbolos (ex: !, #, ＄, entre outros), restrição de informações confidenciais, realizar testes com seu sistema de proteção e o treinamento de seus colaboradores para que eles não acessem possíveis sites que sequestram informações dos computadores.

Estudo do CGI.br mapeia acordos entre plataformas digitais e a rede pública de ensino no Brasil

Redação, Infra News Telecom

O Grupo de Trabalho sobre Plataformas para Educação Remota do CGI.br  – Comitê Gestor da Internet no Brasil lançou a segunda de uma série de três publicações sobre o tem.a. O relatório “Educação em um cenário de plataformização e de economia de dados: parcerias e assimetrias” traz um panorama sobre as tecnologias adotadas por secretarias estaduais e municipais de todas as capitais e de cidades brasileiras com mais de 500 mil habitantes durante os primeiros 18 meses da crise sanitária.

A partir de levantamento, obtido via Lei de Acesso à Informação, constatou-se que quase a totalidade das escolas e universidades pesquisadas buscou soluções oferecidas por empresas privadas, sobretudo estrangeiras. O estudo investigou como esses acordos se deram, na prática, e quais os critérios estabelecidos.

Para ter acesso aos serviços ofertados, alguns de forma gratuita, as redes de ensino aceitaram os termos e as condições propostos por companhias de grande porte, como Google e Microsoft. A análise dos resultados mostrou, por exemplo, que essa adesão aconteceu muitas vezes sem o completo conhecimento sobre riscos e efeitos da adoção das plataformas em atividades educativas.

A potencial ameaça à proteção de dados pessoais e sensíveis, especialmente de crianças e adolescentes, também foi analisada, bem como as finalidades — além das especificamente relacionadas à educação — para as quais essas informações foram coletadas. Analisou-se o processamento delas, se tem sido feito com transparência, e se as estatísticas que podem ser produzidas a partir dos dados serão, por exemplo, compartilhadas.

“O estado de emergência imposto pela pandemia exigiu uma adoção às pressas de tecnologias digitais na educação, como forma de evitar a interrupção do ano letivo. Mas, temos de projetar como isso será daqui para frente. É preciso rever muitos desses acordos com empresas privadas, garantindo efetivamente que atendam ao interesse público”, avalia Rafael Evangelista, conselheiro do CGI.br e coordenador do grupo de trabalho responsável pela publicação.

Evangelista enfatiza, ainda, que é necessário que o país construa formas seguras e escaláveis de garantir acesso a plataformas educacionais, antes que crises como a provocada pela pandemia aconteçam novamente. “Esse relatório mostra que precisamos pensar no futuro. Seguiremos com esse trabalho e, em breve, lançaremos o terceiro estudo da série, que irá propor caminhos e soluções para este cenário.”

A publicação está disponível no link https://cgi.br/publicacao/educacao-em-um-cenario-de-plataformizacao-e-de-economia-de-dados-parcerias-e-assimetrias/.

Instituto Daryus oferece curso gratuito sobre segurança da informação

Redação, Infra News Telecom

  O Grupo Daryus e o IDESP – Instituto Daryus de Ensino Superior Paulista, escola de negócios focada em gestão de riscos, segurança e privacidade da informação, continuidade de negócios e cibersegurança para cursos em pós-graduação e MBA, promovem uma maratona de aulas gratuitas sobre as principais tendências para proteção de dados, além de técnicas e soluções para a área de cibersegurança.

  As aulas, ministradas por especialistas, serão transmitidas ao vivo e on-line, entre os dias 23 e 25 de agosto, das 19h às 21h, e terão apoio oficial da Associação Internacional de Profissionais de Privacidade de Dados (IAPP). Os alunos que participarem poderão concorrer a prêmios de acordo com a quantidade de pessoas indicadas e receberão um certificado ao final do curso.

  Destinado para estudantes, profissionais iniciantes e especialistas que atuam nas áreas de segurança da informação, privacidade e proteção de dados, cibersegurança, forense digital, gestão de TI e programação, o encontro tem como objetivo mostrar situações emergenciais e práticas sobre os temas relacionados à segurança da informação e LGPD – Lei Geral de Proteção de Dados Pessoais.

  “É uma oportunidade para adquirir conhecimento sobre o tema, além de conhecer as ferramentas necessárias para minimizar os impactos de incidentes envolvendo ataques cibernéticos e vazamento de dados. Há cada vez mais a necessidade de profissionais qualificados para atuar nessas situações. Portanto desenvolvemos essa série de aulas para orientá-los na identificação dessas ameaças”, diz Nadia Guimarães, diretora executiva e coordenadora geral acadêmica do IDESP.

  Durante as aulas, será apresentado um panorama geral sobre segurança de dados, com casos, ameaças e o que poderia ser feito para evitar ou minimizar o impacto desses ataques. As tendências globais e os novos desenvolvimentos do tema privacidade e proteção de dados também serão abordados durante os encontros, principalmente na adequação a realidade brasileira. Além disso, serão apresentadas técnicas e soluções para lidar com as ameaças digitais.

  As inscrições ficarão abertas de acordo com a disponibilidade de vagas. Serão seis horas de conteúdo e os interessados podem confirmar presença no link https://dary.us/maratonabreaktheglass01.

Os desafios da proteção de dados

A LGPD – Lei Geral de Proteção de Dados constitui um manual de regras que orienta as empresas a se adequarem ao tratamento lícito de dados dos titulares. Um dos principais desafios é conciliar o processo de adequação e conformidade com as janelas de oportunidades para inovação e desenvolvimento e os direitos e liberdades fundamentais do cidadão.

Bruno Bioni, diretor fundador do Data Privacy Brasil

  A LGPD – Lei Geral de Proteção de Dados constitui um manual de regras que orienta as empresas a se adequarem ao tratamento lícito de dados dos titulares. Um dos principais desafios é conciliar o processo de adequação e conformidade com as janelas de oportunidades para inovação e desenvolvimento e os direitos e liberdades fundamentais do cidadão.  Hoje, é difícil imaginar ao menos um momento do dia onde não estamos trocando dados e sendo julgados com base nesses bits de informação. Definitivamente, é um novo componente do nosso contrato social.

  A LGPD tem uma enorme relevância na inserção do país na ordem econômica mundial, com a importância que damos aos dados pessoais no cenário global, tanto para transações comerciais, quanto para a materialização de direitos fundamentais. As empresas devem enxergar a adequação à LGPD como uma janela de oportunidade para inserir-se no mercado internacional, não como um receio de punição ou sanção de qualquer tipo.

  No final de 2016, o MCTI – Ministério da Ciência, Tecnologia, Inovações e Comunicação e o BNDES – Banco Nacional de Desenvolvimento Econômico e Social firmaram um convênio para mapear as oportunidades da agenda de IoT – Internet das coisas. Em 2017 e 2019 foram realizadas consultas públicas sobre o tema. Ou seja, o governo está atuando de forma coordenada e procurando engajar politicamente a sociedade brasileira nessa pauta. Porém, cabe destacar que a proteção de dados pessoais é uma questão estratégica e indissociável de um plano nacional de IoT. Isso porque leis de proteção de dados pessoais garantem que sejam fornecidos os conceitos-chave para o desenvolvimento da agenda de IoT no Brasil.

  Além de conferirem uma maior segurança jurídica tanto ao cidadão, quanto ao setor estatal e privado a respeito de como tais dados deveriam ser coletados, processados e compartilhados. Ainda, deve-se pensar em políticas públicas que premiam comportamentos desejáveis. Se no passado e hoje há linhas de crédito e, até mesmo, procedimento licitatório de tecnologias e serviços sustentáveis, por que não fazer o mesmo com soluções privacy-friendly?

  Com a Lei Geral de Proteção de Dados (Lei n.o 13.709/2018 ou LGPD), passamos a contar com um marco normativo indispensável a nossa integração à economia digital. Já contávamos, por certo, com normas protetivas de grande alcance. Na Constituição Federal já se asseguravam os direitos à intimidade, à vida privada e ao sigilo de dados, e previam o habeas data. No Código de Defesa do Consumidor (Lei n.o 8.078/1990) foram enunciados importantes direitos relativos a cadastros de consumidores, como os de acesso, comunicação, correção e limitação temporal, que prefiguram alguns dos princípios caros às legislações de proteção de dados pessoais.

  Na Lei do Cadastro Positivo (Lei n.o 12.414/2011), na Lei de Acesso à Informação (Lei n.o 12.527/2011) e no Marco Civil da Internet (Lei n.o 12.965/2014), já se identificavam importantes contribuições à proteção de dados pessoais. Mas a LGPD é a primeira lei no Brasil a tratar de modo sistemático e coerente a proteção de dados pessoais, definindo regras e procedimentos estruturantes dessa nascente área do direito, o que terá grande impacto na vida das pessoas, das empresas e dos entes dos setores público e privado, de modo geral.

  Tal foi a importância da promulgação da LGPD, que o Supremo Tribunal Federal, enquanto ainda perdurava a longa vacatio legis, reverteu, em decisão histórica, seu entendimento a respeito da matéria, reconhecendo, nas sessões de 6 e 7 de maio de 2020, o direito fundamental autônomo à proteção de dados pessoais, ao suspender a Medida Provisória n.o 954/2020, que obrigava as operadoras de telefonia a repassarem ao IBGE – Instituto Brasileiro de Geografia e Estatística dados identificadores de seus consumidores de telefonia fixa e móvel. O julgamento partiu da constatação de que, no mundo atual, com o incessante desenvolvimento da tecnologia informática, não há dados neutros.

  A relatora, ministra Rosa Weber, assentou que qualquer dado que permita identificar um indivíduo pode ser usado para a construção de perfis informacionais, de grande valor para o Estado e para as empresas privadas, que potencialmente ameaçam seu direito à autodeterminação informativa. Além disso, foi ressaltado no voto condutor que os vícios da medida provisória, nomeadamente a inobservância do princípio da finalidade, a ausência de medidas de segurança adequadas e o excesso na coleta de dados, eram agravados pela fragilidade do quadro normativo-institucional.  Em decorrência da demora na criação da Autoridade Nacional de Proteção de Dados, que só veio a ser criada no fim daquele ano, a despeito de sua importância central para a implantação bem-sucedida do novo regime jurídico.

  É nesse contexto de formação de uma nova dogmática, atenta aos profundos impactos socioeconômicos das agudas transformações do mundo contemporâneo, que reúne artigos publicados ao longo dos anos, abordando temas fundamentais, como o consentimento, o legítimo interesse, o regime jurídico de proteção de dados pessoais públicos ou manifestamente públicos, entre outros. Já em minha dissertação de mestrado – “Autodeterminação informacional: Paradigmas inconclusos entre os direitos da personalidade, regulação dos bancos de dados eletrônicos e a arquitetura da internet” – objetivei entrelaçar ao conceito nuclear de consentimento temas de grande importância, como a crescente complexidade do fluxo de dados, a expansão de assimetrias na economia digital e a noção de privacidade contextual, desenvolvida pela professora Helen Nissenbaum.

  A proposta do livro “Proteção de dados: contexto, narrativas e elementos fundantes” foi revisitar as minhas principais reflexões ao longo de quase uma década de engajamento acadêmico e profissional no campo da proteção de dados pessoais. Diante disso, selecionei os meus principais artigos científicos, de opinião e partes de pareceres em conjunto com autores e autoras prestigiado(a)s da área. O objetivo foi  contextualizar a proteção de dados pessoais no país, bem como apresentar aos leitores as repercussões e o processo de criação, aprovação, da entrada em vigor e dos desafios para a efetivação da Lei Geral de Proteção de Dados.

  O livro reúne dez anos de reflexões acadêmicas sobre proteção de dados, privacidade e direito digital, e conta com diversas perspectivas diferentes em conjunto com autores e autoras que são referência na área. A ideia é reconstruir temas relevantes no campo de proteção de dados pessoais, como origens históricas e sua aplicação prática a partir de diferentes cenários, até a explicação de conceitos um nucleares do campo, tais como: legítimo interesse, anonimização e cidades inteligentes. Logo, o livro inova ao perpassar justamente o contexto de criação do campo da proteção de dados, as narrativas que giram em torno da área e os fundamentos dos debates que a cercam no cenário atual – o que corresponde às três partes do livro.

Phishing explode com maus hábitos e curiosidade dos colaboradores

Redação, Infra News Telecom

  A CLM, distribuidora latino-americano de valor agregado com foco em segurança da informação, proteção de dados, infraestrutura para data centers e cloud, alerta para os riscos crescentes de ataques trazidos às empresas por meio de seus colaboradores, especialmente phishing e smishing (phishing via SMS). No primeiro trimestre de 2022, o APWG –  Anti-Phishing Working Group observou 1.025.968 ataques de phishing. Segundo a entidade, este foi o pior trimestre para phishing já observado e a primeira vez que o total trimestral ultrapassou um milhão.

  Além disso, no período, houve um aumento de 7% no phishing de roubo de credenciais contra usuários corporativos. Para o CEO da CLM, Francisco Camargo, com o home office e o BYOD – Bring Your Own Device, o perímetro de proteção se diluiu e as empresas devem implantar o modelo de risco centrado nas pessoas, nos colaboradores. Ele cita o “Proofpoint’s Annual Human Factor Report 2022”, estudo divulgado há alguns dias e realizado pela Proofpoint, empresa especializada em cibersegurança e conformidade, cujas soluções são distribuídas pela CLM.

  Com uma base de vários trilhões de pontos de dados, a Proofpoint analisa, todos os dias, mais de 2,6 bilhões de mensagens de e-mail, 49 bilhões de URLs, 1,9 bilhão de anexos, 28,2 milhões de contas na nuvem, 1,7 bilhão de mensagens móveis e muito mais. O relatório analisa as três principais facetas de risco, que exploram ameaças aos usuários (vulnerabilidade, ataques e privilégios), e inclui informações acionáveis sobre como proteger os colaboradores contra elas.

  “Os cibercriminosos sabem que o smartphone contém as chaves para a vida pessoal e profissional das pessoas. A Proofpoint descobriu que as tentativas de smishing mais do que dobraram nos EUA ao longo de 2021. No Reino Unido mais de 50% das ‘iscas’ foram sobre notificação de entrega. Os criminosos enviam mais de 100 mil ataques voltados a telefones por dia”, conta o executivo.

  O smishing é um tipo de phishing que usa as mensagens de texto dos celulares como meio de coletar informações pessoais. “Os hackers sabem que as pessoas continuam sendo o elo mais fraco da cibersegurança, por isso usam e abusam da engenharia social. Do outro lado, o aumento substancial de ataques phishing e smishing contra empresas acontecem, em grande parte, pela falta de cuidado ou pelos maus hábitos dos colaboradores.”

  O “Proofpoint’s Annual Human Factor Report 2022” revelou ainda que gerentes e executivos, que representam apenas 10% do total de usuários nas organizações, dão origem a 50% do risco de ataques mais graves.

  Além disso, mais de 80% das empresas são atacadas, todos os meses, por uma conta de e-mail de um fornecedor comprometido. O treinamento em conscientização de segurança com foco nas ameaças oriundas da cadeia de suprimentos é essencial para a saúde dos negócios corporativos.

  De acordo com o relatório, o Microsoft OneDrive e o Google Drive são as plataformas legítimas de infraestrutura de nuvem mais comumente usadas por agentes maliciosos. No ano passado, 35% das empresas que usam nuvem receberam um login suspeito ou experimentaram atividades suspeitas em seus arquivos após a violação, revelando que o risco baseado em privilégios aumenta à medida que as empresas migram para a nuvem. Em média, aproximadamente 10% das organizações tiveram pelo menos um aplicativo malicioso ativo, devidamente autorizado em seu ambiente.

  Outra descoberta da pesquisa é que a atuação conjunta entre grupos de malware e operadores de ransomware continua. Mais de 20 milhões de mensagens tentaram entregar malware vinculado a um eventual ataque de ransomware entre 1º de janeiro e 31 de dezembro de 2021.

 

Comportamento de risco dos colaboradores

 

  Outra pesquisa da Proofpoint, “State of the Phish 2022”, divulgada em fevereiro último, revelou que muitos colaboradores têm comportamentos de risco e não seguem as melhores práticas de cibersegurança. Entre os entrevistados, 42% disseram ter feito algo perigoso, como clicar em um link malicioso, baixar malware ou expor seus dados pessoais ou credenciais de login, em 2021; e 56% das pessoas que têm acesso a um dispositivo corporativo (laptop, smartphone, tablet etc.) permitiam que amigos e familiares usassem esses aparelhos para fazer coisas como jogar, streaming de mídia e compras online.

“Sem soluções de próxima geração, para a rede e nuvem, para proteger as empresas contra ameaças avançadas e ataques direcionados a e-mails, aplicativos para celular e mídias sociais, os números vão continuar batendo recordes”, finaliza Camargo.

FGV Direito Rio oferece curso de proteção de dados e privacidade

Redação, Infra News Telecom

  A FGV Direito Rio está com inscrições abertas para o curso “Data Protection Officer − Proteção de Dados e Privacidade”. Trata-se de um curso de educação continuada de 30 horas, que será oferecido online, em tempo real.

  A proposta é facilitar a compreensão da lógica da proteção de dados no Brasil e no mundo, examinar a dinâmica da legislação aplicável e desenvolver habilidades práticas para sua implementação.

  As aulas são destinadas a graduados em direito; profissionais que pretendam ocupar o cargo de encarregado pelo tratamento de dados pessoais; profissionais responsáveis pelas áreas de compliance, administradores ou diretores que serão os sponsors internos de projetos de implementação da LGPD; heads dos departamentos que pretendam compreender o impacto da LGPD em seus respectivos setores de atuação; e empreendedores de segmentos diversos que pretendam o desenvolvimento de soluções que envolvam tratamento de dados pessoais.

  As inscrições vão até o dia 6 de fevereiro e podem ser feitas pelo link https://direitorio.fgv.br/curso/educacao-continuada/data-protection-officer-protecao-de-dados-e-privacidade.