Ransomware: Ataques cibernéticos na perspectiva do LGPD
Os ataques de ransomwares estão cada vez mais frequentes e ao sofrer esse tipo de ataque se o seu sistema não manter a conformidade com a LGPD pode trazer danos e multas elevados para a sua empresa.
Hoje em dia, quase todos os setores de negócios dependem de tecnologias digitais.
A infraestrutura e as boas práticas de TI, se não forem atualizadas regularmente, envelhecem e se tornam mais suscetíveis a ataques.
Portanto, pela quantidade e pela categoria de informações que detém, as empresas tornam-se alvos de ataques cibernéticos.
De acordo com a Tech Republic, em 2018, os ataques de malware lideraram a lista dos ataques cibernéticos mais populares no mundo, isso ocorre quando os cibercriminosos roubam dados dos computadores das vítimas, geralmente usando algum tipo de spyware.
O próximo item da lista, hacking, acontece quando um criminoso tira proveito de vulnerabilidades no software e hardware do alvo. Os hackers atualmente causam o maior dano a governos, bancos e plataformas de criptomoedas, como veremos a seguir.
Principais ataques cibernéticos que ocorrem online.
Em 2019, por exemplo, a conta do Twitter da chanceler alemã Angela Merkel foi hackeada e suas informações pessoais vazaram.
O incidente pode ser interpretado como um alerta, de que mesmo os funcionários em cargos de alto poder ou pessoas públicas de qualquer tipo precisam estar cientes dos riscos.
Outros ataques que vem ganhando popularidade nos últimos anos são:
- Ataques baseados em roubo de credenciais.
O roubo de credenciais corporativas geralmente é um esforço direcionado.
Os invasores vasculham redes sociais como o LinkedIn, procurando usuários específicos cujas credenciais concederão acesso a dados e informações críticas.
A eficácia do phishing de credenciais depende da interação humana na tentativa de enganar os funcionários, ao contrário de malware e exploits, que dependem de fraquezas nas defesas de segurança.
- Ataques na Web.
Quando os cibercriminosos tentam extorquir administradores de empresas lucrativas online, às vezes ameaçando roubar bancos de dados de clientes ou fechar o site.
- Ataque de negação de serviço (DDos).
A arma preferida de rivais de negócios, clientes insatisfeitos e hacktivistas.
Esses ataques geralmente atingem instituições governamentais e os eventos políticos são um dos principais impulsionadores.
Um DDoS sobrecarrega os recursos de um sistema.
Um ataque DDoS também é um ataque aos recursos do sistema, mas é lançado a partir de um grande número de outras máquinas host infectadas por software malicioso controlado pelo invasor.
Os criminosos geralmente realizam ataques DDoS para obter lucro, deixando sites offline e exigindo pagamento das vítimas para interromper o ataque.
Essa é uma forma de ataque hacker chamado de Ransomware.
De acordo com a Europol, os ataques de ransomware diminuíram em comparação a anos anteriores, contudo continuam a ser a maior ameaça de malware, uma vez que os códigos de ransomware estão cada vez mais avançados e mais difíceis de detectar e/ou derrotar.
Mas como o Ransomware se relaciona com o LGPD?
Ransomware é um tipo de software malicioso que ameaça publicar os dados da vítima ou bloquear permanentemente o acesso de um banco de dados.
Para recuperar o acesso, os invasores exigem o pagamento de um resgate.
Os danos causados por um ransomware são os seguintes:
- Destruição temporária ou permanente de informações confidenciais;
- Interrupção das operações por travamento da rede;
- Comando para pagar o resgate para restaurar o sistema e os arquivos.
Essa disposição ilegal dos dados da empresa pode representar um risco para os direitos e liberdades dos titulares de dados pessoais cujas informações a empresa possa deter.
Portanto, os ataques de ransomware podem ser associados ao LGPD e tratados como violações de dados.
Ao tentar atender aos requisitos da LGPD, muitas empresas ignoram a ameaça de ataques de ransomware.
Durante o ataque, os servidores, desktops e laptops da empresa podem ser afetados. A empresa deve avaliar a violação de dados e possíveis danos.
O diagnóstico deve ser realizado para saber se os dados pessoais foram comprometidos.
Em caso afirmativo, a autoridade local de proteção de dados deve ser informada dentro de 72 horas.
O relatório de violação deve conter o tipo de ataque, a quantidade de dados pessoais afetados, incluindo as ações tomadas e planejadas para eliminar as consequências.
No caso de uma violação grave, os titulares de dados pessoais cujas informações foram comprometidas também devem ser informados.
Dessa forma, as empresas que processam dados confidenciais devem informar a autoridade local de proteção de dados sobre o incidente, apesar da gravidade da violação causada pelo ataque.
Mas, se a empresa atacada não provar a conformidade com o LGPD, será forçada a pagar multas.
Um ataque de ransomware se qualifica como violação de dados?
Os invasores mais sofisticados buscam a calcular a multa que uma empresa enfrentaria, de acordo com a LGPD, antes de emitir suas demandas.
E assim, eles estabelecem suas exigências de resgate sob a penalidade que a vítima enfrentaria.
Os invasores esperam que as vítimas prefiram pagar o resgate e nunca denunciem o incidente, em vez de informar as autoridades locais de proteção de dados, pois iniciariam uma investigação e, possivelmente, encontrariam mais violações do LGPD acarretando mais multas para a empresa.
Por outro lado, as empresas podem reconhecer que receber uma multa é menos arriscado do que infringir a LGPD silenciosamente e varrer um incidente de ransomware para debaixo do tapete.
Especialmente quando é possível argumentar que um ataque de ransomware não se qualifica como uma violação e não precisa ser relatado (ou seja, nenhum dado pessoal foi roubado, alterado ou destruído durante o ataque).
Como evitar ataques de ransomware?
Especialistas em proteção de dados esperam o aumento de ataques de ransomware nos próximos anos.
Afinal, qualquer empresa, independentemente do tamanho, pode ser atacada.
Os invasores estão cientes de que receber uma multa da LGPD pode ser fatal para empresas menores.
Portanto, é crucial garantir que a rede seja fortemente defendida para evitar ataques de ransomware ou quaisquer outras violações da LGPD.
Entre os principais métodos de prevenção de ransomwares estão:
- Atualizar os softwares de todas as máquinas frequentemente;
- Comprar um programa antivírus que tenha boa aceitação no mercado de segurança virtual.
Usando a ferramenta certa, os ataques podem ser bloqueados, impedidos de se espalhar, protegendo o sistema contra infecções;
- Mover dados para a nuvem.
Normalmente, as nuvens têm medidas de segurança adequadas para proteger os dados e cumprir as exigências da LGPD;
- Impor senhas. Torna difícil para um invasor acessar qualquer conta se ela tiver uma senha longa e forte;
- Mantenha os backups de dados offline atualizados;
- Elimine contas de serviço não utilizadas.
O treinamento da equipe deve seguir após a aplicação dessas etapas para entender o que esses métodos fazem e por que foram implementados. Bem como, o que é um ransomware e como o incidente deve ser relatado.
Pagar um resgate não é uma solução, a defesa proativa sim.
Infelizmente para as organizações afetadas, muitas vezes os resgates não são uma saída.
Por isso, ficar quieto e ceder às exigências dos cibercriminosos não significa necessariamente que um ataque de ransomware desaparecerá.
Em muitos casos, os criminosos ainda divulgam dados roubados, propositalmente ou acidentalmente, após chantagear uma empresa com sucesso.
Por exemplo, os grupos de ransomware Netwalker e Mespinoza, no passado, publicaram dados confidenciais publicamente, embora tenham recebido pagamentos de resgate das organizações que invadiram. A ‘reextorsão’ também é lamentavelmente comum.
O grupo de ransomware Sodinokibi é conhecido por ameaçar as vítimas com a exposição dos dados mesmos semanas depois de pagarem o resgate inicial.
Mais recentemente, houve relatos de criminosos que supostamente fugiram de grupos de ransomware, entraram em contato com a empresa extorquida anteriormente e ameaçaram vazar as informações que as empresas já pagaram para manter a segurança.
Em alguns países, pagar um resgate também pode ser contra a lei.
No Reino Unido, os pagadores podem ser processados se for descoberto que o beneficiário tinha ligações com terrorismo sob a Lei do Terrorismo (2000).
Concluindo.
Por fim, mesmo que pagar os cibercriminosos não infrinja nenhuma lei (por enquanto), manter um ataque em segredo ainda é um erro e pode voltar assombrar um negócio no futuro.
Foi exatamente o que aconteceu com a Uber depois que pagou US$ 100.000 em 2017 aos cibercriminosos para manterem silêncio sobre uma violação que expôs as informações pessoais de 570.000 contas.
Quando o incidente inevitavelmente veio à tona, o CSO da Uber foi demitido e a empresa teve que pagar uma multa de US$ 148 milhões nos EUA e uma multa de £ 385.000 na Europa.
Consequentemente, em vez de depender de pagamentos de resgate, as organizações precisam garantir que um ataque não aconteça em primeiro lugar.
Uma estratégia preventiva de segurança cibernética que aproveita soluções determinísticas, juntamente com uma abordagem atualizada da segurança da rede, é, portanto, obrigatória.
Ser atingido por um ataque de ransomware pode fazer com que as organizações se sintam presas, mas com defesa eficiente, esse não precisa ser o caso.
Por isso é necessário que você sempre tenha em mente que é mais seguro optar por formas de segurança preventiva para evitar qualquer tipo de ataque.
Quanto a isso conte com a Aser para entregar as melhores soluções para os seus sistemas, afinal contamos com os melhores especialistas em segurança cibernética.