Vazamento de dados é a transmissão não autorizada de informações pessoais de terceiros, fluxos de trabalho e transações corporativas para um destinatário externo. O termo pode ser usado para descrever processos ocorridos em âmbito físico ou digital, mas os riscos de TI mais comuns estão relacionadas aos incidentes em sites e emails.
Apesar disso, o vazamento de informações críticas também pode ocorrer por meio de dispositivos de armazenamento de dados móveis, como mídia ótica e USB. Desde o início do advento da interconexão de equipamentos e o anseio pela digitalização das informações e processos corporativos, são noticiados eventos de vazamento e violação de dados na mídia.
Ainda que as duas ocorrências sejam tratadas igualmente, existe uma pequena diferença na causalidade do evento. Entretanto, a incidência desse tipo de episódio pode incorrer em problemas sérios para a segurança dos dados e danos graves à credibilidade da organização, independentemente do seu tamanho ou do segmento em que atua.
Além de gerar o ônus na reputação da empresa, episódios como o escândalo de vazamento de dados de usuários do Facebook pela Cambridge Analytica — que coletou dados de 87 milhões de perfis com o intuito de influenciar a campanha presidencial —, podem onerar o fluxo de caixa do negócio com pesadas multas e ações na justiça.
A responsabilidade corporativa será evidenciada ainda mais quando vigorar no Brasil a Lei Geral de Proteção de Dados (LGPD), que inspirada na General Data Protection Regulation (GDPR) da União Europeia, tem o intuito de aplicar pesadas sanções às empresas, pessoas físicas que lidam com informações de terceiros (como influenciadores digitais) e governos que não adequarem seus processos ao compliance instituído pela legislação em vigor.
Neste artigo discutimos a importância da segurança de dados para as empresas, como vazamentos e violações de dados ocorrem em ambientes digitalizados e o que fazer para evitar vulnerabilidades em infraestruturas de TI. Confira!
Qual o conceito de vazamento de dados?
Como já abordamos, o vazamento de dados é a transmissão não autorizada de informações — que deveriam estar protegidas em âmbito corporativo e institucional —, para destinatários externos.
As informações críticas presentes em ambientes de TI são oriundas de transações eletrônicas, conversas particulares entre usuários em plataformas e aplicações de comunicação, dados corporativos compartilhados em emails, dados pessoais de clientes e fornecedores etc.
Os incidentes decorrem de vários motivos, geralmente a partir de emails enviados a pessoas erradas ou informações críticas que foram divulgadas inadvertidamente em resposta a uma solicitação. Dessa forma, a maioria dos vazamento de dados é de natureza não intencional e não maliciosa.
No entanto, no caso da Cambridge Analytica citado anteriormente, por exemplo, assim como outros casos que envolvem empresas com bancos de dados abrangentes, essa alta exposição pode ser lucrativa para os cibercriminosos e justificar ações mais invasivas.
Isso, porque os cibercriminosos costumam expor ou denegrir a imagem da empresa, ou da instituição, podem sequestrar os dados e até exigir o resgate de grandes quantias em criptomoeda. Outras motivações serão discutidas nos próximos tópicos.
Em resumo, o vazamento de informações críticas pode ocorrer a partir de ataque de hackers, acesso não autorizado aos sistemas e bancos de dados e falhas de criptografias durante o tráfego de dados entre aplicações, por exemplo.
Vazamento de dados e violações de dados: qual a diferença?
Algumas empresas associam os termos vazamento de dados e violação de dados e interpretam as ocorrências como se fossem o mesmo tipo de incidente. Ambas estão relacionadas à perda de controle, comprometimento, divulgação, aquisição não autorizada de informações de identificação pessoal ou profissional.
Mas a causa do incidente é o que difere os dois conceitos. O vazamento de dados inclui invasões (de fora da organização) e de uso indevido (de dentro da empresa), enquanto a violação de dados está fortemente associada às ameaças externas.
O roubo baixo e lento de dados ou a transmissão não autorizada de informações críticas de dentro da empresa para um destinatário externo ocasionada por negligência de colaboradores pode ser classificado como vazamento de dados, como ocorreu no caso da Cambridge Analytica.
Já uma violação de dados pode ser um ataque direto a dados privados por uma entidade não autorizada, os hackers, que se aproveitam de vulnerabilidades e falhas de segurança em infraestruturas de TI (falta de métodos de acesso, ferramentas de endpoint e firewall) para instalar um malware ou ransomware nos dispositivos.
Por exemplo, o caso dos hackers que penetraram e instalaram um malware — o Remote Access Trojan (RAT) — juntamente do MimiKatz, uma ferramenta para detectar combinações de nome de usuário e senha na memória do sistema da Marriott International e, durante quatro anos (2014 a 2018), capturaram informações (números de passaporte e cartão de crédito, por exemplo) de milhões de hóspedes da rede de hotéis.
Quais são as principais motivações para o vazamento e a violação de dados?
A maioria dos vazamentos de dados ocorre em função de descuido e negligência humana, especialmente por funcionários com treinamento inadequado relacionado à segurança da informação.
No entanto, os incidentes também pode ser intencionais e as motivações são várias. Os cibercriminosos objetivam, principalmente:
- roubar a propriedade intelectual da empresa para posterior chantagem, venda ou uso pessoal;
- invadir contas de emails e aplicativos de mensagens instantâneas para extrair credenciais de acesso a ambientes digitais, números de contas bancárias, número de documentação pessoal, entre outras informações;
- descobrir conversas confidenciais e pausar operações sistematizadas para requerer resgates em criptomoedas;
- roubar nomes de contatos, endereços de email e telefones para disseminar a contaminação pelo malware ou promover ataques de phishing;
- usar informações pessoais em fraudes de identidade;
- ter acesso às informações financeiras (cartão de crédito e débito, conta e credenciais bancárias) para realizar transações que envolvem os valores depositados e aquisição de empréstimos;
- estudar os sistemas invadidos para incrementar novas modalidades de intrusão ainda mais disruptivas.
Qual o custo dessa vulnerabilidade para as empresas?
Os prejuízos do vazamento de dados podem ser altos para os negócios e não são relacionados apenas às consequências financeiras em decorrência de sanções penais aplicadas e processos judiciais que podem ser abertos pelos maiores afetados.
Os custos indiretos costumam ser mais impactantes porque estão associadas à credibilidade da empresa, que automaticamente fica comprometida no mercado.
Em relação ao custo de oportunidade, valores de vendas e rentabilidade que seriam realizados se não houvessem intercorrências, quanto maior for a importância dos dados vazados para esse pleno funcionamento e o tempo demandado pela equipe responsável para resolver a situação, maior será o ônus da empresa.
Quais problemas na infraestrutura de TI viabilizam o vazamento de dados?
Se você deseja proteger sua empresa contra o vazamento de dados, deve primeiro considerar as causas subjacentes a esses incidentes.
A maioria dos problemas na infraestrutura de TI acontece em função de um recurso bem específico, que diferentemente do que todos supõem, não se relaciona à tecnologia: o humanware. Os recursos humanos são a maior fonte de falhas e vulnerabilidades na TI, especialmente pela falta de preparo e negligência das equipes de trabalho.
Felizmente, grande parte dos casos não acontece de forma intencional, ou seja, não são maliciosos e planejados, mas o efeito das ocorrências pode ser tão prejudicial quanto se houvesse a intenção. Logo, os profissionais são os maiores ativos de uma empresa, mas também suas maiores fraquezas. Veja algumas dessas causas a seguir.
Senhas fracas
É da natureza humana facilitar as coisas, principalmente quando isso demanda procedimentos de memorização. Por isso, as pessoas criam senhas fáceis de lembrar e, ao mesmo tempo, de descobrir.
O uso de senhas padrão e o compartilhamento de credenciais de acesso em várias contas aumentam a vulnerabilidade de hardwares, softwares e servidores. Agentes maliciosos também usam a tecnologia em seu favor.
Sistemas baseados em Inteligência Artificial e machine learning são criados para automatizar as tentativas de preenchimento desses campos confidenciais e descobrem facilmente as credenciais mais simples. Conforme um relatório da CNN, as senhas mais usadas pelos usuários na Internet incluem:
- 123456;
- 123456789;
- senha;
- 111111;
- 12345678;
- abc123;
- 1234567;
- Senha1;
- 12345.
Por isso é preciso um cuidado especial com a autenticação em infraestruturas de TI, principalmente para acesso a bancos de dados críticos. Outra forma de inibir vulnerabilidades é a adoção de autenticação multifatorial.
Ciberataques
Um ataque cibernético ocorre quando um hacker ou criminoso obtém acesso a um computador, ou sistema. Os ataques cibernéticos podem ser classificados de muitas formas, cada uma com sua especificidade e alvo principal:
- roubo de dados;
- ataques de negação de serviço (Dos e DDos);
- SQL injection;
- ataques de malware, spyware, firmware, ransomwares, trojans, worms, entre outros;
- ataques Man-in-the-Middle;
- dumpster diving;
- detecção de senha;
- ataques de phishing e seus subtipos: whaling, spear-phishing, spy-phishing, pharming etc.;
- ataques de engenharia social;
- Browser hijacking;
- DNS hijacking.
Uma dessas formas de ataque cibernético com alta taxa de sucesso para o vazamento de dados é o ataque de phishing. Ele acontece a partir do envio de um link por email ou o clique em uma página da web que contém um código malicioso, que cria uma brecha para intrusão.
Por meio de táticas de SEO e engenharia social, os usuários são facilmente convencidos a acreditar na autenticidade do formulário para preenchimento de dados ou no botão com CTA (call to action) para download que instala automaticamente no sistema essa brecha que permite a entrada do invasor.
É preciso conceder aos funcionários o acesso à Internet, email, aplicativos de mensagens instantâneas e credenciais para sistemas de gestão a fim de viabilizar maior produtividade e autonomia em suas funções.
Apesar disso, esses meios de trabalho têm brechas que podem ser acessadas por fontes externas. Um cibercriminoso pode facilmente tomar uma conta de email comercial legítima e solicitar informações confidenciais corporativas aos usuários sem que eles percebam que contribuíram para o vazamento de dados.
Erro humano e negligência
O vazamento de dados não acontece necessariamente de forma intencional ou maliciosa. As ocorrências mais comuns acontecem devido à negligência das equipes de trabalho, o que significa que são acidentais.
Por exemplo, um colaborador pode escolher involuntariamente o destinatário errado ao enviar um email com dados corporativos confidenciais, e isso acontece com uma frequência maior do que as pessoas supõem.
De acordo com a Clearswift, empresa da HelpSystems e fornecedora de soluções de prevenção de perda de dados, cerca de 45% dos funcionários já compartilhou acidentalmente emails com detalhes bancários, informações pessoais, texto confidencial ou um anexo com destinatários indesejados.
Esse descuido pode ocorrer por falta de atenção, treinamento e comprometimento do funcionário com a política de segurança da informação adotada pela empresa.
Um estudo sobre vazamento e violação de dados da IBM juntamente do Ponemon Institute mostrou que erros humanos e falhas no sistema ainda somam quase metade (49%) do total de incidentes cibernéticos, o que custou às empresas cerca de três milhões de dólares entre abril de 2018 e junho de 2019.
Ameaças internas
Quando abordamos o vazamento de dados, muitas pessoas pensam que isso se refere às informações mantidas em dispositivos roubados ou extraviados.
Embora isso também aconteça, mas com uma frequência menor, a maioria da perda de dados ocorre em equipamentos como impressoras, câmeras, fotocopiadoras, unidades USB removíveis e até durante o processo inadequado de descarte de documentos.
Nada impede que um colaborador carregue para fora do seu local de trabalho contratos e outros documentos que ele julgar interessante.
Ainda que o ato, chamado de exfiltração de dados, não seja malicioso e com o intuito de causar prejuízo para a empresa, a possibilidade de uma perda posterior é enorme e compromete a política de segurança da informação adotada pela organização.
O ato malicioso, com o intuito de causar prejuízo e constrangimento para a empresa em troca de vantagens para quem o pratica, também ocorre. Essas pessoas são chamadas insider e são uma grande ameaça à segurança dos dados corporativos — ainda segundo o estudo da IBM, elas são as maiores causas de violação de dados nas empresas.
Como evitar o vazamento de dados?
Como você pôde ver, existem várias causas potenciais diferentes para o vazamento de dados. Então, como alguém que deseja proteger seus negócios impede essa ameaça?
Do ponto de vista individual e do negócio, há muitas coisas que você e sua organização podem fazer para interromper uma possível situação de intrusão e vazamento de dados. Veja algumas recomendações a seguir:
Identifique todos os dados críticos e desenvolva estratégias para protegê-los
Você não pode proteger algo que desconhece. Isso significa que, para proteger os dados da sua empresa, primeiramente é importante mapear os dados confidenciais, ou seja, as informações críticas que exigem um cuidado maior em todos os processos, mas principalmente nas fases de armazenamento e visualização.
Para fazer isso, relacione os documentos e outros arquivos que integram o banco de dados corporativo e mapeie o fluxo de trabalho para identificar com mais facilidade os possíveis gargalos, desde a coleta até o uso de informações.
Inventarie seus ativos de TI
Integram a infraestrutura de TI os hardwares, softwares, soluções de rede, servidores e bancos de dados, legados ou em nuvem, que demandam a adoção de critérios de autenticação conforme a criticidade dos dados trafegados em suas estruturas.
Logo, da mesma forma que você deve inventariar os dados que coleta, processa, usa e armazena, também será necessário inventariar todos os ativos que compõem a infraestrutura de TI. O objetivo é garantir homogeneidade na política de segurança adotada pela empresa e comprometimento de todos os agentes que lidam com essas tecnologias.
Desenvolva e aplique políticas de segurança abrangentes
É preciso criar diretrizes para o uso de soluções e tecnologias adotadas pela empresa, contratos de confidencialidade na visualização de dados críticos, políticas para delimitar permissões de acesso e para orientar na adoção de estratégias de alta criticidade para a segurança da informação, como o BYOD (Bring Your Own Device).
Essas políticas e diretrizes guiam os usuários quanto às boas práticas durante procedimentos de gestão, processos e nas tratativas relacionadas à segurança de dados.
Outra ação importante é a criação de um plano de contingência, que contenha as orientações em casos mais problemáticos, em que o vazamento de dados ou intrusão de agentes maliciosos realmente comprometa processos e a credibilidade da empresa.
A delimitação de uma equipe responsável pelo desenvolvimento de planos e aplicação dessas políticas também é essencial. Na dúvida, os gestores podem consultar e adotar as tratativas impostas pela LGPD como um início para a mudança e adequação.
Crie uma política de acesso aos dados corporativos
A gestão de identidades e acessos é um workflow imprescindível na gestão de segurança de dados das empresas. Nela, você limita o acesso aos sistemas e equipamentos de forma hierárquica e individual, conforme critérios preestabelecidos: comprometimento do profissional, tempo de trabalho na empresa e nível de responsabilidade do cargo em que ele ocupa, por exemplo.
Nessa tratativa, também devem ser incluídos treinamentos, para que os funcionários da empresa sejam instruídos a manterem essas senhas seguras e não compartilhem o acesso com outros usuários.
Imagine, por exemplo, se durante uma saída para o café o profissional não efetiva o logout do sistema de gestão da empresa, que está aberto em seu computador. Logo depois de sua saída, outro funcionário acessa o ERP e realiza um procedimento inadequado, que resulta no vazamento de dados. Quem deverá ser responsabilizado? Por esse e outros motivos, a política de identidade e acesso deve ser rígida e eficiente.
Implemente protocolos para a criação de senhas
Os funcionários também devem ser orientados quanto à criação de senhas. É imprescindível exigir credenciais de acesso mais complexas e exclusivas para as contas da empresa. Para isso, elas devem incluir letras maiúsculas e minúsculas, números e símbolos.
Além disso, a senha deve ser alterada com uma frequência predeterminada e armazenada preferencialmente em um local em nuvem sob outro critério de acesso (token ou certificado digital, por exemplo).
Exija que os funcionários usem VPNs em conexões externas
Se a sua empresa adota o BYOD e os funcionários, ao saírem das dependências da empresa, se conectam a outras redes, seus dados também ficarão vulneráveis, uma vez que durante esse acesso à Internet um agente malicioso pode entrar no sistema do aparelho e instalar um malware.
Para evitar isso, solicite que eles acessem outras redes por meio do uso de uma VPN — rede virtual privada.
Use firewalls e ferramentas de endpoint
As ferramentas de segurança são imprescindíveis no mundo moderno, onde a alta interconexão da infraestrutura de TI e a digitalização de documentos e processos podem interferir na segurança de dados da empresa.
Para proteger a rede, por exemplo, é preciso adotar firewalls, sistemas de detecção de anomalias e comportamento de rede (NBADs — Network behavior anomaly detection), sistemas de detecção de intrusões (IDS — Intrusion Detection System) e sistemas de prevenção de intrusões (IPS — Intrusion Prevention System), que analisam o tráfego e atividade anormais.
Já a proteção de hardwares e softwares pode ser evidenciada por atualizações e correções regulares, mecanismos de segurança física contra acesso não autorizado (a boa e velha porta trancada e equipamentos de monitoramento, como câmeras de segurança).
Além disso, é preciso um isolamento de dispositivos no terminal, que incluem as ferramentas de endpoint (antivírus, antispam), criptografia de terminal, sistemas de proteção contra intrusão (HDSs) baseados em host, limitação do acesso do usuário, gerenciamento de endereços IP por sub-rede, uso de VLANs (redes locais virtuais) e delimitação de zona (DMZs).
Habilite certificados de segurança em sites
Os certificados de segurança SSL e TSL são usados para dados em trânsito. Eles são instalados nos servidores da web e email para permitir transações seguras e criptografadas, uma vez que o navegador é o local de onde a maioria dos dados confidenciais é extraída.
Tenha um sistema de backups
Tenha rígidos procedimentos de backup, que também devem ser armazenados em mais de uma infraestrutura de TI, preferencialmente em um ambiente físico fora do âmbito organizacional e outro em nuvem.
A periodicidade do backup também deve ser pensada para garantir que, em caso de perda de dados, essas informações sejam recuperadas sem prejudicar os processos da empresa.
Tenha uma solução de criptografia
A criptografia na troca de informações também é essencial. Dados criptografados não podem ser lidos com a mesma facilidade que as informações sem criptografia, pois exigem a decodificação que mantém a inteligibilidade do documento. Isso garante mais confidencialidade às informações críticas, como registros de patentes e outros arquivos de propriedade intelectual.
Use um servidor dedicado
O servidor dedicado é outro elemento que garante a segurança das informações corporativas. Isso, porque é uma infraestrutura dedicada, ou seja, o espaço não é compartilhado com outros usuários ou sites, o que garante mais proteção às informações e processos, sem prejudicar outros requisitos como alta disponibilidade e integridade dos dados.
O servidor dedicado inibe falhas que podem criar brechas para o vazamento de dados e evita o bloqueio de IPS por spammers.
A recuperação bem-sucedida do vazamento de dados exige ações rápidas e decisões corretas. Com uma política de gestão de incidentes é possível avaliar o tamanho da perda, isolar os dispositivos afetados para impedir a disseminação do problema e relatar o ocorrido a terceiros, para que a resolução aconteça da melhor forma possível.
Gostou do artigo? Assine a nossa newsletter e receba diretamente em seu email informações relevantes para a política de segurança da informação da sua empresa!