CIBERATAQUES: O SUCESSO DA LGPD EM UM MUNDO DE FAZ DE CONTAS

Você conhece os principais ciberataques de 2018 e como isto pode afetar a Lei Geral de Proteção de Dados (LGPD). Até que ponto estamos seguros?

Após a lei 13.709 ser sancionada no Brasil, a lei geral de proteção de dados passou a ser o novo bug do milênio. Todos querem uma caixa mágica para ficar em conformidade com a lei, mas ainda não entendem o que isto significa.

Não se trata só de adequação jurídica, mas uma série de procedimentos unindo governança, proteção de infraestrutura e conscientização de colaboradores sobre os perigos em decorrência ao vertiginoso crescimento do cibercrime.

Segundo informações do dfndr lab, laboratório especializado em cibersegurança da PSafe, foram detectados 120,7 milhões de ataques cibernéticos no primeiro semestre de 2018. Este número representa um crescimento de 95,9% em relação ao ano de 2017.

Os principais ataques que ocorreram no ano de 2018 foram os seguintes:

Ataques do tipo Zero-Day

Zero-Day é um ataque virtual que ocorre quando um ponto fraco do software é descoberto e explorado antes que o fornecedor disponibilize uma correção. Inicialmente, quando um usuário descobre que existe um risco de segurança em um programa, ele pode comunicar esse risco à empresa do software, que desenvolverá uma correção de segurança para corrigir a falha.

Esse mesmo usuário também pode alertar outras pessoas na Internet sobre a falha, se for ético, somente após o fornecedor do programa com a falha gerar a correção. Esses fornecedores criam uma correção rapidamente para garantir a proteção dos programas. Mas, às vezes, os hackers ficam sabendo da falha primeiro e são rápidos em explorá-la. Quando isso ocorre, é muito difícil prevenir-se de um ataque, já que a falha do software é nova.

Malwares

O termo malware ou Malicious software é um programa destinado a se infiltrar em um computador alheio de forma ilícita, com o intuito de causar algum dano ou roubo de informações. Vírus de computador, worms, cavalos de Troia e spywares são considerados malware.

Ciberextorsões

Ciberextorsão nada mais é do que o cibercrimiroso se valer de ameaças para exigir o dinheiro das vítimas em vez de roubá-lo diretamente. Embora seja um assunto altamente discutido, esse tipo de ataque cibernético continua a ganhar força, formando uma verdadeira indústria criminosa.

Já em 2017, organizações privadas juntamente com governos de todo o mundo não escaparam do seu caminho, com ataques mundialmente conhecidos de ransomwares como o WannaCry e o Petya.

Ransomware é um tipo de malware que sequestra o computador da vítima e cobra um valor em dinheiro pelo resgate, geralmente usando a moeda virtual bitcoin, sendo difícil rastrear o cibercriminoso. Este tipo de vírus age codificando os dados do sistema operacional de forma com que o usuário não tenha mais acesso a suas informações enquanto não digitar a chave que permite a decriptografia das informações que foram encriptadas pelo ramsonware.

Ataques DDoS

Um ataque DDoS visa tornar um servidor, serviço ou infraestrutura indisponível. O ataque pode assumir várias formas: uma sobrecarga da largura de banda do servidor para o tornar indisponível ou um esgotamento dos recursos de sistema da máquina, impedindo-a de responder ao tráfego legítimo. O resultado é semelhante ao famoso erro HTTP 500 que aparece no seu browser quando muita gente tenta ao mesmo tempo comprar aquele ingresso para um show esperado ou garantir seu lugar na arquibancada pra ver aquele jogão de bola da nossa seleção.

Phishing

Phishing (pronuncia-se “fichin” em bom português) é uma técnica de fraude online, utilizada por criminosos no mundo da informática para roubar senhas de banco e demais informações pessoais, usando-as de maneira fraudulenta. Uma tentativa de phishing pode acontecer através de websites ou e-mails falsos, que clonam a imagem de uma empresa famosa e confiável para poder chamar a atenção das vítimas. Normalmente, os conteúdos dos sites ou e-mails com phishing prometem promoções fabulosas ou solicitando que os usuários façam uma atualização dos seus dados bancários, evitando o cancelamento da sua conta em um serviço, por exemplo.

DNS Cache Poisoning

Envenenamento de cache DNS (DNS cache poisoning) é o comprometimento na segurança ou na integridade dos dados em um Sistema de Nomes de Domínios (Domain Name System DNS).

Esse problema acontece quando os dados que são introduzidos no cache de um servidor de nomes não se originam do servidor de nomes DNS com autoridade real. Tal problema pode ser uma tentativa de ataque malicioso em um servidor de nomes, mas também pode ser o resultado de um erro não intencional de configuração na cache do servidor DNS.

Suponha que você deseja acessar na sua casa, o endereço de internet SEUBANCO.COM.BR. O DNS de seu modem de internet, irá traduzir esse endereço em um número IP, número este utilizado na rede para localização e direcionamento de sua requisição ao servidor de destino.

Se o servidor de DNS de seu modem não for confiável, ele poderá direcionar a sua requisição para um servidor falso, dando a falsa impressão de que você está realmente na página que desejava acessar, porém, informando seus dados pessoas ao servidor do cibercriminoso.

CriptoJacking

Cryptojacking é uma ameaça online que se esconde em um computador ou dispositivo móvel e usa os recursos da máquina para “minerar” formas de dinheiro online conhecido como criptomoeda. Trata-se de uma ameaça crescente que pode se apoderar de navegadores da Internet e que atinge todos os tipos de dispositivos, de desktops e notebooks a smartphones e mesmo servidores de rede.

Ao instalar um programa ou acessar um site infectado por esse tipo de código malicioso, seu computador irá trabalhar para o cibercriminoso, roubando ciclos de processamento, memoria e energia elétrica da vítima, em troca da mineração maliciosa de criptomoeda sem que o usuário perceba. Seu computador ficará mais lento, mas não afeta no funcionamento ou roubo de dados propriamente dito.

Esses ataques fazem a demanda por profissionais de segurança crescer

Diante dos ataques descritos cada vez mais bem orquestrados pelos criminosos, fica claro que uma lei para proteção de dados somente poderá ser implementada por profissionais extremamente capacitados.

Se você é um profissional de TI e pensa em ingressar na área de pentests, perícias, resposta a incidentes, análise de malwares e mitigação de riscos de segurança e ainda tem dúvidas se esta área é promissora,  tenho um recado pra você: Prepare-se para uma avalanche de solicitações de testes de intrusão, laudos periciais e pareceres técnicos na área forense computacional, bem como em consultoria a mitigação de riscos em cyber segurança. GDPR

E se você é empresário, seja de uma pequena empresa ou até de uma grande corporação, prepare-se para meter a mão no bolso.  E tudo isso graças a GDPR Brasileira, conhecida com LGPD.

Afinal, o que é a LGPD?

A lei geral de proteção de dados pessoais, conhecida como LEI 13.709/2018, foi inspirada na GDPR – General Data Protection Regulation (Regulamento Geral de Proteção de Dados da União Europeia) que entrou em vigor maio de 2018. Trata-se de uma legislação brasileira que determina como dados de cidadão podem ser coletados e tratados e quais serão as punições para eventuais transgressões. GDPR]

Esse assunto vinha sendo discutido no Brasil desde 2012, baseado na PLC 53, que tinha como base pelo menos duas outras propostas que tramitavam pela Câmara dos deputados, além de outro projeto de lei que estava em análise pelo Senado.

Um dos pontos importantes a serem citados nessa nova lei é a definição do que acontece em caso de vazamento de dados de uma empresa. Já houve casos no Brasil em que as autoridades ou vítimas só ficaram sabendo do vazamento meses após o incidente, como no vazamento da Netshoes.

Agora isto não será mais aceitável. Vazamentos ou incidentes de segurança que comprometam dados pessoais deverão ser relatados às autoridades competentes, bem como aos clientes que tiveram os dados vazados o mais rápido possível.

Hoje se fala de muitos casos de vazamentos de dados de empresas americanas, mas quase nunca em empresas brasileiras. Isto porque não existia até então legislação em vigor sobre a obrigatoriedade de comunicar esse tipo de vazamento aos clientes, a autoridades competentes e a imprensa, contrariamente do que ocorre nos EUA.

Com a Lei 13.709/2018, a punição por descumprimento da lei para a empresa ou organização responsável pelos dados vazados poderá ser desde advertências até uma multa equivalente a 2% de seu faturamento bruto anual, limitado a R$ 50 milhões.

A lei 13.709 foi aprovada em 14/08/2018 pelo então presidente Michel Temer com apenas um veto presidencial no que se refere a criação da Agência Nacional de Proteção de Dados – a ANPD – dado que se esta autarquia fosse instituída sob a pasta do Ministério da Justiça poderia ser considerada inconstitucional. Para resolver a questão, a Medida Provisória 869 de dezembro de 2018 institui a criação da ANPD diretamente sob a presidência da República. E tudo em nome da proteção dos dados pessoais. Será?

Como a LGPD afetará as empresas na prática:
Convido a você a fazer um pequeno exercício comigo:

Uma empresa é considerada pequena perante ao BNDES com faturamento bruto anual de até R$ 16 milhões.  Já uma média empresa é aquela cujo faturamento bruto anual seja de até R$ 90 milhões e a partir disso será considerada média-grande as que possuem faturamento bruto de até R$300 milhões. Acima disto, o BNDES considera a empresa como Grande.  Uma eventual multa por descumprimento da lei de proteção de dados pessoais neste caso seria a seguinte:

Classificação da Empresa

Valor da Multa Até

Pequena

R$    212.000,00

Média

R$ 1.800.000,00

Média-Grande

R$ 6.000.000,00

Grande

R$ 50.000.000,00

Voltemos nossos olhos agora a deep web, onde impera o submundo do crime organizado. Uma modalidade praticada de crimes pela internet com crescente expansão é a extorsão mediante a dados roubados de uma empresa.

O sistema de uma determinada instituição é hackeado, onde os dados de clientes são copiados e depois de algum tempo, o criminoso entre em contato com os responsáveis pela segurança bem como os sócios da empresa para informar sobre seus sistemas e as vulnerabilidades existentes em sua estrutura que permitiu que determinadas informações sensíveis fossem copiadas.

Como prova, o hacker do mal (sim, originalmente todo hacker era para ser do bem) manda alguns dados roubados aos sócios para comprovar suas habilidades e ainda sugere algumas formas de corrigir a vulnerabilidade para novos ataques não ocorram.

Como prêmio pelo “serviço prestado”, o criminoso solicita que a instituição remunere o hacker com transferência de bitcoins (moeda virtual rastreável, porém não identificável) para uma carteira específica.

Geralmente esse tipo de extorsão costuma custar algo entre 3 a 10 bitcoins, dependendo do tamanho da empresa. A cada nova interação com a instituição, o criminoso aumenta seu custo e começa a ameaçar de leiloar os dados copiados na deep web, caso a transferência para sua carteira não seja realizada no prazo estipulado.

Práticas semelhantes ocorreram com grandes empresas, segundo noticiado pela imprensa, como a Netshoes e o Banco Inter, além de várias outras que acabaram cedendo à pressão dos cyber criminosos mediante a pagamento em bitcoin do resgate e com isto, tendo seu nome preservado.

Dado que 1 bitcoin hoje (30/04/2019) está cotado em R$ 20.787,17, estamos falando que esses crimes de extorsão solicitam em troca pela não divulgação dos dados na internet algo entre R$ 60.000,00 a R$ 210.000,00.

Com a aprovação da lei geral de proteção de dados pessoais, podemos concluir que o valor do resgate em bitcoins é infinitamente menor do que a multa de 2% que a instituição deveria pagar em caso de vazamento da informação.  E claro, além da multa e dores de cabeça com o governo, o empresário terá um custo enorme em relação a sua imagem, pois muito mais que multas, o custo de uma empresa com sua imagem maculada é maior do que qualquer outro existente, levando até uma possível falência dependendo do tamanho do incidente.

A GDPR brasileira é praticamente um passe livre aos cyber criminosos. Já os empresários, do pequeno ao grande porte, precisarão se adequar para não ter sua imagem exposta ou viver na mão de chantagistas virtuais. É aí que a demanda por profissionais de segurança irá explodir.

Primeiramente, as estruturas e aplicações precisarão ser avaliadas em um possível teste de intrusão. Caso apresentem alguma vulnerabilidade (e acredite, vão apresentar), precisarão ser corrigidas através de mitigação de risco em equipamentos, sistemas operacionais, renovação de políticas de segurança e porque não na correção e modernização de aplicativos, mobilizando programadores e analistas de sistemas de diversas linguagens desde o Cobol até as mais modernas.

Para casos de dados vazados, muitas empresas precisarão de peritos forenses computacionais para documentar como de fato se deu o vazamento, se houve falha de segurança por falha humana, equipamentos ou mesmo envolvimento de funcionários ou prestadores de serviço facilitando o trabalho dos criminosos. Pareces técnicos serão de suma importância para explicar os detalhes e atenuar as multas aplicadas.

Sem contar que o órgão regulador da Lei 13.709/18 – a ANPD – precisará eventualmente de peritos para avaliar a gravidade de cada caso de vazamento apurado, sem contar o apoio aos DPOs (Data Protection Officer), profissional responsável por aconselhar e verificar se tais empresas estão obedecendo a LGPD ao processarem e tratarem dados pessoais de terceiros.

Na Europa, pequenas e médias empresas já demonstram dificuldades em se adequar tecnicamente para garantir a privacidade dos dados levando o governo a criar um fundo de ajuda para essas empresas. Duvido muito que isto aconteça no Brasil, dado que a conta sempre é apresentada ao empresário neste país, portanto, tanto as grandes empresas de segurança como os profissionais autônomos serão procurados para ajudar nessa verdadeira avalanche de demanda por pentesters e peritos, além de gestores de segurança, auditores e pessoal de blue team.

Corram paras Colinas!

A multa estipulada na LGPD passa a vigorar a partir de 16 de agosto de 2020, ou seja, é o tempo que resta para as empresas se adequarem a nova lei e evitar as punições cabíveis. Portanto, preparem-se: obtenham o máximo de informação sobre o assunto.  Recomendo que os profissionais da área de segurança se atualizem em relação as diretrizes da nova lei brasileira, reciclem seus conhecimentos em relação as novas e velhas tecnologias, seja em relação à sistemas operacionais, equipamentos como firewall e IPS, tecnologias mobile e IoT.

E aos empresários, sugiro aumentar (ou criar se é que ainda não existe) um fundo de investimento em cyber segurança para os próximos meses em sua empresa além de entender que um responsável pela segurança computacional passa ser uma função tão importante dentro da instituição como um contador, ou um diretor financeiro, pois o risco é iminente.

Procurem também um seguro contra crimes cibernéticos, modalidade de seguro oferecida por cada vez mais seguradoras. E para quem ignorar essas previsões, só resta rezar para não receber um e-mail anônimo de um certo leilão, onde o cobiçado artefato a ser leiloado será o coração de sua empresa.

Que fique claro que as caixas mágicas só tornarão empresas aderentes à lei em um mundo imaginário. Precisamos nos capacitar com a maior arma que temos para combater fraudes eletrônicas: CONHECIMENTO.

Invista em treinamentos para seu pessoal, certificações, governança, revisão de contratos com clientes, fornecedores e colaboradores, e valide sua infraestrutura. A LGPD é um caminho sem volta. Quem não se adequar, não vai sobreviver.

INTERESSADO EM CONHECER UM POUCO MAIS SOBRE AS CERTIFICAÇÕES DE CYBER E LGPD DO EXIN?

Sobre o autor do artigo

Marcelo Nagy é chefe de Segurança da Informação na QualiSign S.A,  Perito Judicial na área Computacional e professor de pós-graduação da Faculdade Impacta. Formação acadêmica em Processamento de dados, Ciências da Computação e Gestão em Tecnologia da Informação, pós-graduado em Cyber Segurança, pós-graduado em Prevenção e Investigação de Crimes Digitais e pós-graduado em Perícia Judicial e Extrajudicial. Certificado pelo EXIN em ISO 27.001 e Ethical Hacker. Como Perito Forense, atua para o TRT-SP, TJ-SP, colabora com o DEIC-SP na delegacia de crimes eletrônicos – 4a DIG e também com o Ministério Público de São Paulo. Perito credenciado pela APEJESP, pelo CRA-SP e pela Associação Brasileira de Peritos em Computação Forense – APECOF.