Últimas notícias

Fique informado

Os ataques aos órgãos públicos e o que eles nos ensinam

11 de fevereiro de 2022

Spotlight

Heather Vescent, pensadora e futurista do setor de identidade digital fala sobre ID no Metaverso

“Estamos começando a ver empresas de identidade digital aplicarem suas soluções para um mercado metaverso. Faz sentido resolver os casos de uso de hoje e planejar um mercado futuro”

9 de agosto de 2022

Telecomunicações, a raiz para os desafios de segurança cibernética

Alguns dos maiores golpes de inteligência artificial da história foram resultado do comprometimento dos sistemas de telecomunicações

8 de agosto de 2022

O que é criptografia assimétrica – ID Plus #10

No Id Plus dessa semana, a equipe de redação te explica o que é a criptografia assimétrica e como ela se aplica em nosso cotidiano

8 de agosto de 2022

FEBRABAN TECH traz renomados keynotes internacionais e nacionais para a edição 2022

Ban Ki-moon, Paul Krugman, Makaziwe Mandela, Ilan Goldfajn, Roberto Campos Neto e o ex-jogador Cafu estão entre os destaques do tradicional evento de tecnologia, que ocorre de 9 a 11 de agosto, na Bienal de São Paulo

3 de agosto de 2022

CISO Forum Brazil 2022 acontece 100% on line com o apoio do CRYPTO ID

CISO Forum Brazil 2022, a ser realizado nos dias 18, 19 e 20 de outubro de 2022 de forma 100% online.

25 de julho de 2022

Os ataques ao Ministério da Saúde levantaram muitas especulações, a maior parte delas carente de embasamento

Por Fabio Ferreira

Fabio Ferreira, CTO e sócio-consultor na Lozinsky

Em dezembro de 2021, diversos sistemas do Ministério da Saúde foram alvo de ciberataques de grande escala. O ransomware (sequestro e resgate de dados) atingiu, entre outros, a Rede Nacional de Dados em Saúde (RNDS), que reúne todas as informações registradas por estados e municípios em seus atendimentos na ponta do Sistema Único de Saúde (SUS).

Escrevo este artigo mais de um mês depois dos primeiros ataques e, até o momento, volumes imensos de dados ainda não foram recuperados – isso em meio a uma pandemia.

Além de atrapalharem significativamente o monitoramento da covid-19, os ataques fizeram com que informações sensíveis de milhões de brasileiros fossem parar em mãos desconhecidas, que podem dar a eles diversos usos perniciosos.

Até aqui, não há novidade: esses fatos foram amplamente noticiados na mídia nacional. O que pouco se comentou foi que não houve nenhuma grande ciência por parte dos hackers que cometeram o ataque.

Os cibercriminosos não precisaram de níveis muito altos de sofisticação para fazer um golpe desse porte. Foi um ataque de ransomware padrão. E pela demora em recuperar os dados, ficou claro que o Governo Federal não estava preparado para uma situação desse tipo.

LGPD e as lições aprendidas

Os ataques ao Ministério da Saúde levantaram muitas especulações, a maior parte delas carente de embasamento. Mas para além das teorias da conspiração, há constatações importantes a observar.

A primeira delas é que o meio corporativo foi mais impactado pela LGPD que o serviço público. Os ataques aos órgãos federais tiveram maior exposição midiática, mas ocorreram diversos outros crimes ou tentativas de crimes nas esferas estadual e municipal.

Manaus (AM) e Vitória (ES) são duas das capitais cujos sistemas sofreram ataques significativos. Diversos municípios menores tiveram que lidar com situações que foram de uma aparente “trolagem” sem maiores consequências a roubo de mais de R$ 500 mil das contas públicas, como aconteceu em Euclides da Cunha Paulista (SP).  Além, claro, de vazamentos de dados.

No primeiro semestre de 2021, ainda vimos diversos casos de empresas privadas sendo vítimas  de cibercriminosos.

Porém, a entrada em vigor da LGPD – e até mesmo esses ataques – tiveram grande impacto na preparação de uma arquitetura de segurança mais consistente, e maior esforço no aculturamento das equipes para adotar atitudes mais seguras. 

A “virada de chave” que a LGPD e os ataques anteriores provocaram no setor privado parece não ter ocorrido em prefeituras, estados ou na União. Nessas instâncias, a vulnerabilidade e a baixa capacidade de recuperação de dados se tornaram evidentes. 

Outra lição, essa mais urgente, é que, quanto maior a exposição de um tipo de dado na esfera pública, mais ele estará sujeito a ataques criminosos.

Em plena pandemia do coronavírus e com os esforços para reforçar a imunização da população, não deveria surpreender que os dados da Saúde seriam um alvo preferencial de criminosos.

Da mesma forma, as  empresas privadas mais atacadas na primeira metade do ano passado têm todas projeção na esfera pública e operam dados sensíveis de seus clientes, como grandes redes de varejo e laboratórios de análises clínicas.

Não que empresas cujos serviços tenham menor projeção estejam isentas: elas simplesmente não são o alvo preferencial, mas certamente são um alvo.

Se os dados são, como reza o clichê, o novo petróleo, eles são valiosos independentemente de onde se encontram. E quem os detém deve zelar por sua integridade.

Cultura de segurança

Mesmo com toda a exposição que os crimes tiveram, a maioria das pessoas parece não ter dado importância ao fato de seus dados terem vazado. 

A reação a esse tipo de crime é proporcional ao nível de conhecimento que cada um tem sobre o risco de ter seus dados expostos.

Há um grupo que está realmente preocupado com o que foi exposto, porque sabe o quão sensíveis são as informações em questão. Porém, a maior parte da população não consegue fazer uma associação de causa e efeito dos elementos presentes nesse tipo de crime.

Dificilmente o cidadão comum entende que as ligações que ele recebe vieram de um vazamento de dados.

Ele geralmente acredita, de forma bastante inocente, que é apenas o compartilhamento de dados de uma empresa com outra. Também não entende por que algumas informações sobre ele se tornaram indisponíveis em sistemas de saúde, e provavelmente nunca ouviu falar em engenharia social. 

Por isso, sempre bato na tecla de que é preciso criar uma cultura de segurança, e esse aculturamento precisa chegar ao usuário e aos operadores mais elementares dos sistemas.

Mesmo dentro de empresas, poucos têm discernimento sobre qual é seu papel na segurança da informação. É uma responsabilidade que deve ser assumida por todos, e não apenas pela TI ou pelos tomadores de decisão. 

Esse desafio não é pequeno, especialmente nos órgãos públicos. Afinal, em um país com as dimensões do Brasil, estamos falando de uma geolocalização dispersa, e com diferentes níveis de escolaridade e conhecimento entre os servidores.

Mas é preciso ser feito, e não pode esperar mais. Em um ano que promete ser politicamente sensível e sujeito a intempéries, não se pode criar um clima que favoreça criminosos ou aqueles que querem tumultuar. 

Dia da Internet Segura: saiba como empresas e internautas podem se proteger de ataques cibernéticos

Ransomware: o que é e como proteger a sua empresa de ataques cibernéticos

A variável da geopolítica nos ciberataques

Crypto ID no TikTok? Conheça essa novidade, você vai adorar!!

Ótimo pra você assistir e compartilhar com a família e amigos.

Dá uma olhadinha aqui! e se inscreva no canal.