De acordo com Rafael Narezzi, mesmo antes de entrar em vigor, já existem muitos pontos críticos que criminosos sondam usar contra empresas que não estiverem se adaptando a nova regulação
A partir do dia 18 de maio de 2018 começa a valer o Novo Regulamento sobre a Proteção de Dados – o General Data Protection Regulation (GDPR), que será exigido de todas as organizações que processam dados de consumidores da União Europeia.
Aquelas que não o fizerem, terão de pagar multas de até 20 milhões de euros ou 4% do seu volume de negócios global anual, o que for maior.
Apesar de se tratar de uma regulamentação da UE, qualquer empresa ou organização brasileira que processe, colete, hospede ou compartilhe dados pessoais de usuários da União Europeia terá de se adequar.
Mas o que isso significa?
Segundo o especialista em Segurança Cibernética da 4CyberSec, Rafael Narezzi, o GDPR surge com o intuito de proteger dados das empresas e cidadão europeus.
“No entanto, com um mundo cercado de desafios digitais e com o volume de ataques cibernéticos em constante crescimento, temos de analisar como a GDPR também poderá ser usada pelo cibercrime. Em uma pesquisa feita pela 4CyberSec (consultoria de Segurança Cibernética) na Dark Web (Internet não acessada por navegadores populares), descobriu-se a expectativa de cibercriminosos para usarem o GDPR em beneficio próprio. Segundo o levantamento, hackers usariam o regulamento para fragilizar e chantagear as empresas que estiverem vulneráveis, de forma que tenham que pagar aos criminosos ou terão que pagar a multa exorbitante da GDPR”.
Porém, nem tudo está perdido, uma vez que subentende-se que os Órgãos Reguladores devam dar um grande período para adaptação das empresas, o que não é garantido. E as empresas que tiverem seus dados (e de seus clientes e/ou usuários) expostos devido a falta de conformidade com o GDPR, além das perdas financeiras, terão dificuldades para explicar o ocorrido.
De acordo com Rafael Narezzi, mesmo antes de a regulamentação entrar em vigor, já existem muitos pontos críticos que esses criminosos sondam usar contra essas empresas:
1 – Right To Erasure (“Right To Be Forgotten”), ou seja, dá o direito de um individuo europeu solicitar que a sua informação seja apagada, removida, do banco de dados ou qualquer outro arquivo que possua a informação, inclusive dos Backups. Caso a empresa não apague, remova a informação e tenha uma vulnerabilidade explorada em seus sistemas, hackers criminosos poderão acessar e capturar esses dados para comercialização na Dark Web (o que hoje é muito comum e movimenta muitos milhões de dólares). Isso também renderá à empresa uma multa pelo descumprimento do regulamento.
“Lembra muito o caso da Ashley Madison, no qual a empresa cobrava para ter os dados apagados, porém, quando foram hackeados, eles simplesmente não apagavam como prometiam em seu contrato de serviços. Nesse caso de cibercrime, sabendo de algo parecido, a negociação também se torna mais fácil e vantajoso para o hacker”.
O especialista ainda explica que também há a possibilidade de se fazer o que chamamos de um novo Social Engineer, no qual os dados seriam cadastrados em vários sites até que o indivíduo seja hackeado, podendo assim processar a empresa pelo vazamento desses dados.
2 – Data Breach Notifications. Nesse caso, empresas terão 72 horas para reportarem vazamento de informações. Isso pode ser como uma espécie de bomba relógio, pois havendo o vazamento, empresas terão de escolher entre pagar os hackers ou a multa; e quem sabe, até mesmo os dois.
3 – Data Protection Officers (DPO). Isso significa que empresas terão que ter um profissional DPO em sua estrutura, ou terceirizar esse serviço. “Vale lembrar neste caso, quando temos humanos controlando tudo, a tendência é que o cibercrime possa oferecer grandes quantias em dinheiro para ter acesso a dados de empresas, ou até mesmo fornecer comissões sobre o valor que será negociado”.
Rafael revela que essa prática de Engenharia Social é muito comum e que já se deparou com muitas empresas em crise por esse tipo de golpe que começa dentro das corporações sem nenhuma suspeita dos possíveis Malicious Insiders envolvidos.
4 – Este talvez possa trazer problemas para empresas que fazem data mining (prospecção de dados ou mineração de dados) – processo de explorar grandes quantidades de dados à procura de padrões consistentes para detectar relacionamentos sistemáticos entre variáveis, detectando assim novos subconjuntos de dados.
Muitas vezes, essa prática ocorre sem o consentimento dos usuários. Nestes casos, os indivíduos poderão processar empresas que fazem correlação e manipulação de dados. Isso também inclui a ação de cibercriminosos, que poderão agir legalmente e processar empresas pequenas, para que paguem pelo motivo de terem feito correlacionamento de informações, permitindo a identificação de perfis e hábitos de consumo na Internet, sem a devida autorização dos respectivos consumidores e/ou usuários, o que renderá para os cibercriminosos indenizações como vítimas que, no caso, serão falsas.
Mesmo com esse cenário, o especialista afirma que há saídas. As empresas devem sim investir na segurança de suas informações, e que, ao se adaptarem ao GDPR, estarão investindo em evitar as significativas perdas financeiras (cost avoidance) decorrentes das multas de não conformidade com o GDPR e demais prejuízos inerentes aos ataques dos criminosos cibernéticos.
Quando se trata de segurança de dados, o diferencial pode ser a elaboração e execução de um Plano de Ação que trate as diversas formas de ataques dos cibercriminosos, mapeando e classificando os dados de acordo com sua criticidade para a empresa, e implementando uma política de segurança de dados eficiente e eficaz, que seja monitorada continuamente e auditada regularmente. Para isso, é fundamental contar com profissionais qualificados em cibersegurança para fazer uma espécie de raio-x dos seus potenciais riscos e de como preveni-los.
“Temos até maio de 2018 para trabalhar nesse sentido”, e muito precisa ser feito, ressalta Rafael.
Leia este artigo em Inglês – Artigos em outros idiomas são publicados em International News | Articles in other languages are published in the International News
Leia Também: Como os novos Regulamentos Gerais de Proteção de Dados da União Europeia afetarão empresas no Brasil