O Como e o Porquê das Violações de Dados
Já falamos sobre o que é uma violação de dados e como isso pode afetá-lo. O que não discutimos é com que frequência as violações acontecem e o que as causa. Com os próximos parágrafos, tentaremos esclarecer isso.
Índice
Quanta informação realmente vazou?
Ontem, a empresa de segurança Gemalto divulgou seu Relatório de Dados de Índice de Nível de Violação de 2017, que afirma que no ano passado, cerca de 2,6 bilhões de registros foram expostos. Em média, são 7,1 milhões de registros por dia, 297 mil por hora ou quase 5 mil a cada minuto. Será mesmo?
Bem, outras empresas publicaram seus próprios relatórios sobre os incidentes que levaram à exposição de dados, e é justo dizer que os números realmente não correspondem. De fato, eles variam muito. Você pensaria que reunir as estatísticas para esse tipo de coisa seria um trabalho relativamente simples, mas a quantidade de informações que vazam todos os dias é tão grande que medir com precisão é tudo menos fácil.
Como as empresas sabem que foram hackeadas?
Há outro fator que contribui para os relatórios de pesquisa inconsistentes. Uma violação de dados pode ter um efeito absolutamente devastador na reputação de uma empresa. Os dados dos consumidores são expostos e eles pensam (na maioria dos casos, com razão) que não são tratados adequadamente. É por isso que, às vezes, os provedores de serviços tentam encobrir uma violação na tentativa de salvar seus rostos. No entanto, nem todos fazem isso, mas já vimos isso acontecer. Há um pouco mais do que isso.
Existe uma sabedoria comum entre os círculos da infosec que é assim: " Existem dois tipos de organizações: aquelas que foram invadidas e as que ainda não sabem ainda." Mesmo que uma empresa esteja tentando para ser 100% transparente sobre o ataque sofrido, nem sempre é tão fácil quanto publicar um anúncio com o costume " Levamos a segurança muito a sério. "
Em 2013, por exemplo, o Yahoo! foi hackeado, mas foi somente em fevereiro de 2017 que a empresa percebeu isso. E mesmo assim, o que antes era o maior provedor de e-mail do mundo inicialmente pensava que apenas uma parte de seus usuários havia sido afetada. Vários meses depois, descobriu-se que todas as 3 bilhões de contas que estavam ativas em 2013 haviam sido expostas, tornando essa a maior violação de dados já registrada.
O ponto principal é que descobrir que um sistema foi comprometido não é tão simples quanto você imagina. O mesmo vale para investigar o incidente.
Quem é responsável por todas as violações de dados?
Quando você pensa em uma violação de dados, a imagem que vem à sua mente provavelmente inclui código binário, um laptop e um adolescente com capuz (a máscara de Guy Fawkes é opcional). De fato, embora eles não possam concordar com a quantidade de dados perdidos ou roubados, a maioria dos relatórios de pesquisa aponta hackers mal-intencionados como a causa da maioria dos incidentes. Spear phishing, engenharia social inteligente e malware de ponta são apenas algumas das ferramentas de seus ofícios, e não há como fugir do fato de que seus ataques evoluíram bastante. Mas eles nem sempre são os culpados quando as informações vazam. Às vezes, tudo se resume a boa e velha negligência humana.
No mês passado, surgiram notícias de um funcionário da Casa Branca que primeiro escreveu seu endereço de e-mail e senha em um pedaço de papel e então o deixou em um ponto de ônibus, enviando ondas de facepalms por todo o mundo. Estamos falando desse tipo de negligência e, infelizmente, nem sempre vem de funcionários que não têm a palavra "segurança cibernética" nas suas descrições de cargo.
A equipe de TI, que deveria conhecer melhor, também comete erros dispendiosos. A violação de dados da Equifax sofreu, por exemplo, foi causado por uma vulnerabilidade de aplicativo da Web cujo a correção estava disponível há meses. Também vimos empresas armazenando informações em bancos de dados desprotegidos acessíveis em qualquer lugar do mundo. Na maioria dos casos, esses erros não são intencionais. Às vezes, no entanto, eles são.
Um funcionário que está prestes a sair, mas não está satisfeito com o pagamento de sua indenização ou um contratado que deseja um salário maior. Você pode não ver essas pessoas como uma ameaça específica, mas uma ameaça eles são.
É tudo porque, como o The Economist apontou no ano passado, os dados (e isso inclui os seus dados pessoais) é o novo petróleo. Enquanto houver pessoas dispostas a capitalizar, haverá violações de dados. E sempre haverá pessoas dispostas a capitalizar o recurso mais valioso do mundo.
