Surpresa! A Maioria das Violações de Dados Ocorrem Devido a Erro Humano
Embora muitas violações de dados sejam realizadas por criminosos cibernéticos, as estatísticas recentes mostram que uma parte considerável desses incidentes ocorre devido a falhas ocorridas dentro das empresas que armazenam dados confidenciais dos usuários e funcionários. Assim, não é de se admirar que os especialistas em segurança de computadores estejam falando cada vez mais sobre como é importante educar os funcionários em como proteger as informações confidenciais que podem ter acesso e como evitar a criação de oportunidades para os hackers. Para entender melhor a situação, mais adiante, no artigo, revisaremos as estatísticas disponíveis para violações de dados e hacks em 2017. Além disso, se você continuar lendo, aprenderá quais são os erros mais comuns que geralmente levam à violação acidental de dados e o que as organizações devem fazer para tentar evitá-las.
Índice
Como as estatísticas revelam que o fator humano é vital na violações de dados?
A Gemalto, uma empresa que fornece estatísticas sobre violações de dados, denominou 2017 o ano de ameaças internas e violações acidentais. Como eles afirmam em seu relatório inicial, "os incidentes envolvendo perdas acidentais aumentaram significativamente de menos de 250 milhões em 2016 para quase 2 bilhões no ano seguinte". Sem dúvida, a violação mais significativa em 2017 aconteceu com uma empresa chamada Equifax. Como você já deve saber, os cibercriminosos conseguiram invadi-la devido a uma vulnerabilidade no site da organização e a práticas de segurança insatisfatórias. Infelizmente, as consequências foram terríveis quando os hackers conseguiram roubar dados confidenciais de cerca de 147,7 milhões de consumidores dos Estados Unidos. Aparentemente, durante o ataque, os hackers pegaram os seus nomes, datas de nascimento, números do seguro social, endereços e até mesmo números de carteira de motorista. Infelizmente, essa informação é suficiente para causar muitos problemas ao usuário, por exemplo, os hackers podem solicitar linhas de crédito em seu nome. Para obter mais informações sobre a violação de dados na Equifax, você deve continuar lendo a nossa publicação anterior do blog).
Além disso, o relatório da Gemalto mostra que a maioria dos incidentes em 2017 foi realizada por um estranho mal-intencionado (1.269 incidentes; 72% de todas as violações de dados ocorridas naquele ano) e a perda acidental foi a segunda maior fonte (326 incidentes ou 18%). No entanto, se você comparar o número de registros comprometidos entre as duas fontes mencionadas, fica claro que houve mais dados roubados devido a perdas acidentais, pois durante essas violações de dados os hackers obtiveram mais de 2,6 bilhões de registros e ataques de insiders maliciosos comprometeram cerca de 586 milhões de registros . A maioria das violações de dados e hacks ocorreram no setor de saúde, pois houve 471 incidentes em 2017 ou 27%. No entanto, novamente, o maior número de registros roubados pertencia a uma indústria com uma quantidade comparativamente pequena de incidentes. Para ser mais preciso, a categoria da indústria descrita como outros 68 incidentes experientes, ou 4%, mas seu volume de registros comprometidos foi de 1,3 bilhão (52%), enquanto os registros violados no setor de saúde atingiram apenas 33 milhões ou 1%.
Quais são os erros humanos mais comuns que levam às violações de dados?
Os relatórios do Information Commissioner's Office (ICO) mostram que uma parte considerável das violações de dados ocorridas no primeiro trimestre de 2018 também ocorreram devido a erro humano. De acordo com a publicação no blog, os erros mais comuns que levam à violações de dados são dados enviados por fax para um destinatário incorreto e dados enviados por email para o destinatário errado. Além disso, muitas informações confidenciais são colocadas em risco devido à perda ou roubo da documentação da empresa, à falha na redação de dados e à falha no uso de CCO ao enviar e-mails. Isso mostra que não é suficiente colocar um firewall robusto ou aplicar outras soluções de TI para proteger as informações que a organização pode armazenar em suas páginas da Web ou servidores.
O que as empresas podem fazer para evitar violações de dados?
Sabendo que a maioria das violações de dados ocorrem não apenas por causa de problemas de TI, mas devido a erro humano, seria melhor começar educando a equipe da empresa. A ideia seria ensinar aos funcionários práticas de segurança que os ajudariam a lidar com as informações do cliente e lidar com dados confidenciais. Por exemplo, a equipe poderia organizar um treinamento durante o qual a equipe poderia discutir os erros que mencionamos anteriormente e sugerir dicas que poderiam ajudar a evitá-los. Além disso, para perceber o quanto é importante e o que poderia acontecer devido às práticas inseguras, pode ser útil discutir as consequências do comprometimento dos dados do cliente (por exemplo, reputação da empresa prejudicada, perda de lucros etc.).
Em seguida, especialistas em segurança de computadores recomendam descobrir quais poderiam ser os pontos fracos da organização e como os hackers conseguiam acessar os dados confidenciais que poderiam ter coletado. Depois de criar cenários possíveis, os funcionários da empresa devem elaborar um plano do que pode ser feito em uma situação específica ou, melhor ainda, como remover as vulnerabilidades detectadas. A razão pela qual, em algumas violações de dados, o número de registros roubados é tão grande é porque as organizações não executam nenhuma ação imediatamente e esperam até que o pior aconteça. De fato, em alguns casos, são necessários pelo menos alguns ataques até que a organização finalmente elimine os fatores que permitem que eles ocorram.
Por fim, é essencial enfatizar que, embora muitas violações possam ocorrer devido aos erros cometidos pela equipe, ainda é crucial ter um firewall forte, renovar o software sempre que houver uma correção ou uma atualização disponível e restringir qualquer acesso às informações sensíveis disponíveis através das páginas do site da empresa. Quanto ao que fazer para evitar uma violação de dados do ponto do usuário, você pode continuar lendo aqui.
