O que são incidentes de segurança da informação?
Incidente de segurança da informação é qualquer evento adverso confirmado, relacionado à violação das propriedades de confidencialidade, integridade, disponibilidade e autenticidade da segurança de informações ou dados pessoais. Essa é a definição utilizada pela ANPD na minuta do Regulamento de Comunicação de Incidentes de Segurança [1].
Por exemplo, se uma determinada informação da sua empresa for acessada por pessoas que não tinham autorização para isso, ela terá o atributo “confidencialidade” violado. Numa outra hipótese, se alguma informação for corrompida, a integridade ou autenticidade será maculada. E, se for criptografada, terá a disponibilidade comprometida, pois não poderá mais ser acessada pelo proprietário.
Tipos de incidentes de segurança da informação
Agora que você já sabe o que é um incidente, vamos para o próximo objetivo: te apresentar algumas hipóteses de incidentes. Para que você adote as medidas adequadas para mitigar os danos, compensá-los, ou prevenir futuras ocorrências, é essencial que saiba reconhecer os tipos de incidente. Por isso, iremos te apresentar os principais tipos de incidentes, suas características, e o que você pode fazer em cada caso.
Ransomware
Ransomware é um termo utilizado para descrever uma classe de malwares utilizados para extorquir digitalmente vítimas [2]. Em síntese, os arquivos são criptografados, ou seja, é colocada uma senha que somente o atacante sabe, para impedir o acesso a eles. Nesse tipo de ataque, uma solicitação de pagamento para resgate dos dados pessoais encriptados pode ser solicitado. Por isso, é possível dizer que o rasomware é um tipo de extorsão digital, ou um sequestro de dados.
Um ataque desse tipo pode ser parecer com a imagem abaixo:
Em geral, o pagamento do resgate é feito por meio de criptomoedas, como o Bitcoin e Ethereum, para garantir o anonimato dos receptores, que podem, rapidamente, sacar ou transferir as quantias para outras contas. A fim de agilizar o processo de pagamento – se necessário – é relevante que sua empresa conheça o funcionamento de criptomoedas, embora não seja necessário adquiri-las ou operá-las anteriormente ao ataque.
Para evitar esse tipo de incidente, é essencial ter rotinas de backups bem estruturadas, pois, a partir delas, caso haja esse tipo de incidente, os dados ainda podem ser recuperados. Ainda, é altamente recomendado que sua empresa tenha um Encarregado pelo Tratamento de Dados Pessoais, para que ele possa analisar a gravidade desse tipo de incidente e orientar a sua empresa de forma correta. Escrevemos sobre esse profissional neste artigo [3]. Não deixe de conferir.
DDoS
DDoS (Distributed Denial of Service), ou Ataques de Negação de Serviço, são ataques que têm como objetivo inundar o alvo com informações até que ele simplesmente “desligue” [4]. Vamos exemplificar esse tipo de ataque com algo que todos amamos: pizza.
Imaginemos que José não goste de Maria, e, por isso, telefona para uma centena de pizzarias, mandando entregar uma pizza às 23hs para a casa dela. Às 23hs a casa de Maria está cheia de pizzas, que Maria não sabe de onde elas vieram, nem tem dinheiro para pagar. Maria é uma vítima, mas as pizzarias também são. Infelizmente, nenhuma delas sabem que José fez a ligação, e é pouco provável que saibam sua localização [5].
Assim, da mesma forma que a casa (e o bolso) de Maria, esse tipo de ataque costuma sobrecarregar sistemas conectados à internet, até que “saiam do ar” ou suas funções sejam comprometidas.
Embora esse tipo de ataque não tenha por objetivo roubar ou corromper dados, ele pode deixar o seu serviço fora do ar. Para além do financeiro, em alguns casos, essa indisponibilidade pode causar prejuízos ainda maiores, causando danos à sua reputação. Assim, se sua empresa tem um site de vendas e sobrevive dele, esse tipo de ataque pode paralisá-las, ou gerar em seus clientes a sensação de que sua plataforma não é segura o suficiente.
Evitar este ataque é difícil, mas em geral, passa por monitorar as conexões com a internet, bem como a capacidade de mudar para servidores e roteadores de reserva [6].
Phishing
Phishing é uma técnica de engenharia social usada para enganar usuários de internet usando fraude eletrônica para obter informações confidenciais, como nome de usuário, senha e detalhes do cartão de crédito. Em geral ocorrem quando um usuário clica em um link que recebe por e-mail, que, por sua vez, pode instalar outros malwares no dispositivo. Esses malwares podem ser utilizados para espionar o usuário (spyware), descobrindo senhas importantes, criptografar um banco de dados (ransonware), ou até mesmo utilizar a capacidade de processamento da máquina para, por exemplo, minerar criptomoedas.
Para não cair neste tipo de ataque, é essencial estar atento às mensagens que recebe, em especial àquelas por e-mail. Por exemplo, você pode verificar se o texto da mensagem está adequado ao remetente. Um e-mail institucional recebido de um grande banco informando que você tem débitos pendentes não deveria conter erros crassos de português, não é mesmo? Ou então, não é esperado receber uma promoção de uma companhia aérea por meio de um endereço de e-mail privado (representantedagol@gmail.com, por exemplo).
De toda forma, não é demais repetir que é essencial que sua empresa tenha um profissional capacitado para orientar os colaboradores quanto a esse tipo de incidente, indicando os casos nos quais pode-se estar diante de um ataque do tipo phishing.
O que fazer em caso de incidentes de segurança da informação
Não existe uma única resposta quando o assunto é incidente de segurança da informação. As medidas a serem adotadas dependem do tipo de arquivo comprometido, se envolve dados pessoais ou informações confidenciais da empresa, os danos possíveis, a existência de regulamentação que obrigue a empresa a comunicar as autoridades ou os titulares, bem como os interesses comerciais da instituição.
Assim, um primeiro passo é avaliar se o incidente envolve dados pessoais. Caso positivo, pode ser necessário comunicar à Autoridade Nacional de Proteção de Dados (ANPD) ou aos titulares de dados pessoais [7].
Na sequência, devem ser avaliadas as medidas técnicas para interromper o ataque, reduzindo os danos causados aos sistemas da empresa. Nesta fase, é imprescindível contar com um profissional que entenda do assunto, pois, em alguns casos, medidas precipitadas podem agravar o quadro ou até mesmo tornar-se uma infração legal.
É muito importante que os times da sua empresa sejam treinados terem ciência das possibilidades de incidentes de segurança. E, mais importante ainda, é o treinamento após a ocorrência de incidentes, a fim de que as lições sejam aprendidas. Todo incidente de segurança fornece uma oportunidade para aprimorar os processos internos, reforçando as defesas da instituição.
Por fim, invista em um profissional que possa orientar sua empresa de forma adequada. Ele poderá ser um especialista em proteção de dados, como um advogado, que poderá atuar como Encarregado pelo Tratamento de Dados, ou um profissional de Segurança da Informação, que dará maior enfoque à parte técnica.
Referências:
[1] Disponível em https://www.gov.br/participamaisbrasil/regulamento-de-comunicacao-de-incidente-de-seguranca-com-dados-pessoais. Acesso em 13 de setembro de 2023. Até a data de escrita deste artigo a minuta não havia sido publicada.
[2] LISKA, Allan; GALLO, Timothy. Ransomware: defendendo-se da extorsão digital. São Paulo: Novatec. 2017, p. 16.
[3] https://dcom.law/pb/encarregado-de-dados-pessoais-a-sua-empresa-precisa-de-um/ | https://www.linkedin.com/feed/update/urn:li:activity:7105231637033943040
[4] SCHNEIER, Bruce. Secrets & Lies: Digital Security in a Networked World. Indianapolis: John Wiley & Sonds. 2015, p. 184.
[5] Exemplo retirado de: SCHNEIER, Bruce. Secrets & Lies: Digital Security in a Networked World. Indianapolis: John Wiley & Sonds. 2015, p. 184.
[6] Exemplo retirado de: SCHNEIER, Bruce. Secrets & Lies: Digital Security in a Networked World. Indianapolis: John Wiley & Sonds. 2015, p. 185.
[7] Conforme exige o art. 48 da Lei Geral de Proteção de Dados (LGPD) e o Regulamento de Comunicações de Incidentes, ainda não publicado, nos termos da nota nº 1.
