O Dia Internacional de Proteção de Dados marca o início dessa semana como um chamado à reflexão sobre o valor extremamente alto que as informações pessoais passaram a ter no cotidiano dos indivíduos, especialmente se tratando da relação das pessoas com o poder público e iniciativa privada. Com o avanço das ameaças sofisticadas e crescente uso de tecnologias emergentes, como a Inteligência Artificial, os desafios referentes à proteção de dados devem persistir em 2024.
Na visão dos líderes de Cibersegurança da Comunidade Security Leaders, é sempre importante destacar essa data, pois serve para reforçar o papel fundamental dos times de SI de manter o zelo sobre a privacidade e proteção de dados pessoais. Além de trazer um destaque para fomentar a cultura sobre o tema a fim de mitigar riscos e ameaças cibernéticas.
Durante todo o de 2023, a Security Report reportou diversos incidentes envolvendo impactos na proteção de dados, incluindo vazamentos de informações sensíveis. Tais incidentes alcançaram diversas corporações diferentes, como o grupo Fleury ou o Detran-SP, aqui no Brasil, até mesmo instituições de grande renome internacional, como o Pentágono.
A última grande informação a respeito se deu na semana passada, quando especialistas encontraram 26 bilhões de dados pessoais condensados em apenas uma postagem na Dark Web. A compilação reunia dados de 3.800 ciberataques diferentes, com informações novas e antigas, totalizando 12 terabytes de conteúdo sensível. Os estudiosos se preocupam a possibilidade de uma onda de ataques em massa baseados nessas informações centralizadas.
Nesse sentido, a tendência já detectada no ano anterior deve voltar a se repetir em 2024. Na percepção de Nick Biasini, Head de Outbreach da Cisco Talos, o vazamento e venda de dados se tornou um método bastante lucrativo para grandes cartéis de ransomware, em detrimento da extorsão pós-criptografia. Com isso, é improvável que estes cibercriminosos reduzam suas atividades neste ano.
“Hoje, os dispositivos de proteção de borda, como firewalls e outros, já não oferecem a segurança adequada. E esses espaços de endpoint são particularmente interessantes para os cibercriminosos se esconderem. Portanto, é necessário preservar aparelhos atualizados e garantir o devido funcionamento”, afirmou Biasini em entrevista à Security Report.
Com isso, especialistas do mercado de Cibersegurança afirma que o Dia Internacional de Proteção de Dados deve incentivar profissionais de Segurança da Informação a repensarem suas estratégias de gestão de informações críticas. E a responsabilidade de manter os dados em segurança deve ser movida tanto por empresas, em seus ambientes corporativas, quanto nos meios pessoais de cada pessoa.
O Diretor de Engenharia e Segurança LATAM da Tenable, Alejandro Dutto, diz que ataques visando expropriação de dados se baseiam em senhas fracas, configurações incorretas de nuvem ou mesmo vulnerabilidades ainda não corrigidas. Por isso, tais fatores de risco devem seguir na ordem do dia de CISOs e DPOs. “Precisamos trabalhar de forma mais inteligente para identificar e fechar esses caminhos de ataque ou enfrentaremos o mesmo dilema no próximo Dia da Privacidade de Dados”, afirmou o executivo.
Em concordância com o executivo, o Coordenador de Fiscalização da Autoridade Nacional de Proteção de Dados (ANPD), Fabrício Lopes, em evento comemorativo da autarquia, listou as mesmas medidas a serem aplicadas pelos titulares de dados em caso de vazamento: trocar senhas e cadastros assim que constatada a invasão; evitar repetição de palavras-chave, verificar tentativas de uso indevido dos dados por meio de canais oficiais do governo e manter contato estrito com o controlador alvo do vazamento.
“Vale lembrar que a primeira medida de defesa é preventiva, tomando muito cuidado com quem compartilhamos nossos dados sensíveis. Assim como dinheiro, não podemos confiar em qualquer um para tratar as nossas informações. Mesmo as mais simples e públicas podem auxiliar em um golpe financeiro, e empresas pouco confiáveis podem não manter um regime de proteção aceitável”, explicou o Lopes.
Proteção de dados e IA
Outro ponto de atenção por parte dos profissionais de Cyber e data protection são os impactos vindos das tecnologias emergentes, como a Inteligência Artificial Generativa. Líderes do setor seguem alertando que estes recursos podem tanto apoiar o cibercrime em novas operações de vazamento de informações, como elas próprias ainda não estão devidamente reguladas para operar dados sensíveis dos usuários.
É baseado nessa necessidade que a ANPD decidiu atuar em favor da melhor gestão da tecnologia, estabelecendo um sandbox regulatório para permitir às empresas aplicarem a tecnologia em um ambiente controlado, gerando aprendizados capazes de desenvolver melhores marcos regulatórios da IA. Recentemente, tal medida foi destacada pelo Relatório de Governança de IA do Fórum Econômico Mundial.
“A ANPD pretende contribuir com as discussões em todos os fóruns abertos e reforça a proteção de dados no contexto de regulação de IA. Essa questão ainda vai ser bastante discutida e vamos deixar a Autoridade habilitada caso essa responsabilidade recaia sobre nós também, assumindo mais um relevante papel no cenário nacional”, pontuou Waldemar Gonçalves, presidente da instituição.
