Nos últimos dias, o Facebook perdeu US$ 100 bilhões em valor de mercado. A crise se agudizou quando foi divulgado que a empresa de consultoria política Cambridge Analytica “colheu” os dados de 50 milhões de usuários Facebook – dados que serviram para cooptar eleitores durante a eleição de Donald Trump, em 2016. A situação vivida pelo Facebook é particular, pois o próprio modelo de negócios do Facebook baseia-se no uso dos dados de seus usuários para construir uma rede social global. O Facebook não sofreu um vazamento de dados provocado pela Cambridge Analytica; tudo foi permitido e feito à luz do dia. Para os usuários do Facebook, no entanto, o que aconteceu é um alerta sobre a real privacidade de seus dados nesta rede social.
De uma forma ou de outra, portanto, o caso Facebook insere-se num quadro maior, em que vazamentos de dados são o pesadelo de negócios de diversas empresas.
No Brasil, o portal de venda de produtos esportivos Netshoes sofreu a perda de dados como nome, CPF, e-mail, data de nascimento e histórico de compras de 2 milhões de clientes. A FMU (Centro Universitário Faculdade Metropolitana Unidas), por outro lado, está tendo de lidar com o fato de que dados pessoais de 500 mil alunos estão disponíveis na Internet. Nesse caso, o vazamento divulga, ainda, o que parece ser a senha de cada aluno para acessar os sistemas administrativos e de e-learning da faculdade.
Em plena era da transformação digital, os dados mais críticos de qualquer empresa ou instituição são alvo constante de ataques que visam tanto obtenção de dinheiro como, muito simplesmente, destruir a reputação e o valor de uma marca (ataque com viés político).
Esse é o front onde acontecem as maiores perdas e onde novas regulamentações como o padrão europeu GDPR (General Data Protection Regulation) lutam para garantir a privacidade dos negócios digitalizados.
Vários países não europeus estão aderindo ao GDPR: Argentina, Canada, Israel, Uruguai e até os EUA. A OMC (Organização Mundial do Comércio, um órgão da ONU) está pressionando as empresas brasileiras a também se alinharem ao GDPR. Diante desta realidade, projetos de lei sobre a integração do Brasil à regulamentação GDPR tramitam na Câmara do Deputados e no Senado Federal. Empresas de países que não forem reconhecidos como alinhados ao GDPR terão de fazer acordos com a Comunidade Europeia caso desejem fazer negócios com este universo. Quem não mostrar essas credenciais ficará de fora deste importante mercado consumidor.
Razões concretas para aderir à essa regulamentação existem – é o que prova o relatório “Lessons Learned from a Decade of Data Violations”, produzido pela F5 Networks em fins do ano passado.
A pesquisa examinou cuidadosamente 433 ataques de violação de dados. Ao final desta análise, este relatório concluiu que 86% dos casos de violação começaram com um ataque a aplicação ou, então, à uma parte crítica da aplicação: a identidade do usuário.
Eis os resultados:
– 11,8 bilhões de registros foram comprometidos em 337 dos casos;
– 10,3 bilhões de nomes de usuários, senhas e contas de e-mail foram violados;
– Isso equivale a 1,36 registros por pessoa do planeta, ou 32 registros por cidadão dos EUA;
Esses números fazem sentido quando se considera que a sociedade atua em um mundo online, no qual aplicações são as novas vitrines de empresas e, em muitos casos, as aplicações são a empresa.
Segundo a pesquisa, as aplicações foram o alvo inicial de ataque na maioria (53%) das violações. Esses ataques tiraram partido dos sistemas mirando em vulnerabilidades de aplicações Web. Nos casos levantados pela F5 Networks, as identidades foram o alvo inicial de ataque em 33% das violações. A maioria desses ataques foi atribuída a phishing. Enganar um usuário para entregar suas credenciais é extraordinariamente fácil, a despeito dos esforços da indústria em treinamento em conscientização para a segurança.
Graças às mídias sociais e à avidez dos consumidores por compartilhar todos os aspectos de sua vida pessoal, os ataques de phishing continuarão altamente eficazes durante o futuro previsível.
Se 86% das violações começam com ataques a identidades e a aplicações, administrar as vulnerabilidades de aplicações e limitar o impacto de identidades violadas deve ocupar um lugar proeminente na lista de prioridades do CISO e do CIO.
Eis aqui algumas ações que podem proteger sistemas contra vazamentos:
1 – Não perca de vista a entrada em cena da General Data Protection Regulation (GDPR – Regulamentação Geral para Proteção de Dados), a próxima nova lei de proteção de dados pessoais da União Europeia. No dia 25 de maio de 2018, a GDPR se tornará compulsória e substituirá a Data Protection Directive (Diretiva de Proteção de Dados) introduzida em 1995. Isso alterará significantemente as regras para proteção de dados pessoais dos residentes da UE. Note que, agora, a GDPR inclui também empresas de fora da UE e introduz novas exigências de notificação de violação de dados e multas administrativas.
A GDPR trata de privacidade. Falando-se em segurança versus privacidade, dois princípios de ‘Privacy by Design’ são muito importantes: É possível ter segurança sem privacidade, mas não é possível ter privacidade sem segurança.
2 – Implemente um Web Application Firewall (WAF). Uma das mais eficazes e inovadoras soluções do segurança, o WAF existe tanto em forma de software como de hardware e software e pode, inicialmente, ser implementado em modo listen-only. Após ter efetuado login e monitorado um volume suficiente de tráfego da aplicação Web, pode-se definir uma política de bloqueio que, apesar de severa, não derrubará a aplicação, mas a protegerá contra ataques. A solução também dirá, com grande transparência e precisão, exatamente o que está acontecendo.
Um alerta: WAFs não são fáceis de administrar. É necessária uma equipe bem treinada para operar um WAF com eficácia. Outra opção é terceirizar o serviço com uma equipe de especialistas que faça isso em regime 24x7x365.
3 – Implemente autenticação multifatorial (MFA) para todos os usuários e todas as aplicações. Inevitavelmente, os usuários cairão vítima de ataques de phishing. Com soluções MFA, quando os usuários são enganados para entregar suas credenciais, um atacante remoto não conseguirá efetuar login. Isso acontece porque o login exige múltiplos fatores de autenticação. Priorize a proteção das aplicações com acesso externo. Soluções de federação de identidades reduzem a fadiga das senhas e o problema que surge do relacionamento um-para-muitos entre as senhas e as aplicações.
Um exemplo que comprova esse quadro: quando as bases de dados do Yahoo e da Sony que vazaram foram comparadas, descobriu-se que 59% das credenciais eram as mesmas. Ou seja: não dependa da criatividade do usuário para proteger identidades; use MFA para isso.
Estamos em abril de 2018 e os ataques já estão acontecendo.
A proteção das aplicações missão crítica e das identidades dos usuários e clientes de uma instituição pode ser tremendamente reforçada pela adesão à regulamentação GDPR. Mas é a combinação de soluções WAF e MFA que, no dia a dia, garante a confidencialidade e a integridade dos dados alinhados à GDPR. É neste contexto que a privacidade, finalmente, acontece.
* Ronaldo Vieira é gerente em desenvolvimento de negócios da F5 Networks Brasil