Governo Federal adia o início da vigência da LGPD - Lei Geral de Proteção de Dados Pessoais

Através da Medida Provisória 959, de 29 de abril de 2019, o Governo Federal adiou a data de início da vigência da LGPD - Lei Geral de Proteção de Dados Pessoais em sua completude.

Antes com data marcada para o dia 14 de agosto de 2020, agora as empresas terão até o dia 03 de maio de 2021 para estarem em conformidade com a LGPD. Este adiamento proporciona também um fôlego maior para a operacionalização da ANPD - Autoridade Nacional de Proteção de Dados Pessoais, que será o órgão responsável pela fiscalização das empresas.

  

 

Dados: uma perspectiva positiva

Ao longo dos últimos anos, privacidade e proteção de dados vêm ocupando lugar de destaque na pauta das publicações, discussões, eventos e debates relacionados ao gerenciamento de informações pessoais.

O assunto ganhou mais força com a criação de regulações específicas como a GDPR europeia (General Data Protection Regulation) e a LGPD brasileira (Lei Geral de Proteção de Dados Pessoais) congregando visões de profissionais de tecnologia, segurança, jurídico, marketing e diversas outras áreas.

O momento que vivemos provocou uma avalanche de digitalização dos processos das empresas e da sociedade em geral sem precedentes. De uma hora para outra, o isolamento levou muitas pessoas a trabalharem de suas casas em modelos de home-office forçando as empresas a adaptarem sua operação a esta nova realidade de forma muito rápida.

Grande parte da mudança aconteceu de forma linear, transformando uma atividade ou evento presencial em virtual por meio de plataformas digitais de comunicação e streaming. Para o futuro, a previsão é que as empresas irão redesenhar seus modelos utilizando inteligência artificial.

As capacidades analíticas avançadas estarão no centro da estratégia das companhias, de acordo com um estudo do Boston Consulting Group chamado The Rise of the AI-Powered Company in the Postcrisis World.

De certa forma, o uso de dados nunca esteve tão evidente como agora. A todo momento ouvimos expressões como “dados da Organização Mundial da Saúde indicam…”. Isso mostra que todas as decisões, ações e estratégias são centradas em dados.

Práticas que a academia e a indústria da saúde já conhecem há muito tempo e que por causa das mudanças em nossas rotinas pessoais, passaram a fazer parte de nosso cotidiano.

Vale destacar alguns elementos-chave que viabilizaram a rápida adaptação a esta nova realidade: facilidade no compartilhamento dos dados, computação em nuvem, inteligência artificial e hiperautomação.

Este conjunto, quando combinado é responsável pelos maiores esforços de colaboração vistos na sociedade moderna e por manter a atividade econômica de diversos setores da economia.

Se por um lado temos facilidade, democratização e “hiperconectividade” dos dados, por outro vem uma enorme pressão pelo uso responsável, ético e correto das informações com diversas empresas, órgãos e associações como o European Data Protection Board, reforçando a relevância e urgência dos aspectos da LGPD.

Diante dessa realidade, faz sentido aproveitar a convergência de forças das pessoas, empresas e governo para exercitar as competências que se tornarão perenes no exercício responsável da privacidade e proteção dos dados pessoais.

O momento é oportuno para aumentar o grau de maturidade, utilizando uma eventual extensão do prazo de vigência da lei para construção de operações e políticas corporativas centradas nos dados. O arcabouço de governança e proteção de dados, tão relevante para o cumprimento dos requisitos da lei, também é o motor para construção dos modelos de negócio digitais confiáveis que todos buscam no momento.

Ao adotar boas práticas, alinhadas com o direcionamento dos órgãos regulatórios, as empresas e o País ganham mais transparência e confiança, que serão importantes não apenas para aumentar a governança interna, mas que também representarão diferenciais de segurança para atrair mais investimentos externos. Sendo assim, as empresas devem encarar o movimento em direção à LGPD como positivo, essencial e urgente pois podem se traduzir em vantagem competitiva logo à frente.

Fonte: Portal Computer World.

Guia de Boas Práticas - Lei Geral de Proteção de Dados (LGPD)

 

Apresentação do Guia de Boas Práticas da LGPD

Como os órgãos e entidades do Governo Federal deverão se preparar para manter conformidade com as diretrizes e regras de tratamento de dados pessoais previstas na Lei Geral e Proteção de Dados Pessoais – LGPD?

A proteção à privacidade e o cuidado adequado com o tratamento de dados pessoais em uma sociedade que avança no uso de tecnologias digitais é um desafio comum a todas as organizações ao redor do mundo. Para as entidades governamentais, dada a sua abrangência universal na aplicação de políticas públicas, esse desafio pode ser especialmente complexo. Mesmo em países que são referência na transformação digital de seus processos, como Estônia e Dinamarca, os questionamentos são similares aos que acontecem no Brasil.

Qual o limite do uso das informações presentes das bases governamentais? Como equilibrar o direito à privacidade com a busca por eficiência na atuação estatal?

A entrada em vigor da LGPD, tão aguardada no país, demanda a criação de entes de mediação e resolução, comitês e fóruns de debates técnicos especializados no assunto. Este Guia de Boas Práticas da LGPD materializa o resultado de discussões e propõe caminhos que levem à sustentabilidade das ações de proteção aos dados pessoais para um país que hoje se projeta como uma potência na transformação digital de governo.

No âmbito da governança no compartilhamento de dados e na aplicação do Decreto nº 10.046, de 9 de outubro de 2019, este documento visa fornecer orientações aos órgãos e entidades da administração pública federal, autárquica e fundacional, para as operações de tratamento de dados pessoais (conforme previsto no art. 50 da Lei nº 13.709, de 14 de agosto de 2018, a LGPD). Mais do que isso, detalha métodos e formas de diferenciação das mais diversas situações com as quais irão deparar os servidores públicos responsáveis por operar ou controlar a aplicação da lei.

As orientações aqui contidas foram estruturadas em capítulos, os quais contemplam desde a base legal de tratamento e exercício do direito do titular de dados até os padrões de segurança da informação. Esta é uma obra aberta, que não abrange ou esgota todos os aspectos e diretrizes decorrentes da LGPD, entretanto, torna-se essencial sua veiculação neste momento para que a lei comece a ser aplicada de forma equilibrada, homogênea e que inspire credibilidade entre a população.

Tendo em vista o contato inicial e a familiarização com o novo universo da proteção e tratamento de dados pessoais no país, a perspectiva é que esta publicação seja atualizada e aperfeiçoada permanentemente, conforme diretrizes da Autoridade Nacional de Proteção de Dados e em consonância com o Comitê de Governança de Dados.

Faça o download do Guia de Boas Práticas LGPD clicando aqui.

Fonte: Governo Federal.

Segurança Endpoint: como responder a ameaças

 "Devido à falta de visibilidade, frequentemente o atacante esteve presente numa rede durante algum tempo, mais ou menos longo, antes de ser desmascarado. Demasiadas vezes, o próprio sistema é deixado desprotegido. No entanto, sem a presença de um software de detecção instalado previamente, o invasor mantém-se invisível". A Opinião de John Shier, da Sophos.

Com sistemas complexos nas empresas, a segurança dos terminais tornou-se uma questão central. A maioria do software de segurança endpoint consegue combater ameaças conhecidas e desconhecidas com a utilização de diferentes tecnologias. Bloquear ameaças conhecidas é a missão tradicional do software de segurança, por exemplo através de um software antivírus. Por outro lado, as ameaças desconhecidas são detectadas mais frequentemente utilizando a tecnologia Machine Learning (ML), que permite reconhecê-las com base em grandes volumes de características (ex: tamanho do ficheiro, compressão, etc.) e assim determinar a probabilidade de uma ameaça ser benigna ou maligna.

Uma ferramenta eficaz, mas longe de ser suficiente

No entanto, apesar dos sistemas de segurança terminal aparentarem estar otimizados, continuam a ser vulneráveis. Para assumir o controlo destas tecnologias, os cibercriminosos utilizam o que denominamos de ofuscação ou utilização de rotas falsas, uma prática cujo objetivo é esconder, de um mecanismo de detecção, a natureza do ficheiro.

Este processo é possível através da encriptação ou da codificação do programa, capacitando alguns malwares para utilizarem diversas camadas de ofuscação e assim evitar as análises. As instruções erradas são utilizadas para confundir o sistema, fazendo-o pensar que está a lidar com um programa benigno, que é o que na verdade é, em vez de algo abertamente malicioso.

Esta técnica, já avançada, não é a única. Os criminosos vão, por exemplo, utilizar um ataque de phishing para obter identificadores e desativar com facilidade um sistema de segurança. É claro que existem algumas soluções para lidar com estes padrões, mas esta prática demonstra uma fragilidade nos sistemas endpoint.

Ciberatacantes indetetáveis?

No caso dos ciberataques, devido à falta de visibilidade, frequentemente o atacante esteve presente numa rede durante algum tempo, mais ou menos longo, antes de ser desmascarado.

Demasiadas vezes, o próprio sistema é deixado desprotegido. No entanto, sem a presença de um software de deteção instalado previamente, o invasor mantém-se invisível, estando presente na rede.

O conceito oposto, no entanto, é tão ou mais arriscado. A atividade intensa na rede pode levar à falta de deteção e perceção entre o que parece benigno e o que não é, e leva à filtração de dificuldades. Este fenómeno está ainda mais presente em grandes redes abertas onde qualquer coisa pode comunicar com qualquer outra coisa e em qualquer protocolo. Os atacantes mais experientes apoveitam este erro, utilizando o seu conhecimento do ambiente para circularem sem serem detetados. Eles vão utilizar as suas credenciais, as aplicações existentes e sistemas seguros para se infiltrar na sua rede e roubar os seus dados.

Prevenir, detetar e corrigir

Prevenir os ciberataques passa por reduzir a superfície do ataque, ou seja, reduzir o número de serviços expostos, sistemas e aplicações desprotegidos e sem patch, e ainda substituir um sistema fraco de autenticação pela autenticação multifator. De facto, são muitas as organizações que se encontram neste momento sob ataque por parte de grupos de ransomware porque não possuem uma (ou mais) das soluções apresentadas acima. Naturalmente, os grupos criminosos escolhem alvos vulneráveis; no entanto, se a tarefa lhes for dificultada, frequentemente decidem avançar para outro alvo.

Após a prevenção, vêm a deteção e a correção; ambas andam, naturalmente, de mãos dadas. Os produtos de Deteção e Resposta Endpoint (EDR), por exemplo, simplificam a procura por ameaças existentes e proporcionam conselhos sobre como eliminar ou corrigir a ameaça de forma proativa. Este tipo de soluções, no entanto, é utilizado em empresas que contam já com um determinado grau de maturidade de segurança: se a prevenção não tiver sido abordada anteriormente, o próprio EDR não será tão eficaz, e a sua gestão exigirá recursos internos ou um serviço externo.

Por fim, é importante assegurar que a rede está bem protegida. Se a proteção de rede for aliada à proteção endpoint, a empresa terá a capacidade para prevenir, detetar e corrigir ameaças, onde quer que estas ocorram.Desta forma, as empresas necessitam de implementar testes contínuos e ajustes nas suas defesas – tanto tecnológicos como baseados em segurança.

Fonte: Portal Exame Informática.

Os 15 maiores vazamentos de dados do século 21

Há pouco tempo, uma violação que comprometesse os dados de milhões de pessoas seria uma grande notícia. Agora, violações que afetam centenas de milhões ou mesmo bilhões de pessoas são muito comuns. 

Cerca de 3,5 bilhões de pessoas viram seus dados pessoais roubados se levarmos em conta apenas duas das 15 maiores violações deste século. O menor incidente nesta lista envolveu os dados de meros 134 milhões de pessoas.

Nesta lista das maiores violações de dados do século XXI usamos critérios simples: o número de pessoas cujos dados foram comprometidos. 

Também fizemos uma distinção entre os incidentes em que os dados foram roubados por intenção maliciosa e aqueles em que uma organização inadvertidamente deixou os dados desprotegidos e expostos. 

O Twitter, por exemplo, deixou as senhas de seus 330 milhões de usuários desmascaradas em um log, mas não havia evidências de uso indevido. Portanto, o Twitter não faz parte dessa lista.

Sem mais delongas, aqui, listadas em ordem alfabética, estão as 15 maiores violações de dados da história recente, incluindo quem foi afetado, quem foi responsável e como as empresas reagiram:

1 - Adobe

Data: outubro de 2013 | Impacto: 153 milhões de registros de usuários

Conforme relatado no início de outubro de 2013 pelo blogueiro de segurança Brian Krebs, a Adobe disse originalmente que os hackers haviam roubado quase 3 milhões de registros criptografados de cartões de crédito de clientes, além de dados de login de um número indeterminado de contas de usuário.

No final daquele mês, a Adobe elevou essa estimativa para incluir IDs e senhas criptografadas, o que elevou para 38 milhões de "usuários ativos" expostos. 

Krebs relatou que um arquivo publicado poucos dias antes "parecia incluir mais de 150 milhões de nomes de usuário e pares de senhas extraídos da Adobe". Semanas de pesquisa mostraram que o hack também expôs nomes de clientes, IDs, senhas e informações de cartão de débito e crédito.

2 - Adult Friend Finder

Data: outubro de 2016 | Impacto: 412,2 milhões de contas

Essa violação foi particularmente sensível. A rede FriendFinder, que incluía sites de adultos como o Adult Friend Finder, Penthouse.com, Cams.com, iCams.com e Stripshow.com, foi violada em meados de outubro de 2016.

Os dados roubados pegaram 20 anos de informação de seis bancos de dados e incluiu nomes, endereços de email e senhas.

3 - Canva

Data: maio de 2019 | Impacto: 137 milhões de contas de usuário

Em maio de 2019, o Canva sofreu um ataque que expôs endereços de e-mail, nomes de usuários, nomes, cidades de residência de 137 milhões de usuários. O Canva diz que os hackers conseguiram visualizar, mas não roubaram, arquivos com cartão de crédito parcial e dados de pagamento.

A empresa confirmou o incidente e, posteriormente, notificou os usuários, solicitando que eles alterassem senhas e redefinissem os tokens do OAuth. No entanto, de acordo com uma publicação posterior do Canva, uma lista de aproximadamente 4 milhões de contas do Canva contendo senhas roubadas de usuários foi posteriormente descriptografada e compartilhada online, levando a empresa a invalidar senhas inalteradas e a notificar os usuários com senhas não criptografadas na lista.

4 - eBay

Data: maio de 2014 | Impacto: 145 milhões de usuários

Um ataque expôs as contas de 145 milhões de usuários em maio de 2014, incluindo nomes, endereços, datas de nascimento e senhas criptografadas. 

A gigante dos leilões online disse que os hackers usaram as credenciais de três funcionários corporativos para acessar sua rede e tiveram acesso completo por 229 dias - tempo mais do que suficiente para comprometer o banco de dados dos usuários. 

A empresa pediu aos clientes que mudassem suas senhas. Informações financeiras, como números de cartão de crédito, foram armazenadas separadamente e não foram comprometidas. A empresa foi criticada na época por falta de comunicação com seus usuários.

5 - Equifax

Data: 29 de julho de 2017 | Impacto: 147,9 milhões de consumidores

A Equifax, uma das maiores agências de crédito dos EUA disse em 7 de setembro de 2017 que uma vulnerabilidade de aplicativo em um de seus sites levou a uma violação de dados que expôs cerca de 147,9 milhões de consumidores. A violação foi descoberta em 29 de julho, mas a empresa diz que provavelmente tudo começou em meados de maio.

A violação comprometeu as informações pessoais (incluindo números do Seguro Social, datas de nascimento, endereços e, em alguns casos, números da carteira de motorista) de 143 milhões de consumidores. Esse número foi aumentado para 147,9 milhões em outubro de 2017.

6 - Dubsmash

Data: dezembro de 2018 | Impacto: 162 milhões de contas de usuário

Em dezembro de 2018, o serviço de mensagens de vídeo Dubsmash, com sede em Nova York, teve 162 milhões de endereços de e-mail, nomes de usuários e outros dados pessoais, como datas de nascimento roubadas. Tudo isso foi colocado à venda no Dream Market, mercado da dark web.

A empresa reconheceu que a violação e a venda de informações ocorreram - e forneceu conselhos sobre a alteração de senha - mas não conseguiu dizer como os invasores entraram ou confirmaram quantos usuários foram afetados.

7 - Sistemas de pagamento Heartland

Data: março de 2008 | Impacto: 134 milhões de cartões de crédito expostos

Na época da violação, a Heartland processava 100 milhões de transações com cartão de pagamento por mês para 175 mil comerciantes - principalmente pequenos e médios varejistas.

A violação foi descoberta em janeiro de 2009, quando a Visa e a MasterCard notificaram a Heartland de transações suspeitas das contas processadas. Devido à violação, o PCI (Payment Card Industry) considerou Heartland fora de conformidade com o DSS (Data Security Standard) e não permitiu processar pagamentos dos principais fornecedores de cartões de crédito até maio de 2009.

A empresa também pagou US$ 145 milhões em compensação por pagamentos fraudulentos. 

8 - LinkedIn

Data: 2012 (e 2016) | Impacto: 165 milhões de contas de usuário

Principal rede social de profissionais de negócios, o LinkedIn, em 2012, anunciou que 6,5 milhões de senhas não associadas foram roubadas e postadas em um fórum de hackers russos. 

No entanto, só em 2016 que toda a extensão do incidente foi revelada. O mesmo hacker que vendia os dados do MySpace estava oferecendo os endereços de e-mail e senhas de cerca de 165 milhões de usuários do LinkedIn por apenas 5 bitcoins (cerca de US$ 2.000 na época). 

O LinkedIn reconheceu que havia sido informado da violação e disse que havia redefinido as senhas das contas afetadas.

9 - Marriott International

Data: Entre 2014- e 2018 | Impacto: 500 milhões de clientes

O Marriott International anunciou em novembro de 2018 que haviam sido roubado dados de aproximadamente 500 milhões de clientes. A violação ocorreu inicialmente em sistemas que suportam as marcas de hotéis Starwood a partir de 2014. Os atacantes permaneceram no sistema depois que a Marriott adquiriu a Starwood em 2016 e não foram descobertos até setembro de 2018.

Os invasores conseguiram reunir algumas informações de contato, número do passaporte, informações de viagens e outras informações pessoais. Acredita-se que os números dos cartões de crédito e as datas de vencimento de mais de 100 milhões de clientes tenham sido roubados, mas a 

 Marriott não tem certeza se os hackers conseguiram descriptografar os números dos cartões de crédito. 

10 - My Fitness Pal

Data: fevereiro de 2018 | Impacto: 150 milhões de contas de usuário

Além do Dubsmash, o aplicativo de fitness pertencente à UnderArmor, MyFitnessPal, estava entre o imenso despejo de informações de 16 sites comprometidos que tiveram cerca de 617 milhões de contas de clientes vazadas e oferecidas para venda no Dream Market. 

Em fevereiro de 2018, os nomes de usuário, endereços de email, endereços IP e senhas de cerca de 150 milhões de clientes foram roubados e colocados à venda um ano depois, ao mesmo tempo que Dubsmash et al. 

O MyFitnessPal reconheceu a violação e exigiu que os clientes alterassem suas senhas, mas não compartilhou quantas contas foram afetadas ou como os invasores obtiveram acesso aos dados.

11 - MySpace

Data: 2013 | Impacto: 360 milhões de contas de usuário

Embora tivesse deixado de ser a potência que era antes, o site de mídia social MySpace chegou às manchetes em 2016, depois que 360 milhões de contas de usuários foram vazadas para o LeakedSource (um banco de dados pesquisável de contas roubadas) e colocado à venda na dark web. 

De acordo com a empresa, os dados perdidos incluíam endereços de email, senhas e nomes de usuários para "uma parte das contas criadas antes de 11 de junho de 2013, na antiga plataforma do Myspace". 

12 - NetEase

Data: outubro de 2015 | Impacto: 235 milhões de contas de usuário

O NetEase é um provedor de serviços de e-mail. Foi relatado que os endereços de e-mail e senhas em texto sem formatação de cerca de 235 milhões de contas dos clientes da NetEase estavam sendo vendidos por um fornecedor de mercado da dark web.

O mesmo fornecedor também estava vendendo informações obtidas de outros gigantes chineses, como QQ.com da Tencent, Sina Corporation e Sohu, Inc. A NetEase negou qualquer violação. 

13 - Sina Weibo

Data: março 2020 | Impacto: 538 milhões de contas

Com mais de 500 milhões de usuários, Sina Weibo é a resposta da China para o Twitter. No entanto, em março de 2020, foi relatado que os nomes reais, nomes de usuários do site, sexo, localização e - para 172 milhões de usuários - números de telefone foram postados para venda nos mercados da dark web. As senhas não foram incluídas, o que pode indicar porque os dados estavam disponíveis por apenas ¥ 1.799 (US $ 250).

14 - Yahoo

Data: Entre 2013 e 2014 | Impacto: 3 bilhões de contas de usuário

O Yahoo anunciou em setembro de 2016 que em 2014 havia sido vítima do que seria a maior violação de dados da história. Os ladrões comprometeram os nomes reais, endereços de email, datas de nascimento e números de telefone de 500 milhões de usuários. 

Então, em dezembro de 2016, o Yahoo divulgou outra violação a partir de 2013 por um invasor diferente que comprometia os nomes, datas de nascimento, endereços de email e senhas de 1 bilhão de contas de usuários. O Yahoo revisou essa estimativa em outubro de 2017 para incluir todas as suas 3 bilhões de contas de usuário.

15 - Zynga

Data: setembro de 2019 | Impacto: 218 milhões de contas de usuário

O criador de Farmville, Zynga foi alvo em setembro de 2019 de um hacker que alegou ter invadido o banco de dados da Zynga de jogadores do Draw Something and Words with Friends e ganho acesso às 218 milhões de contas registradas lá.

A Zynga confirmou mais tarde que endereços de e-mail, números de telefone e identificações de usuário para contas do Facebook e da Zynga foram roubadas.

Fonte: Portal Computer World.