Como garantir a privacidade de dados e a segurança organizacional

Hoje, 28 ^de janeiro, é conhecido como Dia da Privacidade de Dados (ou, na União Europeia, Dia da Proteção de Dados) nos Estados Unidos, Canadá, Israel e nos 47 países da UE nos quais é comemorado.

A privacidade — especialmente a privacidade dos dados — é vital. Muitas constituições nacionais — na verdade, mais de 150 delas — mencionam o “direito à privacidade”. Também foi mencionado na Declaração Universal dos Direitos Humanos das Nações Unidas e é protegido pela Convenção Europeia dos Direitos Humanos. Houve uma série de regulamentações de privacidade promulgadas em muitos países, regiões e estados, incluindo o Regulamento Geral de Proteção de Dados (GDPR) da UE e a Lei de Privacidade do Consumidor da Califórnia (CCPA).

O foco do Dia da Privacidade de Dados é conscientizar empresas e consumidores sobre a importância de proteger a privacidade dos usuários e suas informações pessoais. O objetivo é educar e incentivar o desenvolvimento de ferramentas para que empresas e consumidores gerenciem e controlem melhor as informações pessoais dos usuários. Também visa impulsionar o aumento ou a melhoria da conformidade com as leis e regulamentações de privacidade existentes, como GDPR e CCPA. Muitas agências, ministérios e conselhos nacionais e internacionais, bem como instituições educacionais e consórcios do setor, reconhecem o Dia da Privacidade de Dados como um momento para iniciar ou continuar discussões sobre como proteger melhor a privacidade dos dados de consumidores e usuários.

Colocando em prática

Uma das maneiras mais populares e melhores de aumentar a privacidade dos dados do consumidor e do usuário, estejam eles em repouso ou em trânsito, é por meio da criptografia. Criptografar dados de consumidores e usuários e os métodos de transmissão desses dados é essencial para manter informações pessoais identificáveis privadas.

Hoje em dia, a criptografia é onipresente. A atenção à privacidade do usuário e dos dados ajudou a impulsionar a explosão do tráfego criptografado. Além disso, há muitos fornecedores que agora oferecem certificados gratuitos ou de baixo custo em um esforço para melhorar a segurança online, o que beneficiaria usuários, consumidores e empresas. Basicamente, eles estão tentando criptografar toda a web! De acordo com o F5 Labs , 86% dos carregamentos de páginas da web são criptografados com SSL ou TLS. E a cifra Advanced Encryption Standard (AES) é responsável por mais de 96% do tráfego criptografado da web atualmente. Os regulamentos e requisitos de privacidade mencionados acima, como GDPR, CCPA e outros, estão impulsionando a adoção da criptografia, mesmo que a maioria desses regulamentos e requisitos não exija a criptografia de dados pessoais e de usuários. No entanto, muitas organizações usarão criptografia para dados e comunicações de usuários para não infringir esses mesmos regulamentos e requisitos.

As inevitáveis desvantagens

Embora a criptografia seja excelente para fornecer privacidade aos usuários e seus dados, há ao mesmo tempo um problema com a criptografia, criando um sério enigma para usuários e empresas: Invasores e hackers também adoram usar criptografia para mascarar malware, ransomware e outros vetores de ataque. Infelizmente, a criptografia permite um ponto cego de segurança.

Por exemplo, sites fraudulentos usados em campanhas de phishing e spearphishing estão cada vez mais usando HTTPS para parecerem genuínos, a fim de enganar usuários desavisados a clicar em links infectados por malware ou a inserir seu nome de usuário e senha em páginas de login convincentes, mas falsas — e eles até enganam usuários que aceitaram a aparência do pequeno cadeado na barra de endereço como indicativo de um site seguro. De acordo com o F5 Labs , 72% dos sites de phishing agora usam criptografia. Mas, para piorar a situação, invasores, hackers e outros criminosos não estão apenas usando criptografia para esconder ameaças; eles também estão aproveitando a privacidade que a criptografia permite para evitar a detecção de análises forenses post mortem, simplesmente usando uma campanha de ameaças específica que inclui malware e sites de phishing apenas uma vez por vítima.

Phishing é um ataque muito difícil de se defender porque ele explora a psicologia humana, aproveitando a engenharia social e a desinformação. O phishing aproveita a natureza humana e as emoções, como o medo. Isto é especialmente verdade durante a pandemia do coronavírus. E os invasores sabem disso e usam isso a seu favor. O F5 Labs descobriu que novos certificados HTTPS contendo as palavras “covid” ou “corona” aumentaram ao mesmo tempo que os picos de casos de COVID-19. Até mesmo fontes de saúde bem conhecidas, como a Organização Mundial da Saúde (OMS) e os EUA Os Centros de Controle e Prevenção de Doenças (CDC) foram e continuam sendo personificados por invasores em campanhas de phishing direcionadas que tentam atrair vítimas para domínios maliciosos e baixar malware ou outros ataques maliciosos, ou induzi-las a digitar suas credenciais de usuário em páginas de login falsas.

O que você pode fazer sobre isso

Então, como uma organização pode hoje defender a privacidade dos dados e informações pessoais de usuários e consumidores, ao mesmo tempo em que se protege de vários ataques e violações?

As organizações devem empregar uma solução que possa descriptografar em escala o grande volume de tráfego criptografado necessário diariamente para o tráfego de entrada e saída. Com o nível de tráfego criptografado atual, a necessidade de garantir a privacidade dos dados do usuário e do consumidor e a tarefa computacionalmente intensiva de descriptografia e recriptografia, aproveitar uma solução de segurança existente para exercer dupla função, fornecer segurança e descriptografar e recriptografar o tráfego é uma má ideia. Um dispositivo de segurança sobrecarregado e sobrecarregado pode simplesmente começar a ignorar o tráfego criptografado ou não executar as tarefas de segurança para as quais foi implantado.

Para garantir a privacidade e a segurança dos dados de usuários e consumidores, e em um esforço para não violar os regulamentos e requisitos de privacidade, as organizações devem empregar uma solução que permita de forma inteligente que o tráfego privado de usuários e consumidores, como dados financeiros ou de saúde, ignore a descriptografia. Esse tráfego não deve ter passe livre, mas deve ser inspecionado por um conjunto limitado de soluções na pilha de segurança. No entanto, isso só pode ser alcançado se as soluções na pilha de segurança não estiverem em uma cadeia estática, mas puderem participar de cadeias de serviços de segurança dinâmicas, aproveitando políticas sensíveis ao contexto para rotear o tráfego criptografado de entrada, uma vez descriptografado, para a cadeia de serviços de segurança apropriada.

Isso é chamado de orquestração SSL e a descrição acima (espero) ilustra por que ela é tão necessária hoje em dia, não apenas para garantir a segurança organizacional, mas também para confirmar que as informações de usuários e consumidores sejam protegidas e mantidas em sigilo.

Para mais informações sobre o F5 SSL Orchestrator, clique aqui .