O que são violações de segurança?

Para muitas pessoas, as atividades mais fundamentais da vida agora são realizadas on-line. De compras, transações bancárias e planejamento de viagens a entretenimento e namoro, as pessoas se voltam cada vez mais para o mundo digital para facilitar suas vidas públicas e privadas. Elas confiam em suas ferramentas digitais para manter informações e dados pessoais — e talvez alguns de seus segredos — seguros, privados e protegidos. 

No entanto, como as contas, aplicações e sistemas de computador on-line agora armazenam grandes quantidades de informações pessoais e financeiras, eles se tornam os principais alvos de violações de segurança nas quais os criminosos buscam comprometer os sistemas para obter acesso às contas dos clientes e colher dados, abrindo a porta para fraudes e outros crimes cibernéticos. Para as empresas, as violações também podem levar a multas regulatórias, responsabilidades legais, danos à reputação e perda de confiança do cliente. 

Uma violação de segurança pode resultar de uma ampla gama de ameaças e vulnerabilidades em evolução, incluindo senhas fracas, malware, phishing, ransomware e engenharia social. Instituir medidas de segurança de dados é imperativo para que indivíduos e organizações protejam a privacidade pessoal e dados confidenciais, porque as informações confidenciais têm grande valor para os criminosos. A Dark Web é um mercado onde nomes de usuário, senhas, números de cartão de crédito e outros dados financeiros podem ser comprados e vendidos e empregados para fins de roubo de identidade ou fraude.

A ameaça de violações de segurança é real: de acordo com a Enterprise Apps Today, a cada 39 segundos ocorre uma violação em algum lugar do mundo, com uma estimativa de US$ 6 trilhões em danos causados por cibercriminosos apenas em 2022.

As violações de segurança ocorrem quando os controles de segurança são penetrados ou de outra forma contornados; as maiores e mais poderosas empresas do mundo são regularmente alvo de cibercriminosos. De fato, instituições financeiras, empresas de comércio eletrônico e agências governamentais estão entre as entidades mais comumente visadas devido aos vastos volumes de dados pessoais e financeiros que esses sites mantêm.

Indivíduos e organizações de grande e pequeno porte correm o risco de violações de segurança e ataques cibernéticos. Hackers e cibercriminosos, alguns com o apoio de poderosos interesses nacionais ou corporativos, são infinitamente inventivos e criam novas maneiras de penetrar nas proteções de segurança existentes. Isso lhes dá a oportunidade de roubar informações confidenciais ou dados pessoais que eles podem potencialmente vender ou manipular para ganho competitivo, ou usar para fins de fraude, roubo de identidade ou disseminação de desinformação. 

De acordo com o site de notícias secureworld.io, as violações de dados mais significativas de todos os tempos incluem as seguintes:

• Yahoo (2013–2014), em que mais de 3 bilhões de contas de usuários foram comprometidas depois que os invasores usaram técnicas de phishing para invadir a rede da Yahoo. Os intrusos obtiveram acesso a informações confidenciais, incluindo nomes, endereços de e-mail, datas de nascimento, números de telefone e senhas criptografadas. Além de multas de US$ 35 milhões da Securities and Exchange Commission e US$ 80 milhões em acordos de uma ação coletiva federal de valores mobiliários, a Yahoo foi forçada a reduzir seu preço de compra em US$ 350 milhões durante sua venda para a Verizon em 2016. Em março de 2017, o FBI indiciou quatro pessoas pelo ataque, incluindo dois oficiais do Serviço Federal de Segurança da Rússia (FSB).
• Equifax (2017), em que os invasores obtiveram as informações pessoais de 147 milhões de consumidores nos EUA, incluindo nomes, números da Previdência Social, datas de nascimento, endereços e, em alguns casos, números de carteiras de motorista. Além dessas informações pessoais, a violação também expôs números de cartões de crédito de cerca de 209 mil clientes. Os invasores obtiveram acesso à rede da Equifax por meio de uma vulnerabilidade na aplicação do site,  e a segmentação inadequada do sistema permitiu aos infiltrados uma movimentação lateral fácil dentro do sistema. A violação teve graves repercussões, levando à perda de confiança do consumidor, investigações legais, ações judiciais, multas regulatórias e audiências no Congresso. A Equifax também pagou cerca de US$ 700 milhões para ajudar as pessoas afetadas pela violação de dados. Em 2020, o Departamento de Justiça dos EUA anunciou acusações contra quatro hackers apoiados por militares chineses em conexão com o ataque cibernético da Equifax. 
• Marriott International (2014–2018), em que aproximadamente 500 milhões de registros de hóspedes foram comprometidos, incluindo nomes, endereços, números de telefone, números de passaporte, endereços de e-mail, informações de viagem e, em alguns casos, números de cartões de pagamento. O ataque começou quando a Marriott adquiriu a Starwood Hotels and Resorts em 2016 e integrou o sistema de reservas da Starwood ao da Marriott. O sistema da Starwood havia sido comprometido pelo menos em 2014 (provavelmente a partir de credenciais roubadas de funcionários da Starwood) e logo todas as propriedades do grupo Marriott International foram infectadas. O UK Information Commissioner’s Office (ICO) multou a Marriott em US$ 23,8 milhões em penalidades. Autoridades dos EUA afirmam que o ataque cibernético foi parte de um esforço chinês de coleta de informações; a Marriott é o principal fornecedor de hotéis para o governo e militares americanos.
• T-Mobile (2022–2023), em que invasores manipularam uma API para violar 37 milhões de contas de usuários a fim de obter nomes de clientes, endereços de cobrança, endereços de e-mail, números de telefone, números de conta e datas de nascimento. O invasor, que teve acesso não autorizado aos sistemas da T-Mobile por mais de um mês antes que a violação fosse descoberta, não foi identificado. 

Existem vários tipos de violações de segurança, caracterizadas pelos métodos usados pelo invasor para obter acesso ao sistema. 

• Os ataques de malware são uma técnica comum usada por criminosos para introduzir violações de segurança. O malware geralmente se espalha por meio de anexos de e-mail maliciosos, geralmente como parte de um ataque de phishing que engana os destinatários para que cliquem em links ou baixem anexos que contenham malware ou levem a páginas de login falsas. O malware também pode ser iniciado por meio do contato com sites infectados ou downloads de software comprometidos. O malware pode ser projetado para executar várias funções que levam a violações de dados, incluindo a gravação de pressionamentos de teclas ou o monitoramento da atividade do usuário, ou a criação de pontos de acesso “backdoor” que permitem que os invasores obtenham acesso às redes. Outros tipos de malware podem coletar credenciais de login salvas ou roubar dados de autenticação confidenciais, que os invasores podem usar para obter acesso não autorizado a contas e sistemas. O malware também pode executar exfiltração, enviando dados roubados para servidores remotos controlados por invasores, levando ao vazamento não autorizado de dados e à possível exposição. Os ataques de ransomware também podem levar a violações de segurança, pois o ransomware é um tipo de malware que criptografa os dados de uma vítima, tornando-os inacessíveis. Durante o processo de criptografia, o invasor obtém acesso aos dados da vítima e, em muitos casos, ameaça divulgar publicamente os dados confidenciais da vítima ou vendê-los na Dark Web se o resgate não for pago. Isso transforma o incidente de ransomware em uma violação de dados, expondo as informações comprometidas a indivíduos não autorizados.
• Os ataques de engenharia social recorrem à manipulação psicológica para enganar as pessoas para que revelem informações confidenciais, realizem ações ou tomem decisões que comprometam a segurança. Em alguns casos, os invasores podem se passar por indivíduos confiáveis, como colegas, supervisores ou pessoal de TI, para convencer as vítimas a compartilhar dados confidenciais ou revelar nomes de usuário, senhas ou outras credenciais de autenticação. Usando essas informações, os invasores podem obter acesso não autorizado a sistemas, contas e dados confidenciais. Os ataques de engenharia social geralmente usam táticas de phishing para manipular os indivíduos a realizar ações ou revelar dados que normalmente não fariam.
• As explorações de software tiram proveito de vulnerabilidades ou pontos fracos em configurações de software, firmware ou sistema para obter acesso não autorizado, manipular dados ou executar ações maliciosas em um sistema ou rede de computadores. Softwares desatualizados ou sem patches são um ponto de entrada comum para explorações de sistema, mas também podem ser vinculados a ataques de escalonamento de privilégios ou explorações de execução remota de código.

A penalidade por uma violação de dados pode ser grave e de longo alcance e inclui:

• Perdas financeiras, devido a despesas relacionadas à resposta a incidentes, honorários advocatícios e ações judiciais, multas regulatórias e compensação às partes afetadas.
• Danos à reputação, pois violações divulgadas publicamente podem resultar em publicidade negativa e causar danos a longo prazo a uma marca.
• Perda de confiança, pois as violações podem minar a confiança na capacidade da empresa de proteger os dados, fazendo com que os clientes (e parceiros) hesitem em se envolver em relações comerciais, levando à perda de lealdade e desgaste do cliente.
• Implicações legais e regulatórias, pois as empresas podem enfrentar ações legais e multas regulatórias devido ao não cumprimento das leis e regulamentos de proteção de dados, como o Regulamento Geral de Proteção de Dados da UE (RGPD) e a Lei de Portabilidade e Responsabilidade de Seguros de Saúde (HIPAA) nos EUA.

Reconhecer os sinais de uma violação de segurança com antecedência é crucial para minimizar possíveis danos e responder de forma eficaz. A seguir estão indicadores comuns que podem sinalizar que uma violação de segurança está em andamento. 

• Atividade de rede incomum, como aumentos repentinos no tráfego de rede, transferências de dados incomuns ou picos inesperados no uso de largura de banda podem indicar acesso não autorizado ou exfiltração de dados.
• O comportamento inesperado do sistema, como tempo de inatividade inexplicável, desempenho lento ou falhas frequentes, pode indicar a presença de malware ou atividades não autorizadas. 
• Atividades estranhas nas contas, como contas de usuário desconhecidas, horários de login incomuns ou várias falhas de login podem ser sinais de comprometimento ou tentativas de acesso não autorizado. 
• Anomalias de dados e acesso não autorizado, como dados ausentes ou alterados e registros mostrando acesso não autorizado a bancos de dados críticos ou informações confidenciais, podem sugerir uma violação de segurança.

Prevenir violações de segurança requer uma abordagem proativa e abrangente da segurança cibernética, incluindo as seguintes práticas recomendadas.

• Impor políticas de senha fortes. Restrinja o uso de informações facilmente adivinháveis, como aniversários, nomes ou palavras comuns, e imponha o uso de senhas que combinam sequências aleatórias de letras maiúsculas e minúsculas, números e símbolos. Considere adotar o uso de frases secretas, que são mais longas e fáceis de lembrar, mas mais difíceis de decifrar.  
• Implementar autenticação multifator (MFA). A MFA exige que o usuário apresente dois ou mais fatores de verificação para obter acesso a uma aplicação, recurso, conta on-line ou outro serviço. Na prática comum, isso geralmente envolve inserir uma senha de uso único de um e-mail ou texto em um smartphone ou navegador, ou fornecer dados biométricos, como uma impressão digital ou reconhecimento facial.
• Atualizar regularmente os softwares e sistemas. Mantenha sistemas operacionais, aplicações de software e patches de segurança atualizados para lidar com vulnerabilidades conhecidas. Desenvolva um processo robusto de gerenciamento de patches para aplicar atualizações e correções de segurança prontamente.
• Implementar a segmentação de rede. Dividir uma rede maior em segmentos menores e isolados pode ajudar a melhorar a segurança e reduzir o impacto potencial das violações de segurança, criando zonas ou sub-redes separadas com acesso controlado. Essa prática ajuda a isolar ativos críticos, reduz a superfície de ataque e limita o movimento lateral dentro da rede para ajudar a conter violações.
• Empregar criptografia e proteção de dados. Criptografe dados confidenciais em trânsito e em repouso para protegê-los contra acesso não autorizado. A aplicação de políticas de proteção de dados, como controles de acesso rigorosos e princípios de privilégio mínimo, reduz o risco de acesso não autorizado a dados.
• Inventariar APIs e scripts de terceiros. Descubra dinamicamente endpoints de APIs e integrações de terceiros para garantir que eles sejam capturados nos processos de gerenciamento de riscos e protegidos por controles de segurança apropriados. 

• Reconhecer tentativas de phishing. Certifique-se de que os funcionários aprendam a reconhecer e-mails de phishing e links maliciosos, reduzindo a probabilidade de cair em golpes de phishing que podem levar a violações de dados.
• Educar sobre senhas fortes. Ensine aos funcionários a importância de senhas fortes e práticas robustas de higiene de senhas.
• Relatar atividades suspeitas. Instrua os funcionários a relatar imediatamente atividades suspeitas ou possíveis incidentes de segurança, permitindo uma resposta e mitigação mais rápidas. O treinamento regular mantém os funcionários atualizados sobre os riscos emergentes e como reconhecê-los.

• Avaliar regularmente a postura de segurança da sua organização. Use testes de penetração, varredura de vulnerabilidades e auditorias de segurança para identificar e resolver pontos fracos em seus sistemas, aplicações e redes antes que os invasores possam explorá-los. As avaliações de vulnerabilidade também ajudam a identificar configurações incorretas que podem levar a violações de segurança se não forem resolvidas.

• Desenvolver um plano de resposta a incidentes. Isso pode desempenhar um papel significativo na mitigação de violações de segurança, fornecendo uma abordagem estruturada e proativa para identificar e responder a possíveis incidentes de segurança cibernética.
• Identificar as partes interessadas e as funções. Certifique-se de identificar as partes interessadas e determinar funções e responsabilidades, além de desenvolver uma cadeia de comando clara para relatar e escalar incidentes. Desenvolva procedimentos detalhados passo a passo para conter e mitigar violações e teste regularmente o plano para identificar pontos fracos e melhorar as respostas.
• Desenvolver estratégias de continuidade dos negócios e recuperação de desastres (BCDR). Os planos de BCDR ajudam a garantir a continuação de operações comerciais críticas diante de interrupções, como violações de segurança. Um elemento essencial dos planos de BCDR são os backups regulares de dados para garantir que os dados possam ser restaurados para um estado anterior e limpo em caso de violação de dados ou corrupção de dados. Todos os planos de BCDR devem ser testados regularmente por meio de simulações e exercícios para confirmar sua eficácia e permitir que as empresas identifiquem pontos fracos e refinem as estratégias de resposta.

A inteligência artificial oferece novas ferramentas e recursos poderosos que podem ser aproveitados para detectar e prevenir violações de segurança. Em particular, a defesa contra bots alimentada por IA pode manter a resiliência, independentemente de como os invasores tentem contornar as defesas por meio de coleta de telemetria durável, análise comportamental e mudanças nas estratégias de mitigação. Os algoritmos de IA detectam anomalias que podem indicar atividade de violação, como usuários que acessam dados confidenciais em horários incomuns ou de locais desconhecidos, bem como tentativas de falsificar sinais e usar dados comprometidos da Dark Web. 

Esses sistemas podem ser direcionados para bloquear ou sinalizar automaticamente atividades suspeitas e podem automatizar alguns elementos dos planos de resposta a incidentes, como iniciar ações de resposta predefinidas ou isolar sistemas comprometidos para ajudar a minimizar a disseminação de violações. Como os sistemas de segurança baseados em IA aprendem com novos dados e se adaptam a cenários de ameaças em constante mudança, sua precisão na detecção de violações melhora com o tempo e evolui para permanecer relevante em ambientes de ameaças dinâmicos. 

As tecnologias de IA também podem analisar grandes volumes de dados e detectar padrões anômalos em tempo real, permitindo que esses sistemas respondam mais rapidamente e com maior precisão na identificação de ameaças do que os programas de detecção de ameaças manuais ou baseados em regras.

Embora as soluções de segurança baseadas em IA ofereçam benefícios significativos para detecção e prevenção de ameaças, elas funcionam melhor em conjunto com a experiência humana para validar alertas e interpretar dados ou entradas complicados. Os modelos de segurança de IA podem produzir falsos positivos e falsos negativos, que exigem a vigilância do julgamento e supervisão humanos, particularmente ao responder a ameaças complexas e novas. 

A Federal Trade Commission (FTC) fornece orientações sobre medidas de resposta a incidentes que as organizações devem considerar quando confrontadas com uma violação de segurança. Essas etapas são projetadas para ajudar as organizações a responder e gerenciar efetivamente os incidentes de segurança. Uma visão geral das orientações da FTC para lidar com uma violação de segurança inclui as seguintes ações:

• Proteja suas operações. Reaja rapidamente para proteger seus sistemas e mobilize sua equipe de resposta a violações imediatamente para evitar perda adicional de dados. Isso pode envolver o isolamento dos sistemas afetados, a desativação de contas comprometidas e a adoção de outras medidas para impedir novos acessos não autorizados.
• Corrija vulnerabilidades. Trabalhe com seus especialistas forenses para identificar e resolver as vulnerabilidades que permitiram que a violação ocorresse. Corrija e atualize softwares, sistemas e configurações para evitar futuros incidentes. Analise quem tem acesso à rede atualmente (incluindo provedores de serviços), determine se esse acesso é necessário e, se não for, restrinja-o.
• Notifique as partes apropriadas. Notifique as autoridades para relatar a situação e o risco potencial de roubo de identidade. Dependendo da natureza da violação, informe os indivíduos, consumidores ou clientes afetados sobre o incidente. Forneça informações claras, precisas e transparentes aos indivíduos afetados sobre o que aconteceu, quais dados foram expostos e quais medidas eles devem tomar para se proteger.