weerapat1003 - stock.adobe.com
10 violações de dados que são o pesadelo dos CISOs
O que podemos aprender com as violações sofridas por grandes empresas como Yahoo!, LinkedIn, Facebook, Equifax, Marriot ou Capital One, entre outras?
À medida que os ciberataques se tornam mais comuns e sofisticados, o CISO deve lidar com os riscos urgentes colocados por ameaças internas, violações de dados e o sempre temido ataque de ransomware, ao mesmo tempo em que avançam iniciativas em torno da segurança da infraestrutura, prevenção de ataques cibernéticos e melhores práticas de segurança, como a rede de zero trust. Os riscos e a pressão são altos, sendo que 88% destes executivos estão com níveis de estresse tão elevados que a metade está enfrentando problemas de saúde mental e um terço sofre com problemas de saúde física relacionados ao trabalho.
A angústia do CISO é totalmente compreensível. Os danos causados pelas violações de dados podem assumir muitas formas. Alguns incidentes fazem a lista de "maiores violações de dados" com base no número total de usuários impactados. Outros fazem manchetes baseadas nas consequências financeiras ou na natureza sensível dos dados envolvidos. Somando as consequências das violações de dados, é compreensível que o principal responsável pela segurança da informação de hoje tenha problemas para dormir. Considere o escopo e a diversidade de apenas algumas brechas de dados notáveis nos últimos anos.
As 10 grandes violações de dados
1. Violação de dados do Yahoo em 2013
Afetando três bilhões de contas de usuários, a violação de dados do Yahoo veio em um momento particularmente inoportuno, pois o Yahoo estava perto de concluir sua aquisição pela Verizon. A divulgação embaraçosa –que a empresa manteve em silêncio por mais de três anos– não fez descarrilar o negócio, mas diminuiu o valor que a Verizon pagou pela aquisição em 350 milhões de dólares. Enquanto isso, um incidente não relacionado em 2014 viu criminosos cibernéticos patrocinados pelo estado roubarem os dados de 500 milhões de usuários graças a um clique descuidado em um e-mail de phishing –uma das ameaças internas mais comuns que as empresas enfrentam atualmente. Mais uma vez, a empresa escolheu esconder o incidente até 2016, quando seus dados roubados apareceram para venda na dark web. É difícil manter a confiança dos clientes –e potenciais parceiros de fusões e aquisições– quando se está ficando aquém das melhores práticas de segurança cibernética.
2. Violação de dados da Aadhaar em 2018
O maior database de identidade do mundo, Aadhaar, continha o nome, gênero, informações de contato e dados biométricos de mais de 1,1 bilhões de cidadãos indianos –todos acabaram nas mãos de hackers. Criada pela Autoridade de Identificação Única da Índia em 2009, a Aadhaar emitiu números de identidade únicos necessários para tudo, desde a solicitação de auxílio estatal ou assistência financeira até a compra de um cartão SIM celular, a abertura de uma conta bancária ou a inscrição em serviços públicos. As alegações de que o sistema era "à prova de hackers" foram vistas com ceticismo por especialistas preocupados com ameaças internas, e a violação do sistema prejudicou ainda mais sua credibilidade em matéria de segurança –ainda mais um fator em sua difícil implementação para o público indiano.
3. Violação de dados do LinkedIn em 2021
Como uma rede social centrada nos negócios, o LinkedIn deve ser um ambiente de confiança para que os profissionais se conectem. Quando hackers roubaram os endereços de e-mail, números de telefone, registros de geolocalização, gênero e outros dados de 700 milhões de seus membros –mais de 90% de sua base de usuários– esta ilusão de segurança foi quebrada. A segunda violação de dados em larga escala do LinkedIn em menos de uma década, o incidente expôs os membros a um risco maior de ataques de phishing e outras façanhas de engenharia social.
4. Violação de dados do Facebook em 2019
Desde o escândalo da Cambridge Analytica até a suspeita generalizada sobre suas práticas de rastreamento comportamental e de publicidade direcionada, o Facebook enfrenta uma batalha difícil para convencer o público de que ele pode ser um administrador responsável dos dados dos usuários. Quando uma violação de dados do Facebook viu os dados pessoais de mais de 530 milhões de usuários caírem nas mãos de hackers –e posteriormente disponibilizados gratuitamente– essa batalha se tornou ainda mais assustadora. A decisão da empresa em não revelar exatamente quais usuários haviam sido afetados pelo incidente não ajudou a resolver o problema.
5. Violação de dados da Syniverse em 2021
Às vezes é a duração de um incidente de segurança que causa surpresa. Em 2021, Syniverse, um provedor de mensagens no núcleo da infraestrutura global de telecomunicações, revelou que os hackers haviam se instalado em seus sistemas por um período de anos, desfrutando de acesso a cerca de 500 milhões de registros. O incidente soou alarme tanto em empresas de telecomunicações quanto em agências governamentais em todo o mundo –especialmente dado o provável papel da atitude frouxa da empresa em relação às melhores práticas de segurança cibernética na violação. Em 2020, uma nova geração de soluções de conectividade segura Syniverse sugeriu que a empresa finalmente tinha considerado a rede Zero Trust.
6. Violação de dados da Capital One em 2019
As ameaças internas nem sempre se originam dentro da própria organização. Afetando mais de 100 milhões de clientes, a violação de dados da Capital One se deve ao uso indevido de acesso privilegiado por um ex-funcionário da Amazon Web Services. A rede Zero Trust poderia ter evitado isso; em vez disso, o atacante obteve acesso a informações pessoais de cartão de crédito, números de seguridade social, detalhes de contas bancárias –tudo o que os hackers precisavam para perpetuar roubo de identidade, fraude e outros crimes. A empresa acabou resolvendo uma ação coletiva no valor de US$ 190 milhões, além de uma multa de US$ 80 milhões paga pelo Escritório do Controlador da Moeda dos Estados Unidos. Ainda assim, a empresa saiu ilesa em comparação com o acordo de US$ 350 milhões pago pela T-Mobile após uma violação em 2021.
7. Violação de dados da CommonSpirit em 2022
Enquanto as violações de dados envolvem tecnicamente a visualização ou o uso não autorizado de dados do cliente, os hackers também podem criar estragos simplesmente tornando os dados inacessíveis –em outras palavras, lançando um ataque seguido de resgate. Quando a CommonSpirit Health foi atacada por uma gangue de ransomware em outubro de 2022, o sistema de saúde nacional foi forçado a retirar os registros eletrônicos de saúde de seus pacientes, além de portais de pacientes e outros sistemas. Mais de um mês depois, a CommonSpirit Health ainda estava trabalhando para voltar a estar online. A interrupção do atendimento aos pacientes, do suporte aos profissionais e das operações comerciais foi generalizada.
8. Violação de dados da Marriott em 2018
Os cibercriminosos já são suficientemente maus –mas algumas violações de dados sobem ao nível da espionagem internacional. Este parece ter sido o caso do roubo de dados sensíveis de 500.000 hóspedes dos hotéis Marriott's Starwood. A empresa foi multada em 18,4 milhões de libras por uma agência do governo do Reino Unido por seu fracasso, mas todas as implicações do incidente foram sugeridas quando o New York Times atribuiu o ataque a um grupo de inteligência chinês em busca de dados sobre cidadãos norte-americanos.
9. Violação de dados da Equifax em 2017
Certamente o padrão ouro das violações de dados, o hack Equifax comprometeu os dados financeiros pessoais mais sensíveis imagináveis de 147 milhões de pessoas. Um post-mortem sugeriu que o projeto da rede da empresa não havia sido suficientemente segmentado, uma falha gritante em seguir os princípios da rede Zero Trust. Pior ainda, a resposta lenta da empresa e o processo de notificação –durante o qual os executivos da Equifax despejaram grandes quantidades de suspeitas de abuso de informação privilegiada. Para uma empresa cujo negócio é construído sobre a credibilidade, isso não é uma boa aparência. E também não é uma boa sensação quando se acaba pagando um acordo de 700 milhões de dólares.
10. Violação de dados do Comitê Nacional Republicano em 2017
Com cinismo público e desilusão sobre a política dos Estados Unidos em um momento histórico, o Comitê Nacional Republicano escolheu um momento inoportuno para ser descuidado com a segurança nas nuvens. Os fornecedores de dados do comitê deixaram os dados privilegiados de mais de 198 milhões de americanos –incluindo não apenas nomes e datas de nascimento, mas afiliação partidária, etnia, raça, gênero, religião, e até mesmo suas opiniões sobre questões políticas sensíveis– totalmente desprotegidos em um servidor voltado para o público. A inevitável quebra de 1,1 TB chocou os eleitores não apenas com as melhores práticas descuidadas de segurança cibernética, mas também com o crescente papel dos grandes dados na análise, formação e manipulação de seus pontos de vista políticos.
Melhores práticas para preservar a sanidade do CISO
As maiores violações de dados muitas vezes começam com ações relativamente pequenas, tais como privilégios em excesso, configurações erradas do sistema e erros dos funcionários.
Por esse motivo, as empresas precisam colocar em prática a prevenção de ataques cibernéticos em toda a sua estratégia de segurança de infraestrutura. A rede Zero Trust pode ajudar a prevenir ameaças externas e internas e limitar o impacto de qualquer violação que ocorra. A proteção contra malware empresarial pode parecer antiquado, mas é um método testado e comprovado para prevenir muitos tipos de ataques de resgate. A seleção cuidadosa de fornecedores também é vital; as melhores empresas de segurança cibernética podem oferecer capacidades avançadas como detecção de ameaças alimentadas por IA, inteligência integrada de ameaças, inspeção SSL, integração de informações de segurança e gerenciamento de eventos (SIEM), micro segmentação de rede, detecção e resposta estendida em tempo real (XDR), e muito mais.
Como prevenir violações de dados
Um desafio chave de proteção de dados para CISOs é o ponto cego do Zero Trust criado pela criptografia SSL/TLS. Simplificando, o tráfego de rede que é criptografado para evitar visualizações por hackers também se torna invisível às soluções de segurança –tornando impossível a detecção de ransomware, malware, exfiltração de dados e outras ameaças.
Existem recursos para eliminar este ponto cego, tornando possível descriptografar o tráfego para inspeção e depois reencriptá-lo para continuar sua jornada dentro ou fora da organização. Para evitar os problemas de desempenho, custo e escalabilidade que vêm com a inspeção SSL dispositivo por dispositivo, o ideal é ter uma abordagem centralizada, de decriptação-once, inspeção-em qualquer lugar que permita a inspeção por tantos dispositivos quantos forem necessários, incluindo NGFW, IPS, IDS, ATP, SWG, DLP e antivírus, sem descriptografia e re-encriptação repetitivas. Desta forma, as organizações podem detectar violações de dados e ataques cibernéticos ao mesmo tempo em que reforçam as normas de segurança e conformidade regulamentar.
Como os criminosos cibernéticos trabalham horas extras para inovar novas formas de ameaças e ataques, não é provável que a vida seja muito mais fácil para o CISO. Mas com as ferramentas certas, estratégias e melhores práticas, eles podem manter seus dados fora das mãos dos hackers –e manter o nome de sua empresa fora de artigos como este.
Sobre o autor: Ivan Marzariolli é country manager da A10 Networks no Brasil.