Em uma época na qual cresce o valor da conformidade das organizações com a LGPD e com as ciências e sistemas que dão suporte a ela, está crescendo significativamente o número de incidentes de segurança envolvendo informações que o próprio cidadão disponibiliza espontaneamente em suas redes sociais ou informações disponíveis em bancos de dados públicos.
Se antes os hackers invadiam sistemas, na atualidade eles entram pela porta da frente, sem precisar forçar nada, a partir de informações que coletam a partir de fontes públicas.
Em redes sociais a própria pessoa insere informações como data de nascimento, nome de familiares, hábitos de consumo e de viagem, moradia, vínculo de emprego, colegas de trabalho, cargo, empresa e muitas outras mais…
De tais informações, os invasores conseguem dados para auxiliar na recuperação de senhas, criam perfis falsos, engendram golpes que dão abertura a fraudes financeiras ou de engenharia social e realizam ataques direcionados.
Em bases públicas, as informações pessoais estão disponíveis em Diários publicados pela Imprensa Oficial, em processos judiciais ou bancos de dados particulares que os divulgam, em Juntas Comerciais e em outros cadastros públicos mais.
Assim, qualquer invasor com o mínimo de paciência ingressa em motores de busca, utiliza ferramentas de OSINT ou exporta dados a partir de tantos data brokers que existem no mercado atualmente.
Credenciais expostas, vazadas ou espontaneamente divulgadas a terceiros são outra realidade, que não cabe considerar nesta abordagem.
Tais dados encontráveis em redes sociais ou em bases públicas são utilizados para ganhar a confiança da vítima, inspirar autoridade e induzir a vítima à ação, de modo a abrir as portas de suas finanças pessoais ou a facilitar o ingresso nos sistemas das organizações.
Assim, é correto dizer que tanto em face de dados privados de qualquer pessoa, como de dados pertencentes a organizações, o problema vai além da tecnologia, se concentrando efetivamente na governança da informação: por isto o incidente nasce quando o dado público se depara com a ausência de controle.
Mas infelizmente não se trata de problema que pode ser sanado, pois incidentes gerados a partir de tais origens não irão desaparecer, na medida em que dados essencialmente públicos ou mesmo dados vazados não podem ser controlados.
Só há a possibilidade de mitigar tais incidentes, o que é feito através de boas políticas de governança, pois se os dados já existem e estão disponíveis, eles precisam ter a menor relevância possível dentro da organização.
O que diz a LGPD
Em seu art. 46, a LGPD exige que sejam adotadas medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.
Assim, dentro deste contexto, mesmo que os dados estejam disponíveis em mídias sociais ou em bancos de dados públicos, os sistemas nas organizações precisam ser configurados para que eles tenham a menor relevância possível.
Como mitigar os riscos
Ao lado das políticas de educação e conscientização, é importante que os sistemas das organizações exijam de cada usuário a utilização de MFA, sejam formatados para controle de sessões, biometria comportamental e controle adaptativo.
Importa aos sistemas ser desenvolvidos para não dar acesso aos usuários que não configurem seu MFA, que depois da concessão deste acesso a atividade do usuário seja controlada do início ao final da sessão, prevenindo contra o sequestro de sessão e garantindo que desde o login até o logoff seja sempre a mesma pessoa que esteja na sessão.
Ao lado disto, importa que a biometria comportamental esteja configurada e ativa para interromper a sessão se o comportamento do usuário ou o dispositivo não forem reconhecidos com base em padrões prévios ou apresentarem mudança repentina.
Sessões precisam expirar se entrarem em inatividade, se forem longas demais ou se o usuário passar a agir de maneira incompatível com seus padrões anteriores.
As organizações precisam estar atentas, pois pode haver login legítimo mas o risco pode nascer posteriormente — ao longo da sessão, o que torna correto dizer que mais do que quem entra, o problema é quem permanece sem controle.
Como o Instituto Privacidade pode ajudar
No Instituto Privacidade, estamos aptos a orientar sua equipe de TI, colaboradores, fornecedores e parceiros a adotar as melhores práticas para seus sistemas ficarem seguros; através de campanhas educativas e de conscientização, cursos, palestras, treinamentos, auditorias e outras atividades mais, contribuiremos para que sua organização esteja em crescente conformidade com a LGPD e cada vez mais protegida contra as ameaças digitais que crescem minuto a minuto.
Entre em contato hoje e fortaleça sua organização.
