O número de contas vazadas tem crescido globalmente, mas o Brasil se destaca pela redução da violação de dados

Mais de 421 milhões de pessoas sofreram vazamentos de dados em 2022, de acordo com levantamento mundial do Centro de Recursos contra Roubo de Identidade (ITRC). A violação de dados de grandes empresas cresceu 42% em comparação ao ano anterior, com o Twitter sendo responsável pela exposição de informações de mais de 221 milhões de usuários.

No Brasil, houve uma melhoria significativa para evitar esses ataques, possivelmente refletindo o amadurecimento da implantação da Lei Geral de Proteção de Dados (LGPD). A empresa SurfShark identificou o vazamento de dados de 8,7 milhões de contas no ano passado, número quatro vezes inferior ao de 2021, quando registrou 33 milhões de contas violadas. Ainda assim, o país ocupa a 12^a posição entre os países mais atingidos.

Os casos têm alarmado a população sobre a segurança de seus dados pessoais, como senhas, endereços, telefones, dados bancários e até mesmo localizações registradas por GPS. Esses dados podem ser usados de forma maliciosa e ainda gerar multas para as empresas que apresentam vulnerabilidades.

Quais são as principais causas de vazamento de dados?

Os ataques maliciosos são a principal causa de vazamento de dados, segundo uma pesquisa da IBM que envolveu 524 empresas em 17 países. No entanto, outras vulnerabilidades, como erro humano ou falhas do desenvolvimento de software, podem ser a origem da divulgação de informações sigilosas.

O que pode causar uma violação de dados:

• Ataques cibernéticos — hackers e criminosos cibernéticos podem invadir sistemas de segurança para roubar informações confidenciais;
• Descuido — funcionários podem, inadvertidamente, divulgar informações confidenciais, como enviar um e-mail para o destinatário errado, deixar documentos sensíveis em uma área pública ou compartilhar informações pessoais nas mídias sociais;
• Dispositivos perdidos ou roubados — dispositivos móveis, como laptops, tablets e smartphones, podem ser perdidos ou roubados, correndo o risco de exposição das informações que estão armazenadas neles;
• Vulnerabilidades de softwares — programas e sistemas de software podem ter vulnerabilidades ou brechas de segurança que permitem a invasão por hackers;
• Ataques de phishing — os ataques de phishing são tentativas de obter informações pessoais confidenciais, como as senhas, por meio de mensagens de e-mail ou outras formas de comunicação;
• Ataques de engenharia social — esses ataques envolvem o uso de técnicas psicológicas para persuadir funcionários ou indivíduos a divulgar informações confidenciais;
• Uso de senhas fracas — senhas fracas e fáceis de adivinhar são uma vulnerabilidade comum que pode permitir que hackers acessem informações confidenciais.

O que a LGPD diz sobre a violação de dados?

A Lei Geral de Proteção de Dados (LGPD) entrou em vigor em setembro de 2020 e tem como objetivo proteger a privacidade e os dados pessoais dos cidadãos. A legislação estabelece que as empresas são responsáveis pela proteção dos dados pessoais que coletam, armazenam e utilizam, garantindo a privacidade e a segurança das informações.

A LGPD prevê multas que podem chegar a até 2% do faturamento para as organizações que permitem o vazamento de dados, limitado a R$ 50 milhões por infração. A legislação também prevê sanções como a publicização da infração, bloqueio ou eliminação dos dados relacionados à infração e suspensão parcial do funcionamento do banco de dados.

As medidas são aplicadas pela Autoridade Nacional de Proteção de Dados (ANPD), responsável por fiscalizar o cumprimento da LGPD. O órgão tem o poder de realizar investigações e inspeções em empresas e realizar acordos e cooperações com outras autoridades de proteção de dados nacionais e internacionais.

Como um profissional pode evitar o vazamento de dados?

O profissional de segurança cibernética é o principal responsável por evitar o vazamento de dados de uma organização, e deve conscientizar todos os colaboradores das medidas necessárias para proteger o negócio de uma possível divulgação de dados sigilosos.

Entre as ações que devem ser realizadas para evitar a violação de dados, estão:

• Medidas de segurança robustas — isso inclui o uso de firewalls, antivírus, autenticação de dois fatores, certificado SSL e criptografia de dados;
• Atualização de sistemas — sempre mantenha o software e o hardware atualizados com as últimas correções de segurança e patches de atualização;
• Treinamento — realize treinamentos regulares com a equipe para garantir que todos saibam como lidar com informações confidenciais e adotem boas práticas de segurança cibernética;
• Políticas de segurança fortes — estabeleça políticas claras e rígidas para o uso de senhas fortes, a autenticação de usuários, o acesso remoto e o armazenamento de informações confidenciais;
• Auditorias regulares — verifique regularmente se há vulnerabilidades em seus sistemas e faça testes de penetração para identificar possíveis brechas de segurança;
• Backups atualizados — mantenha backups regulares de seus dados importantes para que possa recuperá-los em caso de perda ou vazamento de dados;
• Monitoramento constante — monitore constantemente o tráfego de rede e de atividades suspeitas em seus sistemas para detectar e responder rapidamente a possíveis ataques.

Como identificar o vazamento de dados em uma organização?

Para identificar possíveis violações de dados em sua organização, é necessário estar atento a alguns sinais de alerta. É importante verificar a atividade de login e acesso aos sistemas para detectar atividades incomuns, como tentativas malsucedidas de acessar os dados fora do horário de trabalho.

Configurar alertas de atividade incomum, como o download de grandes quantidades de dados, também pode ajudar a detectar possíveis violações. Além disso, é importante implementar ferramentas de proteção e incentivar os funcionários a seguir as políticas de segurança aplicadas pela empresa.