A conexão entre a Lei Geral de Proteção de Dados e a cibersegurança

Como se proteger no cenário em que o respeito à LGPD não garante que sua empresa está imune ao roubo de dados arquitetado por cibercriminosos

Setembro 18, 2023

_{As organizações nem sempre consideram o vazamento de dados resultante de ataques cibernéticos (Foto: Canva)}

Por Edgar D’Andrea e Maressa Juricic

Quando se fala da Lei Geral de Proteção de Dados (LGPD), fazer o básico não é suficiente. Isso porque o procedimento de compliance nas organizações nem sempre considera o vazamento de dados resultante de ataques cibernéticos.

Imagine que sua empresa já teve a infraestrutura tecnológica sequestrada e que os hackers estão a um clique de fazer uma cópia de toda a base de dados sensíveis, que você fez de tudo para proteger. Nesse caso, sua rede está em risco e também as informações de clientes e quaisquer stakeholders que façam negócios com a sua organização.

Esse modus operandi é conhecido como dupla extorsão – em que o sequestro tecnológico é seguido do roubo de dados – uma prática cada vez mais comum de ser utilizada pelos atacantes. Nesse tipo de crime, os hackers têm a seu favor o controle total da operação da empresa e, com isso, a deixam ainda mais vulnerável.

Devido ao aumento dos casos de ciberataques que envolvem o sequestro de dados sensíveis, torna-se crucial que startups e empresas desenvolvam uma infraestrutura digital que contemple da segurança cibernética à proteção de dados. As organizações que priorizam esse binômio constroem confiança com os stakeholders do ecossistema, desde investidores até usuários, e garantem a sustentabilidade de suas operações, mesmo enfrentando um eventual ataque hacker.

A implementação das leis de proteção de dados

Nos próximos dois anos, uma série de países deve consolidar o compromisso de decidir como os dados pessoais devem ser tratados. Enquanto isso, no Brasil, a LGPD já começa a funcionar a todo vapor. A lei foi promulgada no nosso país em agosto de 2018, passou a valer em setembro de 2020, e passou a vigorar integralmente (regulamentando também sanções administrativas) em agosto de 2021. Mas será que todos estão preparados para essa realidade?  

A resposta, infelizmente, é não, principalmente quando falamos de empresas e startups que atuam em diversas geografias. No Brasil, a primeira multa por descumprimento da LGPD foi aplicada pela Autoridade Nacional de Proteção de Dados (ANPD) em julho de 2023, recolocando em evidência a necessidade de cumprimento das disposições legais. 

Além disso, a ANPD está em processo de fiscalização e aguarda a publicação do Regulamento de Comunicação de Incidente de Segurança com Dados Pessoais que definirá regras mais específicas sobre o processo de divulgação de um incidente para a autoridade nacional.

Atualmente, o mercado está cada vez mais focado em atender os artigos 15 e 16 da LGPD, relacionados à eliminação dos dados após o tratamento. Com isso, as empresas estão investindo em programas robustos de monitoramento de riscos de exposição, implementando tecnologias para descobrir e classificar informações sensíveis, mascarando dados e reduzindo o nível de exposição às violações de ativos digitais contendo informações pessoais.

Atenção às vulnerabilidades

Para aquelas empresas e startups que estão no início desta jornada, é de extrema relevância ter atenção a duas portas de entrada comumente acessadas pelos cibercriminosos:

• Credencial vazada

O uso de credenciais vazadas tem sido uma das técnicas mais aplicadas nos ataques cibernéticos que visam o roubo de dados. Quando as informações dos usuários são expostas em fóruns underground (comunidades online secretas), os dados podem dar a indicação aos criminosos do padrão de formação da credencial utilizada por uma startup ou grande empresa. Assim, os hackers se utilizam dessa informação para explorar o ambiente tecnológico alvo dos seus ataques e, muitas vezes, alcançar o acesso inicial ou escalar privilégios como parte da execução do crime cibernético. 

O chamado “acesso privilegiado” é aquele utilizado para entrar nos canais de desenvolvimento de aplicações digitais, que permite acessar a base tecnológica e os dados de uma organização. Essa concessão é atribuída a alguns usuários, como no caso dos fundadores, sócios ou parceiros de uma startup. Além disso, existem credenciais para usuários sistêmicos de aplicações, infraestrutura e serviços de TI, que, ao trabalharem diretamente com o desenvolvimento da tecnologia, têm níveis elevados de acesso privilegiado.

• Dados sem real anonimização  

Nas empresas com modelos de negócios voltados à captação e monetização de dados, um dos grandes desafios passa por estabelecer processos e tecnologias que anonimizam, de fato, os dados pessoais de acordo com a LGPD.

Se a estrutura de negócio da startup envolver algum tipo de monetização de dados pessoais, é crucial ter clareza dos riscos quanto ao vazamento de informações delicadas. Para isso, é necessário conduzir uma análise criteriosa de riscos, evitando cair em armadilhas de técnicas simples de mascaramento em cenários que a lei exige o anonimato. Além disso, a startup deve ser transparente com o titular dos dados quanto à finalidade de tratamento, monetização e compartilhamento das informações.

Investindo em resiliência cibernética

A resiliência cibernética é a capacidade que a empresa tem de estabelecer processos de governança destinados a identificar, gerenciar e proteger seus ativos digitais, incluindo a infraestrutura, dados e redes. Em casos adversos, as organizações com resiliência cibernética são capazes de detectar e responder a um ataque cibernético recuperando as operações de forma estruturada.

O ponto de partida para essa jornada é ter clareza sobre os riscos – incluindo o mapeamento dos ativos digitais, como dados pessoais, infraestrutura, redes, conexões com terceiros, etc – e entender a relevância de cada item para a proteção de dados e segurança do negócio. 

Em situações de ataque cibernético, é fundamental que as ações de resposta e recuperação sejam cuidadosamente planejadas e estejam integradas a um processo de gestão de crises. Todos os envolvidos, incluindo investidores, executivos e operadores, devem ter um entendimento claro de seus papéis e responsabilidades, estando prontos para agir de forma coordenada no momento de uma crise.

Como técnica de defesa, é preciso utilizar abordagens semelhantes às dos atacantes, com processos de detecção e resposta automatizados, complementados por intervenções humanas que conduzem a análises técnicas mais profundas, para tomada de decisões mais críticas. 

Esse estado pode ser alcançado de duas maneiras principais: (1) contratação de serviços especializados de gestão contínua de segurança, como Centros de Operações de Segurança (SOC), inteligência de ameaças, monitoramento de conformidade, gestão de identidade e credenciais, Zero Trust, etc ou (2) por meio de investimentos estratégicos em infraestrutura, aplicativos e capacitação da equipe interna

Muitas empresas, incluindo startups, subestimam os riscos cibernéticos e os impactos operacionais, financeiros e de imagem que um ataque cibernético pode provocar, e acabam sem se prevenir. Nossa experiência mostra que esta decisão pode não ser a melhor, principalmente pelo crescimento acentuado dos ataques cibernéticos bem sucedidos, que resultam em substanciais perdas financeiras e prejudicam a reputação da organização no mercado.