Exposição de dados: o que as empresas devem aprender com isso

Dean Coclin é Diretor Sênior de Desenvolvimento de Negócios da DigiCert

No final de setembro, brasileiros tiveram uma surpresa desagradável: o dfndr lab, laboratório de segurança digital da PSafe, anunciou a descoberta de um site público que permite a consulta de milhões de dados sensíveis de cidadãos e empresas brasileiras. Segundo a empresa, a plataforma permite a consulta de 426 milhões de dados pessoais e 109 milhões de informações de CNPJ, além de placas de carros.

Em janeiro também houve um outro mega vazamento de dados. Pesquisadores descobriram um vazamento que expôs o CPF de praticamente todos os brasileiros. Cerca de 220 milhões de pessoas estavam listadas no banco de dados, que também continha nome completo e data de nascimento.

Alerta vermelho para todos os brasileiros

De acordo com o laboratório dfndr, o principal diferencial do site público é o nível de acesso: qualquer pessoa com acesso à Internet pode encontrar e consultar as informações ali exibidas, bastando acessar o site e buscar os dados desejados.

Contém informações como: nome, CPF, endereço, sexo, data de nascimento, e-mail e ainda renda das pessoas físicas. Também são fornecidas informações sobre contratos com empresas de telefonia e TV paga, como número de telefone fixo e celular, tipo de plano contratado, data do contrato, número do contrato e forma de pagamento.

Os pesquisadores acreditam que o banco de dados desse site público pode ser considerado uma “superbase”, provavelmente enriquecida a partir da compilação de outros possíveis vazamentos. Nas mãos dos cibercriminosos, esses dados são um “prato cheio” para a aplicação de golpes de engenharia social, que é quando os golpistas usam essas informações para induzir as vítimas a agir de modo que se prejudiquem.

Sabendo que esses dados estão disponíveis gratuitamente na Internet aberta, é necessário alertar a população para que desconfie ainda mais de ligações e mensagens que usam esses dados para ganhar a confiança das pessoas.

E as empresas? Como enfrentar esses megavasamentos?

O gerenciamento da segurança de dados em empresas requer a abordagem adequada para segurança de dados e gerenciamento de vulnerabilidade, identificando possíveis vetores, classificando as ameaças existentes aos dados corporativos e limitando o acesso a informações e recursos interna e externamente na organização.

A complexidade crescente desses ataques e o crescimento absoluto no volume de tentativas de hacking que as empresas enfrentam hoje estão atingindo proporções epidêmicas. A defesa das empresas contra ameaças, ataques e erros do usuário que vazam dados corporativos confidenciais exige que analisemos mais amplamente o conceito de vulnerabilidades, para que possamos entender por que os invasores são capazes de comprometer o software e se infiltrar em redes corporativas. Basicamente, as vulnerabilidades que as empresas enfrentam hoje inclui um ou mais dos fatores a seguir:

● senhas fracas
● configuração incorreta de um sistema
● software sem patch
● usuários não qualificados ou não treinados
● medidas de segurança insuficientes
● procedimentos operacionais incorretos
● implementação da política BYOD (traga seu próprio dispositivo) ineficaz ou sem implementação

As vulnerabilidades corporativas, os pontos fracos da rede e a segurança dos dados dependem de um sistema para gerenciar essas ameaças potenciais, incluindo o gerenciamento do acesso adequado aos recursos da rede e a redução da capacidade de erros internos e externos do usuário.

PKI e Certificado Digital são os melhores amigos das organizações

Temos enfrentado um cenário que ninguém poderia imaginar. Desde o início da pandemia, vivemos uma transformação digital e os hábitos das pessoas continuam mudando. Empresas e usuários devem se adaptar a ele para manter seus dados seguros.
A proteção de identidades digitais, segurança e privacidade se tornarão essenciais para que as empresas protejam seus dados pessoais, cumpram o GDPR, os crescentes movimentos regulatórios e ganhem a confiança dos usuários.

Por causa disso, a PKI e os certificados digitais crescerão, assim como as plataformas baseadas em automação para ajudar as organizações a gerenciar sua criptografia. A criptoagilidade será muito importante para as empresas nos próximos anos, ainda mais do que são agora. As empresas precisam ter uma maneira inteligente e automatizada de gerenciar todos os certificados digitais em suas redes para garantir a conformidade, evitar interrupções e gerenciar credenciais em escala.

Cuidado com as redes domésticas

Outro ponto importante a se considerar é a segurança das redes domésticas, que se tornou mais comum com a pandemia. Redes hackeadas podem significar acesso ao sistema por usuários não autorizados. Os funcionários que trabalham em casa terão que minimizar os riscos de hackers controlando quem pode acessar a rede.

A autenticação multifator (MFA) garante que apenas usuários autorizados possam acessar sistemas controlados, como a plataforma corporativa. Afinal, a rede doméstica, quando comparada a uma rede corporativa, é geralmente menos segura porque geralmente há falta de Sistema de Detecção de Intrusão (IDS) e Sistemas de Prevenção de Intrusão (IPS) em um ambiente doméstico.

Mais um conselho

Também há assinatura digital de documentos, que permite que trabalhadores remotos assinem documentos com segurança a qualquer hora, de qualquer lugar do mundo e em qualquer dispositivo. Agora é o momento perfeito para incorporar a assinatura digital porque é legalmente vinculativa, economiza tempo, é segura e nunca expira.

Ela também permite que indivíduos e organizações adicionem uma assinatura digital a um documento para demonstrar a identidade e a autenticidade do remetente de onde estão localizados e geralmente é mais rápido do que se tivessem que assinar documentos pessoalmente ou em um notário.

Também é importante investir em certificados de cliente para assinatura de e-mail, criptografia de e-mail, autenticação de usuário e autenticação de dispositivo. Muitas vezes, as empresas precisam de soluções de certificados digitais especializadas.

Isso pode incluir a autenticação de usuários na rede corporativa e dispositivos na rede, autenticação de acesso a aplicativos, proteção da comunicação em redes abertas com certificados (como VPN) e muitos outros usos. Procure certificados projetados para atender a qualquer necessidade, independentemente do sistema operacional do servidor, do número de servidores ou do número de domínios.