Empreender exige qualificação. Comece uma pós no Mackenzie!
No começo do ano, milhões de brasileiros foram pegos de surpresa ao saber que tiveram dados pessoais vazados na internet. A empresa de segurança cibernética Psafe descobriu dados de mais de 220 milhões de pessoas sendo negociados na deep web. O vazamento continha dados pessoais como números de CPF, informações financeiras, fotos e até dados de veículos.
Esse foi o maior caso do tipo que já ocorreu no Brasil. As investigações apontam para uma série de vazamentos de empresas e uma posterior compilação de dados por um hacker para a tentativa de venda da lista. Vamos entender para que são usados esses dados, como uma empresa pode melhorar sua segurança e como deve agir se tiver os sistemas invadidos e dados de clientes vazados.
Para que são usados dados vazados na internet?
Segundo uma pesquisa da International Business Machines Corporation (IBM), apenas 5% de ataques de hackers correspondem a ações como vemos em filmes de Hollywood, em que um criminoso invade um sistema de um banco, de uma grande empresa ou até de governos.
Na grande maioria dos casos a captura de dados ocorre por armadilhas preparadas e que contam com erros humanos, como usar senhas fracas e repetidas para várias contas, ou clicar em links duvidosos que roubam dados (phishing).
De acordo com a mesma pesquisa, 44% das informações roubadas e divulgadas (ou vendidas) são de dados pessoais como CPF, fotos, e-mails e senhas, informações financeiras e nomes de parentes.
Muitas pessoas podem achar que o problema pode não ser tão sério, e, olhando de fora, pode parecer que o fato de alguém saber o seu CPF pode não ser nada tão grave, mas o problema é como os criminosos podem usar estes dados em conjunto para aplicar golpes.
Os mais comuns são a tentativa de invasão de contas bancárias, o contato com conhecidos para pedir dinheiro e até extorsão.
Pequenas empresas também são alvos
A maioria dos proprietários de pequenas e médias empresas acredita que o seu negócio é pequeno demais para ser alvo de hackers, mas pesquisas demonstram o contrário. Segundo dados da empresa de cibersegurança Symantec, 43% dos ataques miram esses alvos.
Como vimos, o roubo de dados ocorre por uma série de armadilhas automáticas. Então, empresas que não têm porte para investir na cibersegurança acabam ficando mais suscetíveis a ataques. Além do risco de roubo de senhas para invasão de contas bancárias e exigência de resgate, o vazamento de dados de clientes pode levar a sérios problemas legais para as empresas.
Para os pequenos empreendedores o problema aumenta, visto que não ter funcionários dedicados a área de TI ou contratos com empresas de segurança cibernética, faz com que muitas vezes não se note que se está em perigo. Pesquisas sugerem que uma empresa leva em média 287 dias para perceber que sua segurança cibernética foi comprometida.
Consequências legais
No Brasil, a lei que regulamenta a obtenção de dados de clientes e a responsabilidade por sua manutenção é a Lei Geral de Proteção de Dados (LGPD). Apesar de já estar em vigor há mais de um ano, a lei permitiu a adaptação das empresas e a partir de agosto de 2021 sanções podem ser aplicadas a quem não seguir as regras.
Basicamente, a lei limita o número de dados que uma empresa pode obter de seus clientes e proíbe que eles sejam vendidos ou divulgados sem consentimento. A empresa só deve coletar e armazenar os dados cuja segurança possa garantir.
Empresas que processam mais de 5 mil registros de clientes por ano devem ter um Data Protection Officer (DPO), um funcionário que fica encarregado de tratar esses dados de acordo com os protocolos corretos.
Pequenas e médias empresas podem terceirizar essa função para escritórios de advocacia ou empresas de TI. Empresas maiores e que atuam em ramos digitais, muito provavelmente já têm um setor dedicado a isto.
A lei também não faz diferenciação entre as pequenas e grandes empresas. Caso dados sejam comprometidos e fique comprovada a displicência, as empresas podem ser multadas em até 2% do seu faturamento, com o teto em R$ 50 milhões. Quem garante e aplica a LGPD é a Autoridade Nacional de Proteção de Dados (ANDP), órgão federal criado exclusivamente para esta finalidade.
Como se proteger de vazamentos?
Como vimos, a maioria dos ataques acaba ocorrendo por erro humano, então, existe uma série de dicas que podem ajudar a se proteger:
- evite repetir e compartilhar senhas iguais na sua empresa. Caso seja preciso dar acesso a diversos funcionários, existem softwares que criam senhas fortes e vigiam a internet para ataque de hackers;
- evite usar aparelhos pessoais para acessar dados da sua empresa e não clique em links duvidosos. Instrua seus funcionários a fazerem o mesmo;
- aumente o cuidado com os dados de seus clientes. Só permita o acesso para funcionários que realmente precisem deles;
- reavalie os dados que você mantém. Se não precisar de tantos, é mais seguro não pedir essas informações de seus clientes;
- invista em produtos de segurança (como softwares ou na terceirização dos serviços). Prefira produtos originais e bem avaliados no mercado e empresas de reputação na área.
Caso você sofra com ataque e vazamento de seus dados, é importante entrar em contato com um advogado especializado para entender quais serão suas obrigações legais. Também deve-se procurar uma empresa de TI para avaliar quais dados foram roubados e como isso aconteceu. Esta é uma boa hora para corrigir falhas de segurança. Por lei, todas as ocorrências de vazamento de dados devem ser informadas à ANPD e às pessoas afetadas. Investigações e eventuais punições podem ocorrer.
Fonte: Você S/A, O Globo, Olhar Digital, Portal Senado, ANDP, Serasa, Assis e Mendes.