Violações de dados são notícias todos os dias. Reportagens sobre violações de dados afetando governos, hospitais, universidades, instituições financeiras, varejistas e recentemente de um site de casos extra conjugais, dominam as notícias com cada vez mais frequência. Isso é simplesmente a ponta do iceberg das violações de dados, com a grande maioria dos incidentes permanecendo não relatados e não divulgados.
Para entender melhor as violações de dados é importante definir o termo. A Organização Internacional de Padronização (ISO)/Comissão Internacional Eletrotécnica (IEC) 27040 define uma violação de dados [PDF] como: “Comprometimento de segurança que leva à destruição acidental ou ilegal, perda, alteração, divulgação não autorizada de, ou acesso a dados transmitidos, armazenados, ou processados de outro modo.”
Uma ampla gama de dados sensíveis é comprometida em todos os setores, desde grandes e empresas até indivíduos. Incluem PII (Informações de Identificação Pessoal), finanças, saúde, educação e dados de cartão de pagamento, credenciais de login, propriedade intelectual e outros. Nas notícias, as violações de dados são quase sempre atribuídas a hackers ou a ataques de malware. Embora tenham um papel importante nas violações de dados, não são responsáveis por todos os incidentes. Outros métodos de violações frequentemente observados incluem ataques internos, roubo ou perda e divulgações não intencionais.
Os perpetradores que comprometem dados sensíveis são um grupo diverso incluindo pessoas de dentro, criminosos individuais e também grupos bem organizados e patrocinados pelo Estado. Dados roubados são comumente usados para cometer crimes, tais como fraude financeira, roubo de identidade e propriedade intelectual, espionagem, vingança, chantagem e extorsão.
Como as violações de dados se tornaram um caso diário, as pessoas podem ficar insensíveis ao fato de ter seus dados pessoais, financeiros, de saúde, de educação e outros dados comprometidos, terminando em mercados criminosos. Essa insensibilidade pode ser produto de vários fatores, inclusive:
- Excesso de notícias diárias sobre violações de dados
- Dados sensíveis roubados não são bens tangíveis como um celular roubado
- Nenhuma má consequência “imediata” ao ter dados sensíveis roubados
- Falta de compreensão sobre a repercussão do roubo de dados sensíveis
A punição final de ter dados sensíveis roubados é alta e algumas vítimas (vítimas de roubo de identidade e de fraude, por exemplo) ficam sofrendo por anos apesar de não terem culpa. Existem leis para divulgação de violação de dados nos EUA. Mas essas leis fornecem a proteção necessária para proteger de verdade o dia a dia do indivíduo? As empresas as respeitam e divulgam incidentes de violações de dados quando ocorrem?
O risco e o impacto de violações de dados nos levaram a esse trabalho de pesquisa: Siga os Dados: Dissecando as Violações de Dados e Acabando com os Mitos, onde fazemos análises estatísticas de incidentes de violação de dados divulgados. Todos os relatórios de incidentes de violação de dados divulgados publicamente foram coletados na base de dados de Violações de Dados da Comissão da Privacy Rights. Observamos os diferentes tipos de crimes comumente cometidos usando dados sensíveis roubados. Baseado em nossas análises criamos uma Rede Bayesiana para usar como modelo de cenários de violação de dados comumente observados. Pesquisamos mercados criminosos hospedados na Deep Web para fazer o perfil dos diferentes tipos de dados sensíveis disponíveis para compra e seus preços de venda. Finalmente, delineamos métodos defensivos que empresas e indivíduos podem praticar para evitar se tornar vítimas de crimes de violação de dados.
Alguns destaques da pesquisa são:
- A Califórnia lidera os outros estados com a maioria dos números de incidentes de violação de dados relatados.
- Informação de identificação pessoal (PII, sigla em inglês para Personally identifiable information) é o tipo de registro roubado mais popular.
- O setor de assistência médica foi o mais afetado em termos de violações de dados.
- Roubo de identidade foi o crime que mais cresceu, causado pelas violações no setor de assistência médica
- As violações de dados de cartão de pagamento aumentaram começando em 2010.
Descubra o que mais nós descobrimos sobre violações de dados em nossa página Siga os Dados: Dissecando as Violações de Dados e Acabando com os Mitos, onde você pode também baixar o relatório completo e a análise do setor intitulado Siga os Dados: Analisando Violações por Setor.
Diferentes tecnologias e soluções podem ajudar as grandes empresas a evitar esses tipos de ataques. Violações de dados através de hacking e ataques de malware podem ser detectados com soluções como a Defesa Personalizada da Trend Micro enquanto o Deep Security pode proteger os data centers independentemente do ambiente. Tecnologias de criptografia como Prevenção de Perda de Dados Integrada podem identificar, rastrear e proteger todos os dados confidenciais para evitar divulgações não internacionais e o impacto de dispositivos perdidos.