O roubo de dados vem aumentando cada vez mais em todo o planeta, principalmente por estarmos cada vez mais conectados e utilizando recursos tecnológicos diariamente.
Não à toa, esse tipo de crime se tornou o mais comum. Inclusive, o Brasil está no topo de países que estão sofrendo com esse crime.
No entanto, ainda continua sendo uma preocupação latente das empresas, já que invasões e divulgação de dados de forma ilegal podem gerar multas e sanções, de acordo com as previsões da Lei Geral de Proteção de Dados (LGPD).
Contudo, nem todas as pessoas entendem a dimensão desses ataques cibernéticos, e, com isso, deixam de se proteger adequadamente.
Por isso, vale a pena conhecer mais sobre o roubo de dados e quais as principais medidas para evitar passar por essa situação.
O que significa roubo de dados?
O roubo de dados se caracteriza pelo acesso, armazenagem ou transferência de informações que são consideradas sensíveis ou confidenciais, por meio da ilegalidade.
Esse tipo de invasão é considerado uma violação grave à privacidade de uma empresa, onde as consequências para os praticantes do crime podem ser sérias.
No entanto, as empresas que sofreram com o crime também serão responsabilizadas, uma vez que não mantiveram os dados de seus clientes seguros.
O vazamento de informações é feito por hackers, que entraram nos sistemas sem autorização, e normalmente possuem como principal objetivo obter algum tipo de vantagem, mediante à chantagem ou danos irreversíveis.
Em um estudo feito pela Kaspersky, 20% dos brasileiros já estiveram perto ou já caíram em golpes digitais, sendo o mais comum o phishing.
Todo e qualquer dado sensível e confidencial pode ser roubado de uma empresa, incluindo:
- Dados operacionais da companhia;
- Informações financeiras;
- Informações de clientes (dados sensíveis dos mesmos);
- Processos judiciais e contratos;
- Dados bancários de colaboradores, sócios, proprietários, terceiros (cartões de crédito, acesso e senhas bancárias);
- Dados pessoais de pessoas físicas.
Todas essas informações são consideradas confidenciais, e no momento em que elas são expostas, estão automaticamente classificadas como ato criminoso perante a Lei de Crimes Cibernéticos.
O que mudou em relação ao roubo de dados com a LGPD?
A LGPD foi criada e está em vigor para empresas e organizações públicas e privadas para proteger e punir atividades ilícitas em relação à segurança e privacidade de dados.
No entanto, as punições são direcionadas para as empresas que não cumprirem as normas ou não mantiverem os dados seguros, longe da exposição por parte de ação criminosa. O estabelecimento de sanções e o pagamento de multas, com valores significativos, são voltadas para tratamento de dados pessoais, desde que comprovada que houve uma violação no tratamento de dados.
Ainda, tal constatação gera uma responsabilização aos responsáveis, incluindo as empresas.
Dessa forma, o roubo de dados se tornou uma ação criminosa, de acordo com as regras estabelecidas na Lei: “O tratamento de dados pessoais será irregular quando deixar de observar a legislação ou quando não fornecer a segurança que o titular dele pode esperar, consideradas as circunstâncias relevantes”.
Assim, é possível concluir que os dados que não forem tratados de acordo com o que está descrito em Lei, entrarão como descumprimento da Lei, passível de sanções e multas.
Ainda, se for comprovado que a violação de dados ocorreu devido a uma falha no tratamento dessas informações, é possível que multas sejam aplicadas para os responsáveis.
No Art. 43, está descrito quem são os agentes de tratamento que estão elegíveis à responsabilização, em casos de violações motivadas por culpa de terceiros, que seriam os hackers.
Quais as punições aplicadas em casos de descumprimento da Lei LGPD?
Algumas das punições que são aplicadas em casos de vazamentos de dados é a obrigação de reparação dos danos que foram causados, sejam eles patrimoniais ou morais, individuais ou que sejam coletivos, de acordo com o que está descrito no artigo 42.
Já no artigo 52 são estipuladas sanções de cunho administrativo, incluindo:
- Multa de, no máximo 2%, do faturamento jurídico (que seja de direito privado, grupo ou conglomerado empresarial);
- Advertência com prazos para mudar as políticas internas e adequar as normas vigentes;
- Multa por dia, mediante ao estabelecimento do limite total;
- Bloqueio dos dados, até que a infração cometida seja regularizada e a base de dados restaurada/assegurada;
- Suspensão do banco de dados de forma parcial, por até 6 meses, até que o tratamento das informações seja realizado;
- Proibição total ou parcial de atividades que estejam relacionadas ao tratamento de dados.
No entanto, cabe ressaltar que a aplicação de multas não está sob o âmbito jurídico, são realizadas por meio de um processo administrativo com a responsabilidade da Agência Nacional de Proteção de Dados (ANPD).
Como os dados de uma empresa são roubados?
O roubo de dados em uma empresa pode ocorrer de várias formas, desde fragilidades sistêmicas até o uso de engenharia social para obter acesso à base de dados.
Por isso, veja a seguir quais são os principais tipos:
Ransomware
O Ransomware, começou a aumentar em 2019, ficando marcado como um dos principais ciberataques com maior potencial destrutivo de empresas.
Sua atuação começa a partir da instalação de um vírus, que pode estar contido no computador ou no celular, iniciando por exemplo em um acesso a um link suspeito, até a instalação de programas maliciosos.
O ataque não é considerado como direcionado, mas sim por meio da aleatoriedade. Eles são espalhados pela Internet, e a contaminação acaba ocorrendo sem ter um alvo definido.
O principal objetivo do hacker ao lançar esse tipo de ataque é conseguir um pagamento para a recuperação dos dados, já que ao ser infectado, a empresa perde o acesso aos seus sistemas e a sua rede.
E para que seja possível recuperá-los, tem que ser feito um pagamento de “resgaste”, que normalmente tem um valor elevado, e pagos em bitcoins, para evitar que seja rastreado.
Spyware e Keylogger
Nesse caso, a mecânica do roubo de dados funciona de uma forma diferente, após a instalação do vírus, ele começa a “vigiar” todas as atividades do usuário.
Dessa forma, todos os dados de cartão de crédito, acessos à dispositivos móveis, senhas variadas, e qualquer tipo de informação sensível é armazenada.
O spyware não alerta sobre sua presença, e fica oculto só armazenando a maior quantidade de informações possíveis.
A partir disso, o cibercriminoso pode ter acesso a diversas informações sensíveis, como dados de cartões de crédito e senhas, mas também às informações íntimas. Assim, é possível compartilhar os dados sensíveis para fazer compras, transações bancárias ou adquirir novos produtos e serviços. Enquanto isso, as informações íntimas podem ser utilizadas para extorquir as vítimas.
Contudo, o spyware e o keylogger não funcionam da mesma forma, mas partem do mesmo princípio, de ficar na espreita, observando as ações do usuário e roubando os dados.
O keylogger consegue armazenar apenas os dados que são digitados no teclado pelo usuário. Logo, fotos e vídeos não são afetados, mas as informações bancárias, senhas de cartões de crédito, entre outros, estão em risco.
Phishing
Por fim, o phishing utiliza um pouco do conceito de engenharia social para aplicação de fraudes e crimes virtuais. Isso porque ele é feito com informações falsas para obter os dados pessoais dos usuários.
Isso inclui, por exemplo, e-mails falsos do banco, induzindo o usuário a uma ação, como clicar em um link e preencher um formulário. Porém, a interação está sendo controlada pelo criminoso e não pela instituição bancária.
Além disso, estão cada vez mais convincentes, como links mais elaborados, utilizando alguns dados da própria pessoa, para tentar induzir que o e-mail seja verdadeiro, e, assim, consiga as informações que o criminoso está buscando.
Neste caso, é importante que os colaboradores da empresa estejam treinados para desconfiar de situações suspeitas, e saibam como avaliar da melhor forma, antes de abrir um link ou responder um e-mail por exemplo.
Além disso, a empresa precisa contar com ferramentas de suporte para filtrar esse tipo de mensagem antes de chegar ao colaborador, de forma que os riscos sejam minimizados.
Como identificar um roubo de dados?
Quando ocorre o roubo de dados, principalmente com a execução de alguns dos crimes virtuais que citamos acima, existem sinais que não podem ser ignorados.
Por isso, conheça-os a seguir:
- Aviso de segurança violada no sistema: se algum dispositivo de segurança emitir essa mensagem, fique atento e analise toda a situação, além de varrer a rede;
- Atividade incomum/não autorizada nas contas: principalmente em contas empresariais, verifique se existe pequenos débitos que não deveriam existir, ou pequenas movimentações;
- Contas/sistemas/telefones sem funcionamento: se notar que os sistemas estão fora do ar e telefones não estão funcionando, pode ser um sinal de que sua rede foi invadida;
Como se proteger do roubo de dados?
Ainda, existem diversas formas de manter sua empresa protegida do roubo de dados.
O investimento em sistemas de segurança e mecanismos de defesa são essenciais, além de uma educação empresarial em relação aos crimes virtuais.
Invista na contratação de um time de segurança da informação e proteção de dados, para analisar e mapear os pontos de risco dos seus sistemas, para que seja possível resolvê-los.
Além disso, adicionar outras ferramentas de segurança, como novas políticas de autenticação dos usuários, gerenciamento de acesso, entre outros, pode auxiliar na redução dos riscos de um roubo de dados.
Outra solução que a empresa pode investir é na contratação de um seguro que a resguarde em casos de roubo de dados.
- Leia também: PCI DSS: o que é e quais são os requisitos
[mautic type=”form” id=”61″]
Contrate o seguro para o risco de roubo de dados
O seguro contra roubo de dados chegou ao mercado há pouco tempo, mas já está conquistando muitos adeptos, uma vez que é um produto direcionado para quem quer se proteger de roubos, furtos e prejuízos causados por uso indevido de dados pessoais.
A seguradora possui um mecanismo de monitoramento com emissão de alertas, quando existe o vazamento de informações, ou no momento em que houver o uso indevido dos dados pessoais.
O segurado contará com uma equipe de especialistas que estarão à disposição para tirar todas as dúvidas e prestar todo o suporte, em casos de sinistros.
Por isso, vale muito a pena considerar essa opção de seguro para evitar os prejuízos de um roubo de dados.
Ficou com alguma dúvida?