“O maior risco cibernético é a complacência, não hackers.” É com esta frase que o Information Commissioner’s Office (“ICO”), Autoridade de Proteção de Dados do Reino Unido, divulgou uma multa aplicada à empresa Interserve Limited no valor de 4,4 milhões de libras (ou 26,8 milhões de reais, pela cotação de hoje).
John Edwards, Comissário de Informação do Reino Unido, alertou que as empresas estão se deixando abertas a ataques cibernéticos, ignorando medidas cruciais como atualização de software e treinamento de pessoal. O Comissário acrescentou que
“O maior risco cibernético que as empresas enfrentam não é dos hackers fora de sua empresa, mas da complacência dentro de sua empresa. Se sua empresa não monitora regularmente por atividades suspeitas em seus sistemas e não age com base em avisos, ou não atualiza software e não fornece treinamento ao pessoal, você pode esperar uma multa semelhante do meu escritório.
“Deixar a porta aberta a atacantes cibernéticos nunca é aceitável, especialmente quando se lida com os dados mais sensíveis das pessoas. Esta violação de dados tinha o potencial de causar danos reais ao pessoal da Interserve, pois os deixava vulneráveis à possibilidade de roubo de identidade e fraude financeira.
“Os ataques cibernéticos são uma preocupação global, e as empresas em todo o mundo precisam tomar medidas para se protegerem contra a complacência”. A ICO e a NCSC já trabalham juntas para oferecer aconselhamento e apoio às empresas, e esta semana me encontrarei com reguladores de todo o mundo, para trabalhar em direção a uma orientação cibernética internacional consistente para que os dados das pessoas sejam protegidos onde quer que uma empresa esteja sediada”.
A ICO descobriu que a empresa falhou na implementação de medidas de segurança apropriadas para evitar um ataque cibernético, o que permitiu aos hackers acessar os dados pessoais de até 113.000 funcionários por meio de um e-mail de phishing.
Os dados comprometidos incluíam dados pessoais tais como detalhes de contato, números de seguro nacional e detalhes de conta bancária, bem como dados de categoria especial, incluindo origem étnica, religião, detalhes de qualquer incapacidade, orientação sexual, e informações sobre saúde.
Detalhes da violação de dados Interserve
Um funcionário da Interserve encaminhou um e-mail de phishing, que não foi colocado em quarentena ou bloqueado pelo sistema da Interserve, para outro funcionário que o abriu e baixou seu conteúdo. Isto resultou na instalação de malware na estação de trabalho do funcionário.
O anti-vírus da empresa colocou o malware em quarentena e enviou um alerta, mas a Interserve não investigou a fundo a atividade suspeita. Se o tivessem feito, a Interserve teria descoberto que o atacante ainda tinha acesso aos sistemas da empresa.
O atacante posteriormente comprometeu 283 sistemas e 16 contas, bem como desinstalou a solução anti-vírus da empresa. Dados pessoais de até 113.000 funcionários atuais e antigos foram criptografados e tornados indisponíveis.
A investigação da ICO descobriu que a Interserve falhou no acompanhamento do alerta original de uma atividade suspeita, usou sistemas e protocolos de software ultrapassados, e teve uma falta de treinamento adequado do pessoal e avaliações de risco insuficientes, o que acabou por deixá-los vulneráveis a um ataque cibernético.
A Interserve quebrou a lei de proteção de dados ao não colocar em prática medidas técnicas e organizacionais adequadas para impedir o acesso não autorizado às informações das pessoas.
A ICO emitiu a Interserve com um “aviso de intenção” – um documento legal que precede uma possível multa. O valor da multa provisória foi fixado em 4,4 milhões de libras. Tendo considerado cuidadosamente as representações da Interserve, nenhuma redução foi feita no valor final da multa.
Orientação de segurança cibernética para organizações
Proteger uma empresa de um ataque cibernético pode parecer técnico ou intimidante. Mas a maioria das organizações que vemos errar cometem erros evitáveis.
Para melhor proteger os dados das pessoas, as organizações devem monitorar regularmente para detectar atividades suspeitas e investigar qualquer alerta inicial; atualizar o software e remover plataformas desatualizadas ou não utilizadas; atualizar políticas e sistemas de gerenciamento de dados seguros; fornecer treinamento regular de pessoal; e, encorajar senhas seguras e autenticação multi-fator.
No caso de um ataque cibernético, há uma exigência regulamentar para relatar isto à ICO como o regulador de dados. Já o Centro Nacional de Segurança Cibernética (NCSC) – como autoridade técnica em segurança cibernética – fornece apoio e resposta a incidentes para mitigar danos e aprender lições mais amplas sobre segurança cibernética.
No início do ano, a ICO trabalhou com o NCSC para lembrar as organizações de não pagar resgate em caso de ataque cibernético, pois não reduz o risco para os indivíduos e não é considerado como um passo razoável para salvaguardar os dados. Para maiores informações, dê uma olhada na orientação sobre ransomware da ICO ou visite o site da NCSC para saber como mitigar uma ameaça de resgate através de seu kit de ferramentas comerciais.
E você, concorda que o maior risco cibernético é a complacência, não os hackers? Deixe abaixo nos comentários a sua opinião!
Vamos que vamos e #colanopapai!
dponapratica #gestordeprivacidade
