Dia: 6 de agosto de 2025

Publicado em por

UNIÃO EUROPEIA INICIA NOVA FASE DE REGRAS PARA INTELIGÊNCIA ARTIFICIAL

A partir do último sábado (2), entraram em vigor na União Europeia novas regras voltadas à transparência e à proteção de direitos autorais para sistemas de Inteligência Artificial de propósito geral, como assistentes virtuais e modelos de linguagem. As medidas preveem a obrigação de esclarecer o funcionamento dos modelos e informar quais dados foram utilizados em seu treinamento.

Outra exigência é a adoção de políticas específicas relacionadas a direitos autorais, atendendo a demandas de setores como o artístico e o jornalístico. Para sistemas classificados como de risco sistêmico, será necessária a realização de avaliações de risco e a elaboração de relatórios sobre incidentes.

Essas determinações fazem parte da implementação gradual da Lei de Inteligência Artificial da União Europeia, aprovada no ano passado. Na etapa inicial, já havia sido proibido o desenvolvimento e uso de tecnologias consideradas de risco inaceitável, como sistemas de crédito social e reconhecimento emocional.

O início deste mês também marca a aplicação das penalidades previstas no texto legal. Multas para sistemas classificados como inaceitáveis podem chegar a 35 milhões de euros (cerca de 223 milhões de reais) ou 7% do faturamento global da empresa. Para os demais casos, o valor pode atingir 15 milhões de euros (aproximadamente 95 milhões de reais) ou 3% do faturamento mundial.

A norma europeia tem servido de referência para a elaboração do marco legal brasileiro sobre IA, atualmente em análise na Câmara dos Deputados.

No mês passado, foi publicado um código de práticas para orientar o setor no cumprimento das exigências legais. Dividido em três capítulos, o documento estabelece compromissos em áreas como transparência, direitos autorais e segurança. Embora de adesão voluntária, já conta com a participação de 26 empresas do setor, incluindo alguns dos principais desenvolvedores globais de tecnologia.

Publicado em por

TRANSPARÊNCIA E CAPACITAÇÃO: PILARES PARA REDUZIR RISCOS CIBERNÉTICOS NO SETOR DE SAÚDE

No setor de saúde, a segurança da informação enfrenta um desafio singular: proteger dados extremamente sensíveis em um ambiente que exige agilidade operacional e, muitas vezes, convive com sistemas legados. Essa combinação cria condições favoráveis para que criminosos digitais direcionem ataques a hospitais, laboratórios, farmácias e demais organizações da área.

Ainda que a Lei Geral de Proteção de Dados (LGPD) tenha impulsionado investimentos relevantes em tecnologia, é evidente que apenas recursos tecnológicos não bastam. Grande parte dos incidentes de segurança decorre de falhas humanas ou comportamentos inseguros. A engenharia social e o phishing seguem como vetores predominantes, explorando a falta de atenção ou de preparo dos usuários.

Uma estratégia eficaz de proteção exige integração de dados e processos. Centralizar informações provenientes de canais distintos — como plataformas digitais, sistemas de atendimento e pontos físicos — reduz a superfície de ataque e facilita a gestão de riscos. Quanto mais fragmentada for a base de dados, maior a probabilidade de falhas e brechas de segurança.

Entre as medidas que demonstram bons resultados, destacam-se:

  • Aplicação consistente de criptografia em dados sensíveis e realização periódica de testes de intrusão para identificar vulnerabilidades.
  • Disponibilização de portais de transparência, permitindo que titulares consultem, atualizem ou solicitem a exclusão de seus dados pessoais.
  • Atuação preventiva de comitês especializados em segurança para avaliar riscos antes da implementação de novos projetos ou campanhas.
  • Simulações práticas de incidentes para treinar equipes, aperfeiçoando tanto a resposta técnica quanto a comunicação com usuários e clientes.

A forma como a organização reage a um incidente influencia diretamente a preservação da confiança. Posturas transparentes, com comunicação objetiva e tempestiva, transmitem comprometimento e fortalecem a credibilidade institucional.

No contexto da saúde, a segurança da informação deixou de ser tratada como formalidade e passou a integrar a estratégia central das empresas. A questão não é mais se um ataque ocorrerá, mas quando. Estar preparado para esse momento é o que definirá a capacidade de continuidade das operações sem comprometer a integridade de pacientes e dados.

Publicado em por

CIBERCRIMINOSOS USAM APPS AUTORIZADORES DA MICROSOFT PARA INVADIR AMBIENTES EMPRESARIAIS

Uma nova técnica de ataque digital tem chamado a atenção de especialistas em segurança da informação por sua capacidade de contornar camadas tradicionais de proteção em ambientes corporativos. O método envolve a exploração do protocolo OAuth 2.0, amplamente utilizado em sistemas Microsoft, para obtenção não autorizada de acesso a contas empresariais, inclusive aquelas protegidas por autenticação multifator.

A estratégia utiliza aplicativos aparentemente legítimos que operam com o protocolo OAuth, recurso amplamente empregado para permitir o acesso seguro a APIs e dados sem a necessidade de compartilhamento direto de senhas. Essa tecnologia, embora promova praticidade e segurança em seu uso regular, vem sendo instrumentalizada por cibercriminosos para induzir vítimas a autorizar permissões maliciosas.

O fluxo do ataque é engenhoso: usuários recebem e-mails com aparência profissional, que simulam interações comerciais corriqueiras, como propostas de orçamento ou envio de documentos. Ao clicar no link contido na mensagem, a vítima é redirecionada para uma página controlada pelos invasores, que solicita permissões para um aplicativo OAuth fraudulento. Mesmo que o usuário negue o acesso, o ataque continua por meio da exibição de um CAPTCHA e de uma página de verificação em duas etapas semelhante à da Microsoft, desenhada para capturar dados de autenticação.

O objetivo final é coletar tokens de acesso e cookies de sessão, permitindo aos criminosos invadir contas corporativas com alto grau de sucesso. Uma ferramenta amplamente utilizada nesses ataques é um serviço de phishing estruturado (Phishing-as-a-Service), que automatiza o roubo de informações com técnicas de interceptação sofisticadas.

Dados recentes revelam que milhares de contas distribuídas em centenas de ambientes Microsoft 365 foram alvo dessa técnica, com uma taxa preocupante de efetividade. A principal motivação dos invasores é o controle de identidades digitais, fator que tende a ganhar ainda mais relevância como vetor primário de comprometimento de sistemas empresariais.

Como medida preventiva, especialistas recomendam revisar com frequência os aplicativos autorizados em contas corporativas, implementar sistemas de monitoramento que identifiquem acessos anômalos, reforçar filtros de e-mail para bloquear campanhas maliciosas e investir em programas de capacitação contínua para usuários. Adicionalmente, a utilização de chaves de autenticação baseadas no padrão FIDO é apontada como alternativa mais robusta ao uso exclusivo do MFA tradicional.

A sofisticação das ameaças demanda uma resposta igualmente estratégica. A proteção das identidades digitais, o controle dos aplicativos conectados aos ambientes corporativos e a atenção aos sinais de engenharia social continuam sendo elementos fundamentais na gestão de riscos cibernéticos.