Autor: securitylgpd

Publicado em por

PROTEÇÃO DE DADOS NO BRASIL: COMO AS EMPRESAS DEVEM SE ADAPTAR À LGPD

A Lei Geral de Proteção de Dados (LGPD) entrou em vigor com o objetivo de assegurar privacidade e segurança no tratamento de informações pessoais, tanto no meio físico quanto no ambiente digital. No contexto corporativo, empresas de todos os portes, independentemente do segmento de atuação, estão sujeitas à fiscalização da Autoridade Nacional de Proteção de Dados (ANPD) sempre que realizam operações envolvendo dados pessoais no Brasil ou ofereçam produtos e serviços a indivíduos localizados no país.

A legislação se aplica de forma ampla: não importa se se trata de uma grande corporação, uma microempresa ou até mesmo um profissional autônomo. Sempre que houver coleta, armazenamento, compartilhamento ou qualquer outra forma de utilização de dados pessoais, há a obrigação de cumprir as disposições da LGPD.

Entre as bases legais previstas, destacam-se o consentimento do titular, o cumprimento de obrigações legais ou regulatórias, a execução de políticas públicas, a realização de estudos por órgãos de pesquisa, a formalização ou execução de contratos, o exercício regular de direitos, a proteção da vida e da saúde, o legítimo interesse e a proteção do crédito.

A adequação à lei deve ser conduzida de maneira personalizada, considerando o porte, o ramo de atividade e a complexidade do tratamento de dados realizado pela organização. O processo geralmente envolve etapas como mapeamento e classificação dos dados tratados, revisão e elaboração de contratos e termos específicos, atualização de políticas de privacidade, treinamentos voltados a colaboradores e gestores, nomeação de encarregado pelo tratamento de dados (DPO), implementação de medidas técnicas de segurança da informação, criptografia, controles de acesso e definição de protocolos para resposta a incidentes. Trata-se de uma prática contínua, que exige monitoramento e revisões periódicas.

O descumprimento da LGPD pode gerar consequências administrativas e judiciais. Entre as sanções aplicáveis pela ANPD estão advertências, multas que podem alcançar até 2% do faturamento da empresa, e até a suspensão das atividades de tratamento de dados. Além disso, a não conformidade pode motivar ações judiciais individuais ou coletivas, movidas por titulares de dados, órgãos de defesa do consumidor e Ministério Público.

As principais demandas de adequação identificadas nas empresas incluem a atualização de contratos com cláusulas específicas de proteção de dados, a criação ou revisão de políticas de privacidade para websites e aplicativos, a definição de procedimentos internos para gestão de incidentes e a capacitação de equipes. Em especial, micro e pequenas empresas têm buscado soluções adaptadas à sua realidade financeira e operacional, de forma a cumprir a lei sem comprometer a continuidade de suas atividades.

Publicado em por

COMO IDENTIFICAR E EVITAR GOLPES DE MEDICAMENTOS VENDIDOS PELA INTERNET

A alta nos preços e a dificuldade de acesso a medicamentos com prescrição têm levado muitos consumidores a recorrer à internet em busca de alternativas rápidas, discretas e financeiramente atrativas. Essa busca, porém, tem se tornado um terreno fértil para grupos criminosos altamente organizados, que exploram a vulnerabilidade de quem precisa de tratamentos urgentes.

Investigações recentes revelaram uma operação internacional que envolve mais de cinco mil páginas falsas, todas projetadas para se passar por farmácias legítimas. O golpe, apelidado de PharmaFraud, combina engenharia social, falsificação de identidade corporativa e o uso intensivo de inteligência artificial para convencer usuários a fornecer dados pessoais, efetuar pagamentos e, em alguns casos, receber produtos falsificados ou sem qualquer registro sanitário.

Esses criminosos exploram especialmente medicamentos de alta procura, oferecendo-os com preços reduzidos, sem exigir receita e prometendo entrega sigilosa. Entre os produtos anunciados estão tratamentos para disfunção erétil, medicamentos para perda de peso e diabetes, antibióticos, hormônios e até substâncias ligadas a falsas promessas de cura para a COVID-19. Muitos deles são versões genéricas não regulamentadas, produzidas sem controle de qualidade e potencialmente perigosas.

Para conquistar a confiança da vítima, esses sites utilizam recursos visuais profissionais, sistemas de atendimento virtual e avaliações fictícias cuidadosamente elaboradas. O objetivo é criar uma falsa sensação de credibilidade, levando o consumidor a acreditar que está comprando de uma fonte segura.

As estratégias de ataque incluem:

  • Inserção de códigos maliciosos em sites médicos legítimos para redirecionar o usuário.
  • Manipulação de resultados de busca para colocar páginas falsas nas primeiras posições.
  • Publicação de artigos e blogs sobre saúde, produzidos com auxílio de IA, que direcionam para as falsas farmácias.
  • Criação de portais de “avaliações” repletos de depoimentos falsos.

Além do risco de receber medicamentos falsificados ou inadequados, o consumidor pode sofrer prejuízos financeiros e ter sua identidade roubada, já que muitos desses sites solicitam dados médicos, pessoais e bancários por meio de formulários inseguros. Há também solicitações de pagamento em criptomoedas ou outros meios que dificultam qualquer tentativa de estorno.

Estudos apontam que a imensa maioria das farmácias virtuais atua fora das normas legais. Somente nos primeiros seis meses de 2025, ferramentas de proteção digital impediram que quase um milhão de usuários caíssem nesses golpes.

Como se proteger

  • Sempre buscar orientação médica antes de adquirir medicamentos.
  • Comprar apenas de farmácias licenciadas e registradas nos órgãos competentes.
  • Desconfiar de preços muito abaixo do mercado ou da dispensa de receita médica.
  • Evitar fornecer dados pessoais ou financeiros a sites que não apresentem informações claras de contato e registro.
  • Utilizar soluções de segurança digital capazes de identificar páginas falsas e bloquear transações suspeitas.

O comércio ilegal de medicamentos na internet representa uma ameaça real, tanto à saúde quanto à segurança patrimonial dos consumidores. A prevenção começa pela informação e pela adoção de práticas seguras ao buscar qualquer tratamento online.

Publicado em por

PROTEÇÃO DIGITAL NA SAÚDE: COMO GARANTIR A SEGURANÇA DOS DADOS DE PACIENTES

O setor de saúde vive um momento de transformação sem precedentes. Recursos como prontuários eletrônicos, inteligência artificial, interoperabilidade, dispositivos conectados e soluções em nuvem deixaram de ser tendência para se tornarem parte do dia a dia de hospitais e clínicas. Essa modernização, no entanto, trouxe consigo um desafio igualmente robusto: a proteção contra riscos cibernéticos.

Nos últimos anos, instituições de saúde têm sido alvo de ataques digitais com frequência superior à média global. No Brasil, a quantidade de investidas contra organizações do setor aumentou de forma expressiva, acompanhada por um salto nas tentativas de ransomware. Em pouco tempo, a área saiu de uma posição intermediária para figurar entre as mais visadas.

Não se trata de acaso. A saúde lida com dados extremamente sensíveis, opera com sistemas muitas vezes desatualizados e ainda carece de uma maturidade sólida em cibersegurança. Modernizar processos sem estruturar medidas de proteção adequadas é como construir um edifício de ponta sobre alicerces frágeis.

O paradoxo entre inovação e vulnerabilidade

A adoção de novas tecnologias trouxe avanços significativos para a experiência do paciente e para a eficiência administrativa. No entanto, a pressa em implementar soluções sem avaliar o impacto na segurança abriu brechas importantes. Entre os fatores que ampliam a vulnerabilidade, destacam-se a coexistência de sistemas legados, fornecedores não integrados, uso de inteligência artificial sem revisão de conformidade e ausência de uma política de segurança abrangente.

Outro equívoco recorrente é tratar a segurança como responsabilidade exclusiva do setor de TI. O cuidado com as informações dos pacientes deve ser visto como parte da própria assistência em saúde. Profissionais clínicos, administrativos, fornecedores e desenvolvedores precisam assumir corresponsabilidade nessa proteção.

Consequências do despreparo

Quando a segurança da informação é tratada de forma secundária, os impactos podem ser severos: interrupção de serviços, perda de dados, danos à reputação institucional e prejuízos financeiros. Muitos ataques ocorrem sem que a organização perceba que já estava vulnerável, resultado de falhas como ausência de um plano de resposta a incidentes testado, backups inseguros, concessão excessiva de permissões de acesso, monitoramento insuficiente e treinamentos esporádicos para prevenção de ataques de engenharia social.

Na área da saúde, proteger dados é preservar a continuidade do cuidado. Sistemas de prontuário eletrônico, por exemplo, precisam ir além da funcionalidade clínica, incorporando criptografia, autenticação multifator, controle de acesso baseado em perfil e registros de auditoria confiáveis.

Da norma à prática diária

As diretrizes para proteger informações já estão estabelecidas em legislações como a Lei Geral de Proteção de Dados. O desafio é transformar essas exigências em hábitos institucionais. Isso inclui:

  • Atualização periódica de sistemas e dispositivos médicos conectados
  • Implantação de autenticação multifator em sistemas administrativos e clínicos
  • Revisão regular das permissões de acesso, utilizando modelos baseados em função (RBAC)
  • Treinamentos frequentes e contextualizados sobre segurança da informação
  • Criptografia de dados tanto em trânsito quanto em repouso
  • Auditoria contínua dos acessos e testes de intrusão
  • Contratos claros com fornecedores, definindo responsabilidades sobre privacidade e segurança
  • Planos de resposta a incidentes com papéis e procedimentos bem definidos

Tais medidas, embora demandem planejamento e investimento, representam o patamar mínimo para operar de forma segura no setor. Negligenciá-las não significa apenas assumir riscos técnicos, mas também comprometer a confiança e a segurança do paciente.

Um pacto entre tecnologia e proteção

A transformação digital e a segurança da informação precisam evoluir lado a lado. A saúde não se resume a consultas, exames e tratamentos — ela também envolve a preservação dos dados que sustentam cada etapa do cuidado. Proteger essas informações é, na prática, proteger vidas.

Publicado em por

APLICAÇÕES ESTRATÉGICAS DA INTELIGÊNCIA ARTIFICIAL EM EMPRESAS E SERVIÇOS PÚBLICOS

Inteligência artificial amplia aplicações no setor privado e avança para serviços públicos
A inteligência artificial (IA) vem sendo incorporada de forma estruturada por empresas de tecnologia, com objetivos que vão desde a automação de processos internos até a otimização da experiência do cliente. No mercado brasileiro, diferentes segmentos — como telecomunicações, soluções ópticas, infraestrutura de redes e consultoria tecnológica — já aplicam a tecnologia para antecipar problemas, reduzir custos operacionais e aumentar a produtividade.

Uso estratégico em telecomunicações
No setor de telecomunicações, a IA tem sido utilizada para agilizar fluxos internos e melhorar a gestão do atendimento ao cliente. Entre as aplicações destacam-se a detecção precoce de falhas, permitindo a solução antes mesmo de o usuário perceber, e o apoio a equipes técnicas em campo, com orientações automatizadas para manutenção de serviços de banda larga e infraestrutura. A antecipação de problemas técnicos evita múltiplos contatos com o SAC, reduz o tempo de resposta e melhora a satisfação dos usuários.

Manutenção preditiva em redes ópticas
Empresas fornecedoras de soluções ópticas investem em sistemas baseados em IA para monitorar redes de comunicação e atuar preventivamente na manutenção. Ferramentas como modelos de linguagem de grande porte (LLMs) agilizam consultas técnicas, enquanto modelos de ação (LAMs) possibilitam que o sistema sugira ou execute intervenções para evitar interrupções. A aplicação de agentes autônomos, capazes de tomar decisões com mínima interferência humana, aumenta a eficiência operacional e preserva a qualidade dos serviços prestados.

Automação avançada em infraestrutura de redes
No campo das telecomunicações corporativas, a IA está integrada a plataformas de suporte operacional e de negócios, otimizando processos, ampliando a automação de redes e oferecendo análises preditivas e prescritivas. As soluções já apontam para a preparação de redes para a transição do 5G para o 6G, mantendo a escalabilidade e a adaptação contínua dos sistemas.

Inteligência artificial aplicada a políticas públicas
Modelos de linguagem desenvolvidos no Brasil, com dados técnicos e culturais nacionais, têm potencial para apoiar a gestão pública. Entre as possíveis aplicações estão a análise de processos administrativos de órgãos previdenciários, o gerenciamento de programas sociais e a automação de cálculos complexos, como os necessários para pagamento de precatórios. Com capacidade de processar grandes volumes de dados em períodos muito inferiores aos necessários para análise humana, essa abordagem pode contribuir para a eficiência e a transparência na administração de recursos públicos.

Modernização tecnológica com IA
No campo da consultoria tecnológica, surgem plataformas multipropósito capazes de acelerar a modernização de sistemas legados. Essas ferramentas realizam análises semânticas, extraem regras de negócio, reorganizam códigos e preservam a lógica operacional original. Em casos práticos, processos que antes demandavam meses para serem executados foram reduzidos para poucas semanas, com ganhos significativos de produtividade e manutenção da integridade funcional das aplicações.

A expansão da inteligência artificial para diferentes áreas demonstra seu papel cada vez mais integrado às operações empresariais e seu potencial de uso em iniciativas de interesse público. O alinhamento entre inovação tecnológica e aplicação prática será determinante para que essas soluções contribuam de forma efetiva para a eficiência operacional e para a melhoria de serviços à população.

Publicado em por

BIOMETRIA FACIAL PERDE ESPAÇO PARA VERIFICAÇÃO CADASTRAL NA PREVENÇÃO DE FRAUDES DIGITAIS

A biometria facial, frequentemente apontada como uma das formas mais avançadas de autenticação digital, tem demonstrado limitações diante da sofisticação dos golpes virtuais no Brasil. Levantamentos recentes indicam que, no primeiro semestre de 2025, esse método conseguiu bloquear apenas 41,9% das tentativas de fraude. O índice é inferior ao da verificação de inconsistências cadastrais, que apresentou 50,6% de eficácia e atualmente se destaca como o recurso mais efetivo na prevenção desses delitos.

Casos recentes mostram que, uma vez que dados biométricos e fotográficos são inseridos de forma fraudulenta em sistemas oficiais e aplicativos bancários, criminosos conseguem abrir contas e contratar empréstimos em nome de terceiros, explorando brechas nos processos de autenticação.

A fragilidade do sistema é potencializada pelo uso de técnicas como deepfakes, spoofing, engenharia social e manipulação em videoconferências. A ausência de padrões claros na coleta de biometria e a utilização isolada desse recurso contribuem para o risco. A autenticação multimodal — que combina reconhecimento facial, voz, impressão digital e tokens de segurança — surge como alternativa mais robusta.

Outro ponto relevante é que mecanismos de análise de inconsistências cadastrais permitem detectar irregularidades antes da etapa de autenticação biométrica, interrompendo tentativas de fraude de forma preventiva.

O fortalecimento da segurança digital exige uma combinação de medidas: capacitação dos usuários, integração de diferentes tecnologias de autenticação e sistemas capazes de cruzar informações de forma inteligente. Instituições que adotam recursos adicionais, como bloqueios automáticos diante de atividades suspeitas, validação por voz em contatos telefônicos e alertas imediatos ao usuário, tendem a reduzir significativamente o risco de ataques bem-sucedidos.

Publicado em por

COMO SE PROTEGER DE ATAQUES QUE EXPLORAM NAVEGADORES DE CELULAR

Pesquisas recentes indicam um aumento na utilização de técnicas de ataque voltadas ao lado do cliente, explorando vulnerabilidades em navegadores de dispositivos móveis. O foco está especialmente em sites construídos em plataformas populares que tenham sido comprometidos, servindo como porta de entrada para a instalação de códigos maliciosos capazes de capturar senhas, dados sigilosos e informações de autenticação.

Diferente das ameaças direcionadas a servidores, essa abordagem busca explorar falhas no ambiente do próprio usuário. Ao operar dessa forma, criminosos digitais conseguem contornar defesas tradicionais com maior facilidade, explorando brechas presentes no software do navegador e em recursos integrados.

Um dos vetores identificados é o uso de Progressive Web Apps (PWAs) falsificados, incorporados a temas e plugins comprometidos. Esses aplicativos, que combinam características de sites e apps nativos, oferecem funções legítimas como notificações, acesso offline e carregamento rápido. Contudo, versões adulteradas têm sido utilizadas para induzir o usuário a instalar pacotes maliciosos, muitas vezes disfarçados como aplicativos de entretenimento adulto ou ferramentas de criptografia.

Após instalados, esses PWAs fraudulentos permanecem ativos mesmo fora da sessão de navegação, simulando telas de login para capturar credenciais, interceptando transações de carteiras digitais e sequestrando tokens de sessão. Em alguns casos, ainda realizam a injeção de scripts nocivos diretamente no navegador.

Para evitar detecção, são aplicadas técnicas de camuflagem que impedem a execução do código malicioso em ambientes de teste com maior nível de proteção, aproveitando-se de limitações presentes em muitos navegadores de dispositivos móveis. Soma-se a isso o comportamento do usuário, que frequentemente aceita instalar aplicativos sugeridos sem verificar a procedência.

Boas práticas de proteção
Do ponto de vista do usuário, a principal medida é adotar um comportamento mais criterioso ao receber sugestões para instalação de aplicativos durante a navegação. É recomendável recusar qualquer instalação oferecida por sites de procedência duvidosa e desconfiar de solicitações inesperadas de login, sobretudo quando apresentam formulários que prometem facilitar o acesso por meio de credenciais já utilizadas em outros serviços.

Para administradores de sites e desenvolvedores, é fundamental realizar auditorias frequentes nos scripts de terceiros incorporados às páginas e implementar mecanismos que permitam identificar, em tempo real, quais códigos estão sendo executados no navegador dos visitantes. Essa visibilidade pode reduzir significativamente as oportunidades para a implantação de malwares.

A prevenção, nesse contexto, passa tanto pela postura vigilante do usuário quanto pela responsabilidade técnica de quem desenvolve e mantém páginas e aplicações.

Publicado em por

COMO TREINAR COLABORADORES PARA IDENTIFICAR E BLOQUEAR MALWARE

Há quem defenda que o ponto mais vulnerável na segurança cibernética de uma organização é o usuário. No entanto, pesquisas recentes demonstram que, quando bem orientadas, as pessoas podem atuar como barreira eficaz contra ameaças digitais.

Um estudo experimental analisou, em ambiente corporativo simulado, como usuários de diferentes níveis de conhecimento reagiam a solicitações para baixar softwares — alguns legítimos, outros maliciosos. No primeiro teste, sem qualquer auxílio adicional, a taxa média de identificação de arquivos maliciosos foi de 75%. Entre os menos experientes, o índice ficou em 68%, enquanto os mais habituados ao tema atingiram 81%.

Observou-se, contudo, que iniciantes, por vezes, classificavam programas legítimos como perigosos devido a erros de digitação ou falhas visuais na interface, ao mesmo tempo em que ignoravam ameaças reais quando o sistema apresentava comportamentos anômalos, como uso elevado do processador.

Na segunda fase, foi disponibilizada uma ferramenta de monitoramento aprimorada, acompanhada de orientações sobre sinais que poderiam indicar a presença de malware. O resultado foi expressivo: usuários iniciantes passaram a identificar corretamente 80% das ameaças, aproximando-se do desempenho dos mais experientes. A lição é clara — informação direcionada e estímulo ao pensamento crítico elevam significativamente a capacidade de detecção.

Para empresas, essa constatação reforça a necessidade de programas estruturados de conscientização. Um treinamento eficaz deve:

  • Explicar os tipos mais comuns de malware, como vírus, worms, trojans, ransomware e adware.
  • Ensinar a reconhecer ataques de phishing e engenharia social, com exemplos práticos de mensagens fraudulentas.
  • Apresentar sinais de alerta, como anexos e links suspeitos.
  • Reforçar boas práticas: atualização regular de softwares, uso de conexões seguras, hábitos de navegação responsáveis, senhas robustas e autenticação multifator.
  • Capacitar para identificar e-mails e sites potencialmente perigosos.
  • Orientar sobre os procedimentos a serem adotados diante da suspeita de infecção ou ataque.

Quanto mais conhecimento os colaboradores adquirirem sobre os métodos utilizados por cibercriminosos, menor será a probabilidade de que se tornem vítimas. Investir na formação contínua não apenas reduz riscos como também transforma o elo mais vulnerável em uma linha de defesa ativa.

Publicado em por

DIRETRIZES ESSENCIAIS PARA REGULAR A INTELIGÊNCIA ARTIFICIAL NO BRASIL

O ano de 2024 marcou um ponto de virada: a regulação da Inteligência Artificial deixou de ser um debate distante e passou a integrar a agenda concreta de diversos países. A União Europeia aprovou o AI Act, estabelecendo um marco jurídico abrangente; os Estados Unidos editaram diretrizes rigorosas voltadas à segurança, transparência e uso responsável; a China intensificou normas de controle sobre algoritmos considerados sensíveis. Outros países, como Canadá, Reino Unido, Japão e Coreia do Sul, avançam com propostas próprias.

Diante desse movimento, o Brasil tem a possibilidade — e o dever — de formular uma lei que una soberania, inovação e proteção de direitos. Isso exige ir além da discussão política e adotar parâmetros técnicos sólidos, alinhados ao que já se pratica nas jurisdições mais avançadas. A regulação não deve apenas antecipar problemas, mas enfrentar impactos que já se manifestam, muitas vezes sem a percepção do usuário e sem um respaldo jurídico definido.

Uma lei eficaz sobre IA parte do reconhecimento de que a tecnologia reflete decisões humanas, dados de origem e contextos de aplicação. Por isso, alguns elementos merecem atenção especial.

1. Proporcionalidade na regulação
As exigências devem ser proporcionais ao risco da aplicação. Algoritmos para entretenimento não demandam o mesmo nível de controle que sistemas capazes de decidir sobre crédito, atendimento médico ou processos judiciais. A classificação por níveis de risco, já utilizada em legislações internacionais, evita tanto o excesso de burocracia quanto a ausência de regulamentação.

2. Transparência e explicabilidade
Usuários e empresas devem ser informados quando interagem com uma IA e compreender, em termos claros, os critérios que levaram a uma decisão automatizada. Não é necessário expor código-fonte, mas assegurar a chamada “explicabilidade algorítmica”, permitindo entender o raciocínio ou a lógica probabilística aplicada.

3. Qualidade e integridade dos dados
O desempenho de sistemas de IA depende da qualidade dos dados utilizados. Bases que contêm distorções raciais, socioeconômicas ou regionais tendem a reproduzir e ampliar essas desigualdades. Para mitigar esse risco, é essencial prever auditorias, mecanismos de validação e correção, além de políticas robustas de consentimento e privacidade, compatíveis com a LGPD e acordos internacionais.

4. Supervisão humana e responsabilização
Em aplicações que afetam diretamente a vida das pessoas, deve existir possibilidade de revisão ou intervenção humana. Essa prática, conhecida como human-in-the-loop, precisa ser garantida por lei, assim como a definição de responsabilidades em caso de falhas ou danos. A delimitação clara de deveres para desenvolvedores, fornecedores e operadores evita disputas judiciais prolongadas e a diluição da responsabilidade.

5. Integração internacional sem perder autonomia
A IA opera em escala global, o que exige compatibilidade mínima entre regras de diferentes países. É importante que a legislação brasileira permita diálogo técnico com padrões internacionais, preservando a autonomia regulatória, mas facilitando a atuação de empresas em múltiplas jurisdições.

O desafio está em encontrar um equilíbrio que permita inovação e, ao mesmo tempo, proteja direitos fundamentais. Mais do que limitar, a lei deve oferecer uma base segura para o desenvolvimento responsável.

Paralelamente, organizações públicas e privadas precisarão implementar estruturas internas de governança de IA, incluindo comitês de ética, processos de auditoria contínua e monitoramento de riscos. A convergência entre regras externas e práticas internas será determinante para consolidar a confiança no uso dessa tecnologia.

O avanço da Inteligência Artificial é inevitável. O que está em jogo é a forma como o país irá moldar essa transformação: de modo estruturado, seguro e transparente, ou deixando que decisões técnicas e jurídicas fiquem sempre um passo atrás do próprio desenvolvimento tecnológico.

Publicado em por

UNIÃO EUROPEIA INICIA NOVA FASE DE REGRAS PARA INTELIGÊNCIA ARTIFICIAL

A partir do último sábado (2), entraram em vigor na União Europeia novas regras voltadas à transparência e à proteção de direitos autorais para sistemas de Inteligência Artificial de propósito geral, como assistentes virtuais e modelos de linguagem. As medidas preveem a obrigação de esclarecer o funcionamento dos modelos e informar quais dados foram utilizados em seu treinamento.

Outra exigência é a adoção de políticas específicas relacionadas a direitos autorais, atendendo a demandas de setores como o artístico e o jornalístico. Para sistemas classificados como de risco sistêmico, será necessária a realização de avaliações de risco e a elaboração de relatórios sobre incidentes.

Essas determinações fazem parte da implementação gradual da Lei de Inteligência Artificial da União Europeia, aprovada no ano passado. Na etapa inicial, já havia sido proibido o desenvolvimento e uso de tecnologias consideradas de risco inaceitável, como sistemas de crédito social e reconhecimento emocional.

O início deste mês também marca a aplicação das penalidades previstas no texto legal. Multas para sistemas classificados como inaceitáveis podem chegar a 35 milhões de euros (cerca de 223 milhões de reais) ou 7% do faturamento global da empresa. Para os demais casos, o valor pode atingir 15 milhões de euros (aproximadamente 95 milhões de reais) ou 3% do faturamento mundial.

A norma europeia tem servido de referência para a elaboração do marco legal brasileiro sobre IA, atualmente em análise na Câmara dos Deputados.

No mês passado, foi publicado um código de práticas para orientar o setor no cumprimento das exigências legais. Dividido em três capítulos, o documento estabelece compromissos em áreas como transparência, direitos autorais e segurança. Embora de adesão voluntária, já conta com a participação de 26 empresas do setor, incluindo alguns dos principais desenvolvedores globais de tecnologia.

Publicado em por

TRANSPARÊNCIA E CAPACITAÇÃO: PILARES PARA REDUZIR RISCOS CIBERNÉTICOS NO SETOR DE SAÚDE

No setor de saúde, a segurança da informação enfrenta um desafio singular: proteger dados extremamente sensíveis em um ambiente que exige agilidade operacional e, muitas vezes, convive com sistemas legados. Essa combinação cria condições favoráveis para que criminosos digitais direcionem ataques a hospitais, laboratórios, farmácias e demais organizações da área.

Ainda que a Lei Geral de Proteção de Dados (LGPD) tenha impulsionado investimentos relevantes em tecnologia, é evidente que apenas recursos tecnológicos não bastam. Grande parte dos incidentes de segurança decorre de falhas humanas ou comportamentos inseguros. A engenharia social e o phishing seguem como vetores predominantes, explorando a falta de atenção ou de preparo dos usuários.

Uma estratégia eficaz de proteção exige integração de dados e processos. Centralizar informações provenientes de canais distintos — como plataformas digitais, sistemas de atendimento e pontos físicos — reduz a superfície de ataque e facilita a gestão de riscos. Quanto mais fragmentada for a base de dados, maior a probabilidade de falhas e brechas de segurança.

Entre as medidas que demonstram bons resultados, destacam-se:

  • Aplicação consistente de criptografia em dados sensíveis e realização periódica de testes de intrusão para identificar vulnerabilidades.
  • Disponibilização de portais de transparência, permitindo que titulares consultem, atualizem ou solicitem a exclusão de seus dados pessoais.
  • Atuação preventiva de comitês especializados em segurança para avaliar riscos antes da implementação de novos projetos ou campanhas.
  • Simulações práticas de incidentes para treinar equipes, aperfeiçoando tanto a resposta técnica quanto a comunicação com usuários e clientes.

A forma como a organização reage a um incidente influencia diretamente a preservação da confiança. Posturas transparentes, com comunicação objetiva e tempestiva, transmitem comprometimento e fortalecem a credibilidade institucional.

No contexto da saúde, a segurança da informação deixou de ser tratada como formalidade e passou a integrar a estratégia central das empresas. A questão não é mais se um ataque ocorrerá, mas quando. Estar preparado para esse momento é o que definirá a capacidade de continuidade das operações sem comprometer a integridade de pacientes e dados.

Publicado em por

CIBERCRIMINOSOS USAM APPS AUTORIZADORES DA MICROSOFT PARA INVADIR AMBIENTES EMPRESARIAIS

Uma nova técnica de ataque digital tem chamado a atenção de especialistas em segurança da informação por sua capacidade de contornar camadas tradicionais de proteção em ambientes corporativos. O método envolve a exploração do protocolo OAuth 2.0, amplamente utilizado em sistemas Microsoft, para obtenção não autorizada de acesso a contas empresariais, inclusive aquelas protegidas por autenticação multifator.

A estratégia utiliza aplicativos aparentemente legítimos que operam com o protocolo OAuth, recurso amplamente empregado para permitir o acesso seguro a APIs e dados sem a necessidade de compartilhamento direto de senhas. Essa tecnologia, embora promova praticidade e segurança em seu uso regular, vem sendo instrumentalizada por cibercriminosos para induzir vítimas a autorizar permissões maliciosas.

O fluxo do ataque é engenhoso: usuários recebem e-mails com aparência profissional, que simulam interações comerciais corriqueiras, como propostas de orçamento ou envio de documentos. Ao clicar no link contido na mensagem, a vítima é redirecionada para uma página controlada pelos invasores, que solicita permissões para um aplicativo OAuth fraudulento. Mesmo que o usuário negue o acesso, o ataque continua por meio da exibição de um CAPTCHA e de uma página de verificação em duas etapas semelhante à da Microsoft, desenhada para capturar dados de autenticação.

O objetivo final é coletar tokens de acesso e cookies de sessão, permitindo aos criminosos invadir contas corporativas com alto grau de sucesso. Uma ferramenta amplamente utilizada nesses ataques é um serviço de phishing estruturado (Phishing-as-a-Service), que automatiza o roubo de informações com técnicas de interceptação sofisticadas.

Dados recentes revelam que milhares de contas distribuídas em centenas de ambientes Microsoft 365 foram alvo dessa técnica, com uma taxa preocupante de efetividade. A principal motivação dos invasores é o controle de identidades digitais, fator que tende a ganhar ainda mais relevância como vetor primário de comprometimento de sistemas empresariais.

Como medida preventiva, especialistas recomendam revisar com frequência os aplicativos autorizados em contas corporativas, implementar sistemas de monitoramento que identifiquem acessos anômalos, reforçar filtros de e-mail para bloquear campanhas maliciosas e investir em programas de capacitação contínua para usuários. Adicionalmente, a utilização de chaves de autenticação baseadas no padrão FIDO é apontada como alternativa mais robusta ao uso exclusivo do MFA tradicional.

A sofisticação das ameaças demanda uma resposta igualmente estratégica. A proteção das identidades digitais, o controle dos aplicativos conectados aos ambientes corporativos e a atenção aos sinais de engenharia social continuam sendo elementos fundamentais na gestão de riscos cibernéticos.

Publicado em por

EMPRESAS BRASILEIRAS FORTALECEM ESTRATÉGIAS DE CIBERSEGURANÇA COM FOCO EM IA, ZERO TRUST E CONFORMIDADE COM A LGPD

As organizações brasileiras estão redesenhando suas estruturas de cibersegurança diante da sofisticação dos ataques e da evolução constante das tecnologias de proteção. Um novo relatório técnico publicado por uma consultoria internacional especializada em tecnologia com foco em inteligência artificial revela que o investimento em segurança da informação no Brasil tem se intensificado, especialmente diante do impacto financeiro e reputacional causado por incidentes cibernéticos.

Entre os principais fatores que motivam esse movimento estão o tempo de inatividade gerado por violações, o abalo à imagem corporativa, os riscos de responsabilização judicial e o cumprimento das exigências legais impostas pela Lei Geral de Proteção de Dados (LGPD). A resposta a incidentes tem se tornado cada vez mais complexa, exigindo habilidades específicas que, muitas vezes, não estão disponíveis internamente nas empresas – o que leva à terceirização de serviços especializados.

O uso da inteligência artificial e do aprendizado de máquina tem ganhado destaque como elemento estratégico na análise de grandes volumes de dados de segurança, como logs, alertas e fontes de inteligência sobre ameaças. Essas tecnologias vêm permitindo a detecção mais rápida de malwares, a automação de respostas e a integração entre diferentes ferramentas de defesa, além de reduzirem a quantidade de falsos positivos – o que otimiza o trabalho das equipes técnicas.

Outro ponto relevante abordado no estudo é a adoção progressiva da arquitetura Zero Trust, baseada na ideia de que nenhuma identidade deve ser presumida como confiável. Mesmo os usuários internos passam por verificações constantes de autenticação e autorização. Para implementar esse modelo, é necessário modernizar a infraestrutura, sobretudo no que se refere ao gerenciamento de identidade e acesso (IAM), o que tem levado diversas companhias a buscar fornecedores especializados para viabilizar essa transição.

A atuação conjunta entre setor privado, academia e governo tem sido estimulada por meio de estratégias nacionais, como a E-Ciber, instituída para fomentar o compartilhamento de informações e a cooperação na resposta a ameaças. Essa mobilização institucional visa fortalecer a resiliência digital em setores estratégicos e na infraestrutura crítica do país.

Apesar dos avanços tecnológicos, o déficit de profissionais qualificados representa um obstáculo significativo. Estima-se que o Brasil careça de aproximadamente 750 mil especialistas em segurança da informação. Para contornar esse desafio, as organizações têm optado por parcerias com empresas fornecedoras de serviços gerenciados, sobretudo nas áreas de segurança em nuvem e resposta a incidentes.

O relatório também destaca a adoção de soluções de segurança de borda (SSE) e o desenvolvimento do mercado de detecção e resposta estendidas (XDR), indicando que a maturidade da segurança cibernética no Brasil passa por um processo de transformação estrutural. Nesse contexto, a modernização das políticas de proteção de dados e a integração entre novas tecnologias e práticas de governança digital serão decisivas para sustentar o crescimento empresarial em ambiente digital seguro.