Autor: securitylgpd

Publicado em por

DESAFIOS E CAMINHOS DA SEGURANÇA CIBERNÉTICA: CISOS E O COMBATE ÀS VIOLACÕES DE DADOS E AMEAÇAS INTERNAS

No Universo da Segurança Cibernética: Desafios e Soluções para CISOs” À medida que a cibersegurança se torna uma batalha cada vez mais complexa, os Chief Information Security Officers (CISOs) enfrentam um cenário repleto de riscos iminentes, desde ameaças internas até temíveis ataques de ransomware. Paralelamente, eles lideram iniciativas em prol da segurança da infraestrutura, adotam estratégias de prevenção de ataques e aplicam práticas avançadas, como a arquitetura de rede de zero trust.

A pressão sobre os CISOs é evidente, pois 88% deles relatam altos níveis de estresse, com metade enfrentando problemas de saúde mental e um terço lidando com questões físicas relacionadas ao trabalho. A batalha contra ciberataques e violações de dados é incessante, e os impactos podem ser devastadores.

Violações de dados podem adquirir diferentes formas, seja em termos do número de usuários afetados, das consequências financeiras ou da natureza delicada das informações expostas. Não surpreende, portanto, que a liderança de segurança da informação esteja sob pressão. A lista das 10 maiores violações de dados reflete a diversidade e gravidade das ameaças, reforçando a necessidade de vigilância constante.

Um exemplo marcante é a violação de dados do Yahoo em 2013, afetando três bilhões de contas de usuários. O incidente prejudicou a aquisição iminente da Verizon e ilustrou o desafio de manter a confiança dos clientes após violações de dados. Também merece destaque a violação de dados da Aadhaar em 2018, que abalou a confiança na maior base de identificação do mundo, expondo a fragilidade de sistemas aparentemente robustos.

A complexidade do cenário é visível na sequência de violações, incluindo marcas como LinkedIn, Facebook e Equifax. A violação da Capital One em 2019, causada por acesso privilegiado inadequado, evidenciou a importância da implementação correta da abordagem Zero Trust.

As melhores práticas para CISOs abrangem uma série de frentes. A prevenção de ataques cibernéticos deve ser central em todas as estratégias, com a rede Zero Trust atuando como aliada na limitação de ameaças internas e externas. A proteção contra malware empresarial é essencial, e a seleção criteriosa de fornecedores é fundamental.

Os desafios podem ser superados. A eliminação de pontos cegos do Zero Trust, causados pela criptografia SSL/TLS, é uma necessidade. A inspeção de tráfego criptografado e o investimento em soluções de segurança cibernética avançada são passos vitais para manter os dados protegidos.

Embora a jornada de um CISO seja árdua, com a adoção de estratégias adequadas e o uso das ferramentas certas, eles podem fortalecer a resistência de suas organizações contra ameaças cibernéticas. O caminho para proteger dados sensíveis e evitar violações é repleto de desafios, mas a expertise e o compromisso dos CISOs têm o potencial de transformar esse cenário.

Publicado em por

PRIVACIDADE DIGITAL: ESTRATÉGIAS EMPRESARIAIS PARA ENFRENTAR DESAFIOS DE SEGURANÇA CIBERNÉTICA

O crescente aumento global de vazamentos e violações de dados tem acendido um alerta em relação à proteção e privacidade dos usuários nas redes. Esse cenário é agravado por vazamentos expressivos que envolvem grandes corporações globais, levando governos a tomar medidas para fortalecer a proteção de dados pessoais. A União Europeia estabeleceu um marco pioneiro com a Lei Geral de Proteção de Dados (GDPR) em maio de 2018, influenciando a adoção global de legislações similares.

No ambiente corporativo, a segurança cibernética se tornou vital, visto que a perda da confiança dos usuários pode causar danos financeiros e de reputação, impactando os negócios. Assim, a conscientização sobre a importância da privacidade dos dados e a implantação de medidas de segurança se tornaram prioridades para estabelecer relações de confiança.

No contexto brasileiro, a entrada em vigor da Lei Geral de Proteção de Dados (LGPD) em 2020 marcou um avanço significativo. Ela estabeleceu princípios como o consentimento explícito para a coleta de dados e a responsabilidade das empresas em proteger informações sensíveis.

Particularmente no Brasil, houve um aumento expressivo nos vazamentos de dados, conforme estudo do Massachusetts Institute of Technology (MIT) indicou um aumento de 493% entre 2018 e 2019. Isso ressalta a relevância da LGPD e a urgência das empresas em se adaptarem às normas. Grandes varejistas brasileiros enfrentaram penalidades por não cumprir a LGPD, destacando a importância da conformidade.

Empresas estão impelidas a fazer mais do que a legislação exige para garantir a confiança dos clientes e parceiros. A revisão minuciosa de políticas de privacidade, adoção de medidas técnicas e organizacionais, nomeação de um encarregado de proteção de dados (DPO) e treinamentos para funcionários são passos fundamentais. Manter registros precisos das atividades de tratamento de dados e consentimentos demonstra conformidade e facilita respostas a demandas legais.

Tais ações não só atendem obrigações legais, mas também reforçam a proteção da privacidade dos usuários e reduzem riscos financeiros, preservando a reputação e a competitividade das empresas. Isso mostra que o comprometimento com a segurança de dados é uma estratégia inteligente em um mundo cada vez mais conectado e preocupado com a privacidade.

Publicado em por

COLETA DE DADOS EM SITES EDUCACIONAIS: INVESTIGAÇÃO REVELA PRÁTICAS DE VIGILÂNCIA

Recentemente, a Human Rights Watch (HRW) divulgou um relatório detalhando a coleta de dados pessoais de crianças e adolescentes em sites educacionais mantidos pelas Secretarias de Educação de Minas Gerais e São Paulo. A investigação, que teve início em novembro de 2022, revelou que esses sites estavam não apenas monitorando os alunos durante as aulas virtuais, mas também rastreando suas atividades de navegação na internet fora do horário escolar.

Os sites em questão incluem o Estude em Casa, pertencente ao governo de Minas Gerais, e o Centro de Mídias da Educação de São Paulo. Além disso, o site Escola Mais, que ofereceu conteúdo recomendado pela Secretaria de Educação de São Paulo durante a pandemia da Covid-19, também foi identificado como realizando práticas de rastreamento de dados. O relatório da HRW apontou que esses sites, com exceção do Revisa Enem, enviavam dados pessoais dos estudantes para empresas de tecnologia de publicidade entre os anos de 2021 e 2023.

A técnica de rastreamento usada pelo site Escola Mais permitia registrar o comportamento dos usuários, incluindo os cliques feitos pelos estudantes. O relatório também destacou que o Centro de Mídias da Educação de São Paulo compartilhava dados de usuários com duas empresas terceirizadas, usando quatro rastreadores de anúncios. No entanto, a Secretaria de Educação de São Paulo afirmou que o tratamento de dados era reduzido ao necessário para fins educacionais e que mecanismos de segurança, em conformidade com a Lei Geral de Proteção de Dados (LGPD), eram empregados para garantir a privacidade das informações pessoais.

Tanto o Estude em Casa quanto o Centro de Mídias da Educação de São Paulo foram criticados por não informar adequadamente os estudantes e suas famílias sobre a coleta de dados e a vigilância online. A HRW ressaltou que essas práticas vão contra o princípio de proteger crianças e adolescentes, permitindo que terceiros vigiem e coletem suas informações pessoais.

As empresas Explicaê e Descomplica responderam às alegações da HRW, negando qualquer compartilhamento de dados pessoais com terceiros. Elas afirmaram que os dados coletados eram usados exclusivamente para melhorar a experiência de aprendizagem dos alunos e que a privacidade dos usuários era inegociável.

No entanto, a Stoodi, empresa também mencionada no relatório, reconheceu anteriormente as conclusões da HRW, afirmando que o tratamento dos dados visava aprimorar a experiência do usuário e permitir ações comerciais. A empresa não respondeu após o envio das evidências pela HRW.

O relatório da HRW destaca a importância de garantir a privacidade e a segurança dos dados pessoais dos alunos em ambientes educacionais online. O episódio levanta questões sobre a transparência das práticas de coleta de dados, a proteção da privacidade dos estudantes e o cumprimento das leis de proteção de dados. Em resposta à investigação, as Secretarias de Educação de Minas Gerais e São Paulo prometeram medidas para proteger a privacidade dos alunos e revisar seus sistemas para evitar violações futuras.

Publicado em por

RANSOMWARE E INOVAÇÃO: COMO O CLOP REDEFINIU ATAQUES RANSOMWARE

Em um ambiente digital em constante mudança, a inovação das táticas de cibercrime é um lembrete da necessidade de evolução constante na segurança cibernética. Recentemente, uma notável gangue de ransomware demonstrou exatamente isso ao explorar uma falha em uma famosa plataforma de transferência de arquivos, afetando centenas de organizações ao redor do globo.

Enquanto a prática comum é usar a rede Tor – conhecida por seu anonimato, mas limitada por sua baixa velocidade de download – esta gangue buscou um caminho mais eficiente. A tentativa inicial foi lançar sites na internet convencional, uma tática rapidamente frustrada pela atuação das autoridades.

Ao distribuir informações roubadas através de múltiplos pontos de distribuição, esta abordagem descentralizada torna quase impossível parar a propagação dos dados. Esta é uma evolução que eleva a ameaça para um novo patamar.

Se essa tática for amplamente adotada, pode representar uma virada de jogo para o mundo do cibercrime. Ransomwares e outras ameaças podem se tornar ainda mais perigosas, tornando o combate ao cibercrime mais complexo.

Enquanto especialistas e profissionais da área, devemos estar sempre alertas, compreendendo as tendências emergentes e nos adaptando rapidamente. E, para as instituições e empresas, é importante reforçar: no mundo da cibersegurança, antecipar-se aos problemas é a chave para a proteção.

Publicado em por

HIBP: GARANTINDO A SEGURANÇA DE SUAS INFORMAÇÕES ONLINE

Em um mundo cada vez mais conectado, a proteção de nossos dados pessoais é de extrema importância. O Have I Been Pwned (HIBP) emerge como uma ferramenta essencial, oferecendo a capacidade de verificar se suas informações foram expostas na internet.

Ao acessar o site “haveibeenpwned.com,” você tem à disposição uma maneira simples e eficaz de verificar a exposição de seu e-mail ou número de telefone. A plataforma compila dados de vazamentos de diversas fontes, incluindo sites frequentados por hackers, como o Pastebin. Com uma busca no banco de dados do HIBP, você será informado sobre possíveis violações de segurança associadas às suas informações.

Caso seja identificada uma exposição, o HIBP fornece um relatório detalhado, incluindo o número de vazamentos e suas datas. Essas informações permitem que você compreenda melhor o alcance do incidente. Detalhes sobre os dados comprometidos, o número de contas afetadas e a origem da violação são fornecidos, possibilitando uma visão completa da situação.

Uma característica essencial do HIBP é o serviço de notificação por e-mail. Ao optar por esse serviço, você será alertado imediatamente sobre qualquer exposição futura de suas informações. Isso elimina a necessidade de verificar o site regularmente. A opção “Opt-out” é disponibilizada para aqueles que desejam ocultar seus e-mails da consulta de terceiros, garantindo maior controle sobre sua privacidade.

O HIBP também oferece uma opção de pesquisa de domínio, permitindo aos proprietários de domínios verificar se houve vazamentos de informações associadas a seus sites. Essa ferramenta é uma adição valiosa para empresas e organizações que buscam garantir a segurança de seus usuários.

Após confirmar uma exposição, é crucial tomar medidas imediatas para proteger suas informações. Primeiramente, redefina suas senhas, optando por combinações robustas e evitando repetições entre diferentes contas. O uso de gerenciadores de senhas é altamente recomendado, já que essas ferramentas criptografam suas senhas em um ambiente protegido por uma senha mestra única.

Além disso, verifique suas contas pessoais em busca de atividades suspeitas. Seja em aplicativos bancários ou redes sociais, esteja atento a transações não autorizadas e acessos desconhecidos. Caso detecte algo suspeito, entre em contato com as instituições relevantes e tome as medidas necessárias para recuperar o controle de suas contas.

Para elevar ainda mais sua segurança, ative a autenticação em duas etapas em suas contas. Esse método adiciona uma camada extra de proteção ao exigir um segundo fator de autenticação além da senha. Isso torna a invasão de sua conta consideravelmente mais difícil.

O HIBP é um instrumento fundamental na batalha constante pela proteção de nossas informações. Ao utilizá-lo com sabedoria e seguir as práticas recomendadas de segurança, você estará melhor preparado para enfrentar os desafios do mundo digital. Mantenha-se informado, proteja-se e navegue com confiança na era da conectividade.

Publicado em por

PROTEGENDO SEUS DADOS: EVITANDO GOLPES COM A VERIFICAÇÃO DE CPF EM LINHAS DE CELULAR

A crescente incidência de golpes relacionados a linhas de celular tem gerado preocupações entre os cidadãos do Brasil. Uma artimanha utilizada por golpistas, especialmente em linhas pré-pagas, é vincular números de telefone a CPFs de terceiros sem o conhecimento destes, obtendo acesso a informações sensíveis e realizando atividades fraudulentas. Essa questão tem chamado a atenção da Agência Nacional de Telecomunicações (Anatel) e das principais operadoras do país, levando à criação de medidas preventivas.

Uma medida notável nesse contexto é o Projeto Cadastro Pré-Pago, iniciado em 2020, que fornece uma ferramenta online para que os cidadãos possam averiguar se seus CPFs estão vinculados a linhas ativas em alguma operadora, sem sua autorização. As operadoras engajadas nesse esforço colaborativo incluem Algar, Claro, Oi, Sercomtel, TIM e Vivo, com o apoio da Anatel.

A plataforma oferece aos clientes a capacidade de verificar se há uma linha ativa associada ao seu CPF nas operadoras participantes. Ao identificar um vínculo não autorizado, é possível tomar medidas imediatas para resolver o problema. Caso seja confirmado o uso indevido do CPF, o cliente pode solicitar o cancelamento da linha diretamente com a operadora.

A agilidade é um aspecto vital nesse processo de proteção ao consumidor. A Anatel estabeleceu que o pedido de cancelamento deve ser atendido em até 24 horas, ou em até 48 horas se o procedimento for realizado através de um portal automático ou sem intervenção humana.

Golpistas, ao terem acesso a um CPF vinculado a uma linha de celular, podem utilizar essa informação para obter senhas, abrir contas bancárias fraudulentas e acessar dados sigilosos por meio de confirmações SMS. Além disso, o uso não autorizado de linhas “laranja”, vinculadas a CPFs de terceiros, é uma prática problemática que precisa ser contida.

O setor de telecomunicações está empenhado em manter as bases cadastrais atualizadas e prevenir situações adversas para os consumidores. O Projeto Cadastro Pré-Pago, que surgiu como uma solução para esse problema, foi desenvolvido em colaboração entre as operadoras e a Anatel como parte do Plano de Ação Setorial. Essa iniciativa, concebida em 2019, é uma demonstração clara do compromisso em garantir a segurança e a privacidade dos cidadãos em um ambiente cada vez mais digital.

Publicado em por

AVANÇOS DA IA NA ENERGIA RENOVÁVEL: POTENCIALIZANDO A SUSTENTABILIDADE NA AMÉRICA LATINA

Em julho de 2023, uma notável tendência tem se espalhado por diversos países da América Latina: a aplicação de inteligência artificial (IA) tem desempenhado um papel importante em várias esferas, incluindo o setor de energia renovável. Os efeitos positivos resultantes dessa integração tecnológica se traduzem em vantagens notáveis, como a redução de custos, a mitigação do desperdício energético e a atenuação do impacto ambiental.

Essa abordagem tem sido colocada em prática de maneira tangível. Um exemplo notável é a Casa dos Ventos, fundada em 2005, que se destaca como uma das principais impulsionadoras da transição energética no Brasil, concentrando-se na geração de energia eólica. Uma indicação clara da relevância desse movimento é a aquisição de 35% da empresa pela Total, empresa francesa de energia, por mais de R$ 3 bilhões em 2022. Desde 2019, a Casa dos Ventos tem adotado a computação em nuvem e empregado modelos e algoritmos de IA.

Dentre as aplicações-chave da IA, destaca-se a metodologia de previsão de geração de energia. Por meio da análise de dados históricos de previsões meteorológicas e registros de geração passada, a Casa dos Ventos desenvolveu um modelo de IA capaz de proporcionar estimativas altamente precisas da geração de energia eólica em seus parques. Essa abordagem inovadora utiliza padrões e correlações entre variáveis para aprimorar a previsão da produção energética.

A aplicação da IA nas fontes de energia renovável transcende o mero monitoramento, permitindo o controle e a identificação de áreas com alto consumo. A efetiva otimização do uso de energias renováveis se traduz em uma considerável redução nas emissões de gases de efeito estufa, reforçando a sustentabilidade ambiental.

O emprego de técnicas avançadas de IA, como machine learning, métodos de otimização e lógica Fuzzy, tem revelado resultados extremamente promissores em estudos voltados para as energias eólica e solar. Na esfera da energia eólica, a IA é empregada para prever padrões de vento e otimizar o funcionamento das turbinas. Já no contexto da energia solar, o foco está na previsão da radiação solar.

A implementação exitosa da IA nessas fontes de energia renovável apresenta um potencial significativo para aprimorar a eficiência energética, reduzir custos operacionais e incrementar a produção de energia limpa. A previsão da demanda de energia e a otimização de sua distribuição têm o poder de reduzir o desperdício energético e minimizar o impacto no meio ambiente.

Diversos exemplos concretos ilustram a aplicação bem sucedida da IA na promoção da sustentabilidade. Através de métodos de otimização, é possível encontrar soluções mais inteligentes para problemas complexos, como sistemas híbridos de energia solar e eólica. O emprego da lógica Fuzzy permite lidar com incertezas e ambiguidades, melhorando a eficiência do processo de geração de energia solar.

O uso de machine learning também tem se destacado na previsão de ventos e na incidência de radiação solar. Redes neurais e lógica Fuzzy são empregadas em conjunto para prever padrões mensais de vento e a exposição diária à radiação solar.

Em síntese, a aplicação da inteligência artificial nas energias renováveis é uma abordagem transformadora com potencial para moldar o futuro energético da América Latina. À medida que avançamos, podemos esperar uma otimização cada vez maior da eficiência, custos reduzidos e um impacto ambiental mais positivo. A sinergia entre tecnologia e sustentabilidade é um caminho promissor rumo a um futuro mais limpo e próspero.

Publicado em por

FRAUDES COM VOZES CLONADAS: CRIMINOSOS UTILIZAM INTELIGÊNCIA ARTIFICIAL PARA ENGANAR VÍTIMAS NA AMÉRICA LATINA

A partir de julho de 2023, uma tendência tem se espalhado por diversos países da América Latina. Criminosos têm adotado o uso de sistemas de Inteligência Artificial para clonar vozes de familiares, a fim de executar extorsões, fraudes e golpes cada vez mais sofisticados.

De acordo com informações do Publimetro México, esse novo método de abordagem representa uma evolução das artimanhas utilizadas em golpes anteriores, nos quais os criminosos se passavam por familiares ou conhecidos. Contudo, esse novo cenário é marcado por uma abordagem ainda mais engenhosa.

Nos casos mais extremos, os criminosos fazem referência a laços familiares próximos e até mesmo incorporam terceiros que fingem ser filhos, filhas, mães ou outros entes queridos, a fim de convencer as vítimas de que estão lidando com uma situação real, como um sequestro.

No passado, era relativamente simples evitar essas armadilhas. A presença física da pessoa ou até mesmo a discrepância na voz eram indicadores claros de fraude. No entanto, com a emergência dos sistemas de Inteligência Artificial Gerativa, a complexidade desse cenário aumentou consideravelmente, uma vez que essas plataformas são capazes de imitar vozes de maneira praticamente perfeita.

É importante notar que a tecnologia atual ainda não permite uma replicação precisa da voz em tempo real absoluto. Isso resulta em atrasos ou pausas entre diálogos, a menos que as respostas sejam predefinidas e gravadas, o que limita a flexibilidade do diálogo durante a chamada de extorsão.

Diante disso, a melhor abordagem é estar atento a possíveis atrasos ou interrupções no fluxo da conversa. Recomenda-se também alterar a sequência natural do diálogo, visando interromper o fluxo premeditado pela chamada. Outras dicas incluem observar se a voz soa mecânica e se há presença de eco na chamada, o que pode indicar manipulação por Inteligência Artificial.

Quando o tom e o ritmo da chamada parecerem estranhos, é fundamental atentar-se à possível falta de naturalidade nas respostas ou ausência de variações típicas na articulação das palavras para o contexto apresentado. Em todas as situações, é essencial manter a cautela ao receber ligações de números desconhecidos ou identificados como “Desconhecido”.

Jamais se deve fornecer informações financeiras durante essas chamadas, e a atitude mais segura é encerrar a ligação e entrar em contato com o suposto familiar sem ceder ao desespero. Em alguns casos, pode levar algum tempo para confirmar a veracidade da situação, e é preferível aguardar algumas horas para garantir que tudo esteja realmente bem e que se tratou de um mal-entendido.

Publicado em por

IA TRANSFORMANDO O DIREITO DO CONSUMIDOR: COLABORAÇÃO DE ESCRITÓRIOS DE ADVOCACIA E EMPRESAS

É indiscutível que a Inteligência Artificial (IA) está redefinindo setores inteiros, e o mundo jurídico não é exceção. A capacidade de processar vastas quantidades de informações e oferecer soluções baseadas em dados torna-se fundamental para a eficiência e eficácia do direito do consumidor. A integração da IA nesse campo está estreitamente ligada à maneira como departamentos jurídicos e escritórios de advocacia lidam com reclamações e demandas judiciais envolvendo consumidores.

Com um cenário em constante evolução tecnológica, é importante entender como os departamentos jurídicos podem se adaptar à era da IA e quais ferramentas podem ser aplicadas para reduzir as demandas do consumidor.

Em essência, a IA emula a inteligência humana através de algoritmos e sistemas computacionais. Quando aplicada ao direito do consumidor, a IA abre portas para uma gama de possibilidades, incluindo análise de dados, previsão de resultados legais, automação de tarefas e muito mais. Empresas e seus departamentos jurídicos podem agora analisar rapidamente padrões e tendências nas reclamações de consumidores, facilitando a abordagem proativa de problemas e até automatizando o atendimento ao cliente para reduzir dúvidas, insatisfações e reclamações.

No entanto, apesar das inúmeras ferramentas disponíveis e seus benefícios, desafios também surgem. A implementação de IA requer infraestrutura tecnológica adequada. Escritórios de advocacia e empresas podem enfrentar desafios de investimento, integração e manutenção dessas ferramentas, bem como resistência por parte dos profissionais e falta de compreensão das possibilidades da IA.

É nesse ponto que a colaboração entre empresas e escritórios de advocacia se destaca. Os escritórios de advocacia podem atuar como parceiros externos dos departamentos jurídicos, através de suas áreas de “Legal Ops”, fornecendo conhecimento especializado na implementação de soluções de IA. Eles se tornam protagonistas ao integrar a IA às operações jurídicas das empresas. Vejamos exemplos concretos:

Consultoria e Implementação: Auxiliam as empresas na escolha e implementação das ferramentas de IA mais adequadas, mantendo a conformidade regulatória.

Treinamento e Suporte: Oferecem treinamento e suporte aos departamentos jurídicos para o uso eficaz das ferramentas de IA.

Soluções Personalizadas: Em parceria com empresas de tecnologia, desenvolvem soluções de IA sob medida para atender necessidades específicas.

Dentre as várias ferramentas de IA disponíveis, algumas se destacam:

Chatbots Jurídicos: Programas que usam IA para responder questões legais em tempo real, reduzindo intervenção humana e reclamações. Análise Preditiva: Utilizando dados históricos e algoritmos, prevê possíveis resultados em processos judiciais, auxiliando em tomadas de decisão estratégicas. Análise e Gestão de Contratos: Facilitam a análise e gestão de contratos, identificando cláusulas de risco e garantindo conformidade.

A IA está remodelando o direito do consumidor, e empresas em colaboração com escritórios de advocacia estão na vanguarda dessa transformação. A incorporação da IA não é apenas uma tendência, mas uma realidade moldando a maneira como reclamações de consumo são tratadas. A colaboração entre tecnologia e expertise jurídica promete uma resolução de conflitos ágil, adaptada às necessidades dos consumidores. O futuro do direito é brilhante, e a IA é sua bússola rumo a uma era mais eficiente e inovadora.

Publicado em por

CIBERCRIMINOSOS INOVAM: UTILIZAÇÃO DE TORRENTS PARA AMPLIAR O IMPACTO DOS ATAQUES DE RANSOMWARE

A partir do final de maio, um grupo de cibercriminosos adotou uma estratégia preocupante, explorando uma vulnerabilidade de “dia zero” em uma plataforma segura de transferência de arquivos. Eles realizaram uma série de ataques com o objetivo de roubar dados sensíveis. Surpreendentemente, essa exploração permitiu que os invasores tivessem acesso a informações confidenciais de várias organizações, localizadas globalmente, sem serem detectados inicialmente.

Com o tempo, o método empregado pelo grupo evoluiu. A partir de meados de junho, eles começaram a pressionar as vítimas, iniciando um processo de extorsão. Isso envolvia gradualmente a inclusão de nomes de empresas em um site hospedado na rede Tor, por meio do qual os dados roubados estavam sendo expostos. Contudo, essa abordagem enfrentou algumas limitações devido à conhecida lentidão das transferências pela rede Tor, o que, em alguns casos, limitou o potencial impacto das revelações.

Para contornar esse desafio, o grupo adotou uma estratégia mais arrojada. Eles estabeleceram sites na parte convencional da internet (a “clear web”), com o propósito de facilitar a divulgação dos dados obtidos a partir da plataforma mencionada, direcionados a um grupo selecionado de vítimas. Contudo, é importante mencionar que esses domínios na web convencional são mais vulneráveis a monitoramento e bloqueios por parte de autoridades e empresas de segurança cibernética.

Uma solução engenhosa foi encontrada para superar esses desafios. O grupo de cibercriminosos optou por utilizar redes de compartilhamento de arquivos torrent para disseminar as informações obtidas durante os ataques. Esses sites de torrent são conhecidos por permitirem o compartilhamento peer-to-peer (P2P) de arquivos, atendendo às necessidades dos usuários da internet que buscam compartilhar informações de forma descentralizada.

Os cibercriminosos criaram torrents para cerca de vinte organizações que foram alvo desses ataques, empregando essa estratégia para distribuir os dados roubados. É importante observar que entre essas organizações, estavam empresas de diversos setores, incluindo finanças, jurídico e seguros.

Publicado em por

PNED E LGPD: A REVOLUÇÃO SILENCIOSA NA EDUCAÇÃO E PROTEÇÃO DE DADOS NO BRASIL

Em meio à revolução tecnológica que nos envolve, o Brasil deu um passo audacioso com a Política Nacional de Educação Digital (PNED) em 2023. Visando impulsionar o acesso e o uso de ferramentas digitais, principalmente entre os mais vulneráveis, a PNED emerge como uma resposta à crescente demanda por inclusão digital e competências tecnológicas no cenário atual.

A PNED reconhece a necessidade de promover não apenas conectividade, mas capacitação, conscientização e uma verdadeira revolução no modo como abordamos a tecnologia na educação.

No entanto, à medida que mergulhamos no universo digital, surge um questionamento crucial: Como garantir a privacidade e os direitos individuais no vasto mar da informação? É aqui que a Lei Geral de Proteção de Dados Pessoais (LGPD) entra em jogo.

A LGPD, desde sua promulgação em 2018, serve como um farol para os cidadãos navegarem com confiança na web. Ao focar no conceito de autodeterminação informativa, a lei concede a cada indivíduo o poder sobre seus próprios dados. No entanto, para que essa lei seja verdadeiramente eficaz, é necessário que os cidadãos estejam cientes de seus direitos e saibam como exercê-los.

O cruzamento entre a PNED e a LGPD é, portanto, inevitável. Ao equipar os brasileiros com habilidades digitais, a PNED também tem a responsabilidade de iluminar o caminho para uma navegação consciente e segura, respeitando a privacidade de cada indivíduo.

No entanto, a implementação bem-sucedida da PNED requer mais do que meramente dotar escolas e cidadãos com ferramentas. A real transformação ocorrerá quando compreendermos que a inclusão digital é um direito humano que, por sua vez, abre portas para a realização de outros direitos fundamentais.

É importante que, à medida que avançamos em direção a essa nova era digital, não deixemos ninguém para trás. A acessibilidade deve ser a norma, e não a exceção. Cada brasileiro, independentemente de sua situação socioeconômica, deficiência ou idade, deve ter a capacidade de navegar, aprender e prosperar no mundo digital.

Por fim, é vital que as entidades responsáveis pelo tratamento de dados, sejam elas públicas ou privadas, adotem práticas de privacidade centradas no usuário. Com uma abordagem de design voltada para a acessibilidade e privacidade, podemos garantir que o Brasil não apenas entre na era digital, mas também lidere o caminho para uma sociedade mais informada, consciente e autônoma.

Publicado em por

PRIVACIDADE DIGITAL SOB A LGPD: O PAPEL VITAL DA CIBERSEGURANÇA

A preservação da privacidade dos dados pessoais é um tema que ganha contornos cada vez mais vitais em um mundo profundamente digital e interconectado. No contexto brasileiro, a Lei Geral de Proteção de Dados (LGPD) assume um papel de destaque, estabelecendo diretrizes rigorosas para garantir o tratamento seguro e adequado dos dados pessoais.

Nesse cenário, a cibersegurança emerge como um pilar fundamental para salvaguardar a privacidade dos dados. Sua função primordial é mitigar riscos e evitar brechas de segurança que poderiam resultar em violações de dados pessoais.

A adoção de medidas de segurança robustas, combinada com soluções especializadas, torna-se imprescindível para assegurar a conformidade com os princípios de Segurança e prevenção estipulados no artigo 6º da lei. Além disso, essa abordagem preserva a confiança dos usuários na era digital e fortalece a reputação da organização.

Embora a LGPD não delineie medidas específicas de segurança da informação, ela demanda que empresas adotem normas técnicas e organizacionais adequadas para proteger os dados pessoais sob sua guarda. Isso requer que as organizações implementem salvaguardas proporcionais aos riscos envolvidos no tratamento desses dados.

Diversas soluções têm se destacado ao garantir a segurança no tratamento de dados pessoais, tais como:

  1. Controle de acesso: Mecanismos que restringem o acesso apenas a indivíduos autorizados, como o Múltiplo Fator de Autenticação (MFA) através de soluções como o Microsoft Authenticator ou Google Authenticator. Isso impede acessos não autorizados mesmo em caso de perda de senhas.
  2. Criptografia: A utilização de técnicas de criptografia protege os dados pessoais durante a transmissão e armazenamento, tornando-os incompreensíveis para terceiros não autorizados.
  3. Monitoramento e detecção de intrusões: Sistemas de monitoramento contínuo identificam atividades suspeitas, invasões ou tentativas de acesso não autorizado aos dados pessoais.
  4. Gestão de vulnerabilidades: Avaliações regulares de segurança identificam e corrigem vulnerabilidades nos sistemas e aplicativos, reduzindo riscos de exposição de dados.
  5. Políticas de senhas: Implementação de políticas que exigem senhas robustas, com combinações complexas de caracteres, além da recomendação de troca periódica.
  6. Treinamento e conscientização: Capacitar funcionários para práticas adequadas de segurança da informação, a fim de conscientizá-los sobre suas responsabilidades na proteção dos dados pessoais.
  7. Backup e recuperação de dados: Além de cópias regulares, é fundamental um plano de recuperação de dados em casos de perda ou incidentes.
  8. Política de retenção de dados: Estabelecer uma política clara para a retenção de dados, garantindo que dados pessoais sejam mantidos apenas pelo tempo necessário e descartados de acordo com o período definido.
  9. Deleção de dados: Implementar soluções de eliminação sempre que o tratamento estiver concluído ou o período de retenção expirar. Isso não apenas atende aos requisitos legais da LGPD, mas também minimiza o risco de vazamento de dados desnecessários.

As medidas mencionadas podem ser reforçadas por outras soluções de cibersegurança para fortalecer a postura de segurança de uma organização e garantir aderência aos requisitos da LGPD. O engajamento consistente nesse cenário é a chave para proteger a privacidade dos dados pessoais em um mundo digital cada vez mais complexo.