O Regulamento Geral de Proteção de Dados (RGPD) representa uma alteração radical naquilo que são os atuais procedimentos das organizações. Poderão os atacantes tirar partido de uma campanha maliciosa de fuga de informação exigindo um pagamento pelo resgate dos dados?

O RGPD entra em vigor a 25 de maio de 2018 e traz muitas mudanças relativas ao atual quadro da proteção de dados pessoais. Qualquer organização que mantenha dados de cidadãos europeus é obrigada a alinhar-se com todas as diretivas descritas no regulamento, caso contrário, o não cumprimento poderá refletir-se num sarilho colossal, e as penalizações são elevadíssimas.
Este regulamento estabelece um quadro de aplicação para notificações de incidentes de segurança que impactem nos dados pessoais dos cidadãos, e com dois escalões bem definidos relativos à gravidade do problema. Por exemplo:

• Nos casos menos graves, a coima poderá ter um valor até 10 milhões de Euros ou 2% do volume de negócios anual a nível mundial, consoante o montante que for mais elevado.

• Nos casos mais graves, a coima poderá ter um valor até 20 milhões de Euros ou 4% do volume de negócios anual a nível mundial, consoante o montante que for mais elevado.

 

Abrirá o RGPD uma janela de oportunidade para os atacantes?

Data leakage, ou em português — fuga de dados, tem-se tornado num tópico bastante perturbador nesta era da informação digital. A falta de uma forte regulamentação, e com um poder de consciencialização alargado; como tem sido notado com o RGPD; levou a uma “indisciplina” na forma como os dados são mantidos, a maneira como o software é desenhado e concebido, e também na forma como os processos de manipulação dos dados são realizados, tudo isto numa perspetiva de segurança e privacidade por defeito.
O artigo publicado em seguranca-informatica.pt, refere que um dos grandes problemas relativos à propagação e exposição dos dados pessoais, sem sequer existir um pré-consentimento do cidadão, consiste na: — falta de mecanismos de segurança e nas falhas nevrálgicas de desenho e implementação de software.

“É normal encontrar pautas da faculdade, editais de concursos públicos, informação extremamente sensível que provavelmente foi leaked de alguma plataforma onde se tenha registado ou com ela interagido.”

Estamos todos acostumados a fornecer as nossas informações pessoais. Não sabemos onde elas estão fisicamente armazenadas, por quanto tempo são mantidas, se irão ser esquecidas, etc — ao fim ao cabo, nós como utilizadores e cidadãos, não sabemos grande coisa. Mesmo que parassemos com essa prática hoje, já é tarde — a nossa identidade está por todo o lado. Tente fazer uma pesquisa pelo seu nome num motor de pesquisa.
Na verdade, e resumindo este novo regulamento a uma só palavra, ele irá implantar uma maior responsabilidade, do termo inglês — accountability, em todas as entidades que manipulem informações pessoais, tanto numa perspetiva de controladores como de processadores de dados.

 

Fuga de Informação
Do ponto de vista malicioso, quando um sistema é pensado de forma defeituosa, e não oferece o mínimo de garantias aos seus utilizadores, a probabilidade de ocorrer uma fuga de informação é muito alta. E é isso que tem acontecido nos últimos anos.
De acordo com este artigo publicado no blog, foram registadas gigantescas perdas de informação nestes últimos tempos. Por exemplo, a Yahoo tem associada uma fuga de aproximadamente 3 biliões de dados pessoais publicados na Internet. Uma imagem difícil de apagar e eternamente vinculada à própria marca. Também outros casos como o da Ebay, Equifax, entre outros, são encontrados no reporte.

Porque acontece esta fuga de informação?
As empresas mantêm os dados durante anos, talvez por razões históricas, ou por falta de mecanismos para contornar essas situações. Quando acontece um pedido para ser esquecido ou de eliminação dos dados (right to be forgotten), eles deverão ser totalmente eliminados do sistema.

“Será que quando carrego no botão eliminar mensagem no chat do facebook ou do whatsapp ela é efetivamente removida?”.
“Quando encerro a minha conta de utilizador do Gmail ela é totalmete removida do ecossistema Google?
A resposta é simples: “—Se não foi, deveria ser!”.

Janela de oportunidade para os atacantes
São publicados diariamente centenas de registos com origem na fuga de informação. Os atacantes têm publicado na Internet dezenas de registos, e-mails, combinações de utilizador e palavra-passe de acesso a sistemas, no geral, dados sensíveis. O tema é demasiado lato.

Mas o que é efetivamente um dado sensível?
Uma dado, ou pedaço de informação, que possa ser relacionado a um indivíduo.
Exemplos: Nome, morada, NIF, e-mails, imagens de vídeo, matrícula do carro … (portanto, um universo gigante de dados).
Sendo crucial para as entidades manter a informação num ecossistema totalmente seguro, uma fuga de informação, já a partir de 25 de maio, mesmo sendo diminuta, diz respeito a um incidente com alto impacto nos dados pessoais dos cidadãos.
Esses incidentes devem ser detetados e mitigados de forma instantânea, (o mais rápido possível — quase em tempo real), e deve ser também prestada uma notificação a todos os cidadãos lesados e à entidade reguladora até no máximo de 72 horas depois da ocorrência.
Prevê-se com isto um crescimento no número de ataques informáticos aos sistemas, e uma melhor reação por parte das organizações na identificação, mitigação e reporte desses incidentes.
Perante isto, são esperadas vagas de ataque ainda mais sofisticadas, em que os atacantes exijam um resgate pela fuga de informação, sob pena de eles próprios vazarem a informação para a Internet.

Conclusão
O RGPD traz com ele aspetos muito positivos. Ele deve ser planeado e executado o melhor possível, pois isso irá atrair novos clientes derivado ao compromisso que isso lhes oferece, uma maior monitorização, clareza, controlo, e sobretudo, a segurança da sua informação.
Dessa forma é preciso encarar isso como um ponto de viragem muito importante. Não é uma revolução, mas sim uma evolução, e uma oportunidade de todas as entidades melhorarem os seus aspetos de segurança.
Monitorização, responsabilidade, segurança e privacidade por defeito são termos na ordem do dia.

Já sabe agora o que tem que fazer, contacte-nos e iremos analisar as necessidades para a sua empresa.

Agradecimento especial pela sua preciosa colaboração sobre este assunto e artigo:
Pedro Tavares is a professional in the field of information security, currently working as IT Security Engineer. He is also a founding member and Pentester at CSIRT.UBI and founder of the security computer blog seguranca-informatica.pt

Artigo original: https://seguranca-informatica.pt/o-rgpd-como-uma-janela-de-oportunidade-maliciosa/#.WnWOdm_FKUk