Vamos todos pagar pelo caso Equifax

Falta muito a ser descoberto – ou revelado – sobre a violação de dados pessoais na Equifax. Mas uma coisa é certa: ouviremos falar mais sobre a empresa nos próximos meses. Infelizmente, o ambiente de ameaça crescente e as circunstâncias que levaram ao roubo de 143 milhões de registros pessoais não são novos.

Kleber Carriello, Senior Consulting Engineer da Arbor Networks Brasil, explica que é difícil “afirmar aonde foi o erro exatamente, até porque a Equifax não detalhou tecnicamente o ataque. No entanto, pode-se afirmar, mediante o volume de dados comprometidos, que não existiam políticas de rede e acesso corretas para conectar-se a essa aplicação”.

No momento, sabe-se que:

  • Por algum motivo, houve falha na correção da vulnerabilidade conhecida como CVE-2017-5638.
  • Os dados pessoais de 400 mil clientes britânicos foram expostos devido a uma “falha de processo”.
  • Clientes preocupados foram direcionados para um site de phishing.

Então, o que podemos antecipar com base nessas informações? Há exemplos anteriores e padrões semelhantes.

Em 2012, os ataques da Operação Ababil contra as instituições financeiras dos Estados Unidos também foram vistos como um evento decisivo, por vários motivos. Eles combinaram ataques DDoS na camada de aplicação em HTTP, HTTPS e DNS com tráfego de ataque volumétrico em TCP, UDP, ICMP e outros protocolos de IP. Para muitos, foram patrocinados pelo governo norte-americano. As empresas atingidas foram anunciadas antecipadamente e a campanha envolveu ataques simultâneos, com alta largura de banda, em várias empresas da mesma vertical.

Embora o governo por vezes seja lento, ele ainda tem capacidade de reação: na semana seguinte ao anúncio da violação da Equifax, o Departamento de Controle de Ativos Estrangeiros do Departamento de Tesouraria dos Estados Unidos (U.S. Department of the Treasury’s Office of Foreign Assets Control – OFAC) anunciou ações contra os perpetradores da Operação Ababil. Além disso, no começo do mês, veio a promulgação do Regulamento de Segurança Cibernética dos Serviços Financeiros de Nova York (New York Department of Financial Services Cybersecurity Regulation – 23 NYCRR Part 500), que teve várias das disposições propostas após os ataques da Ababil.

Com o caso Equifax, é muito provável que legisladores e reguladores deem mais atenção à preparação para o ataque cibernético. Os governos de todo o mundo foram encorajados a aumentar a supervisão, e eles já sabem que sua melhor arma são as penalidades financeiras. E é preciso levar em consideração que os ataques da Operação Ababil foram, em grande parte, mitigados com sucesso, enquanto o caso Equifax é um desastre ainda em progressão.

De acordo com o Regulamento Geral de Proteção de Dados (General Data Protection Regulation – GDPR) da União Europeia, as empresas podem ser multadas em até 4% da sua receita global se sofrerem uma violação. Menos conhecido, o Artigo 82 do GDPR, sobre Direito à Indenização e Responsabilidade, estabelece que “qualquer pessoa que tenha sofrido danos materiais ou materiais como resultado de uma infração ao presente Regulamento terá direito a receber uma indenização do responsável pelo prejuízo sofrido”. A execução das penalidades previstas no GDPR começa em maio de 2018. De acordo com a Diretiva de Rede e Sistemas de Informação (Network and Information Systems – NIS) da União Europeia – que não faz parte do GDPR – as organizações que não estiverem em conformidade também podem sofrer penalidades de até 4% da receita.

É importante observar o alcance desta e de outras regulamentações. A localização geográfica do negócio tornou-se praticamente sem sentido. Você não precisa estar fisicamente localizado na Europa para estar sujeito ao GDPR. Como o regulamento 23 NYCRR Part 500, o GDPR abrange explicitamente os “processadores” de dados pessoais, independentemente de onde estiverem localizados e do setor em que atuem.

A crescente regulação também extrapola a segurança dos dados pessoais e passa a incluir a integridade, disponibilidade e resiliência das infraestruturas críticas, como serviços financeiros, empresas de energia, água, transporte, serviços de informação e organizações governamentais.

A violação de dados da Equifax não foi a primeira, nem será a última. A história sugere que, mais uma vez, cedo ou tarde, teremos mais supervisão, regulamentos e potenciais penalidades.

“Na dinâmica das empresas atuais, muitas vezes, o investimento em segurança tem sido negligenciado em prol de redução de custos, focando o investimento em áreas na qual a empresa vê retorno imediato. Esse é um erro perigoso, com um preço muito alto a se pagar em casos como esses e tantos outros que já observamos. Uma aprimorada política de segurança, com equipes e ferramentas adequadas deve ser primordial em qualquer negócio online”, afirma Kleber.

Todos iremos pagar pelo caso Equifax. A questão é quanto. Encontrar o equilíbrio certo em um momento de grande indignação de consumidores e políticos será uma tarefa complexa. Aparentemente, tão difícil quanto fazer o patching de sistemas básicos…

  • Posted in ASERT Blog
  • Comentários desativados em Vamos todos pagar pelo caso Equifax