Blog | LeV Compliance

Sequestro de dados empresariais

Resumo da redação   

Os dados estão entre os ativos mais importantes de uma empresa, pois são considerados a principal matéria prima. Pode-se afirmar […]

Sequestro de dados empresariais

07/08/22

Os dados estão entre os ativos mais importantes de uma empresa, pois são considerados a principal matéria prima. Pode-se afirmar que sem eles não há possibilidades de inovação e crescimento, o que faz o sequestro de dados empresariais ser um prejuízo irreparável para o negócio.

Entendendo essa valorosidade, é preciso respeitar a legislação e oferecer um ambiente seguro para que as pessoas entreguem suas informações. Sua empresa precisa estar atenta aos riscos e impactos que uma má utilização pode acarretar, pois os clientes estão cada vez mais informados quanto aos seus direitos e buscam empresas que prezam pela segurança dos seus dados.

Nesse contexto é que surgiu a Lei Geral de Proteção de Dados (LGPD), a qual estabelece regras para a coleta, processamento e armazenamento de dados pessoais. É uma legislação que tem o objetivo de proteger a liberdade e a privacidade de pessoas físicas, sejam elas clientes, colaboradores, entre outros.

Assim, é preciso proteger os dados dos seus clientes, consumidores e colaboradores. E quando você não se protege, pode sofrer um ataque, mas a questão é, como devo me proteger?

Vazamento de dados

Existem inúmeras formas de ocorrer um vazamento de dados. Conhecendo suas possíveis vulnerabilidades é possível criar processos internos na sua empresa ou camadas de proteção que vão reduzir o risco de ataques.

Em uma análise realista, pode ser qualquer pessoa, desde o colega de trabalho da sala do lado até uma pessoa de outra nacionalidade. Por isso, existem medidas a serem tomadas contra os atacantes de fora e de dentro.

Formas de sequestro de dados.

Existem várias formas de ataque e, a cada dia, criminosos encontram uma nova forma de invadir suas aplicações e redes. A necessidade de estar sempre atento às novidades torna-se uma obrigação para aqueles que querem manter seus dados seguros.

Ataques por mensagens:

Um dos ataques mais comuns são as mensagens mal-intencionadas. Estas possuem links ou arquivos e podem ser recebidas através do e-mail, WhatsApp, redes sociais e SMS.

Neste caso, o conteúdo é feito para invadir o seu computador ou celular para que, assim, o atacante possa ter acesso às informações e senhas salvas no dispositivo. Normalmente, à primeira vista, quando você clica nessas mensagens não acontece nada, mas programas maliciosos podem ter sido instalados no dispositivo, sem que você perceba.

Vulnerabilidades em site e aplicativos:

O ataque pode ser iniciado por meio de uma vulnerabilidade em seu site, aplicativo, API ou e-commerce.

A criação e a atualização das aplicações web de sua empresa podem conter falhas de desenvolvimento que permitem várias possibilidades de acesso de um atacante. Por isso a importância de sempre verificar se todas as passagens estão bem fechadas.

A nuvem ou servidor também podem conter falhas que permitam acesso aos dados da empresa.

Ataques de Insiders:

Quando se trata de um insider, podemos contar com logins com falha de restrição de acesso em softwares. Por exemplo: o login de uma pessoa do almoxarifado consegue ter acesso aos faturamentos dos clientes da empresa. Uma informação que deveria ser restrita apenas para ao departamento financeiro e contábil da empresa.

Uma pessoa mal-informada ou mal-intencionada que, ao sair da empresa que está trabalhando, leva com ela contatos e dados privilegiados que teve acesso durante seu contrato de trabalho e que agora poderão ser utilizados para outros motivos.

Roubos e furtos:

Até mesmo um roubo na sua empresa onde o assaltante leva suas CPUs ou servidores pode ser um problema maior do que apenas o roubo dos equipamentos.

Caso os equipamentos não estejam devidamente protegidos, os criminosos podem ter acesso aos dados contidos nesses equipamentos de alguma maneira. Isso pode representar uma grande ameaça para o futuro de sua instituição e clientes.

As motivações para uma pessoa que está dentro ou fora da instituição podem ser diferentes. Mas não se esqueça que a empresa que coleta é a responsável pelo dado. Portanto, qualquer vazamento de dados, intencional ou não, será cobrado pela Autoridade Nacional de Proteção de Dados (ANPD).

As informações referentes às formas de sequestro de dados foram coletadas do artigo: “LGPD: Segurança e Sigilo de Dados”.

Casos de sequestros de dados.

Casos amplamente divulgados em rede nacional, mostram que o sequestro de dados empresariais é cada vez mais comum. Nessas ocorrências, os hackers invadem o sistema da empresa vítima e sequestram todas as informações, cobrando valores exorbitantes para a devolução dos dados.

Um exemplo que ocorreu no ano passado, foi de uma grande rede de laboratórios, conhecida nacionalmente, que foi alvo de extorsão. Diante do ocorrido, clientes da instituição enfrentaram dificuldades para acessar resultados de exames. O caso foi relatado pelo Tecnoblog.

Nesse mesmo contexto, o Ministério da Saúde também foi alvo de invasores, quando o principal sistema, chamado Rede Nacional de Dados em Saúde, conhecida por ser a “plataforma-mãe”, que reúne todas as informações registradas por estados e municípios, na ponta do Sistema Único de Saúde (SUS), ficou fora do ar por mais de um mês. Saiba mais.

Segurança dos dados e a LGPD.

Com a evolução tecnológica, as informações são armazenadas em nuvens, drives externos, servidores e computadores. Assim, manter a segurança e o sigilo dos dados tornou- se um desafio para as empresas. Estas precisam estar em constante atenção para reduzir os riscos de ter dados vazados ou roubados.

No entanto, é importante ressaltar que a LGPD impacta todas as empresas, do mercadinho da esquina, que armazena os telefones, nomes e preferências de seus clientes no caderno, até o executivo de mais alta patente com seus processos automatizados e tratamento de dados em alta escala.

A LGPD considera que as empresas são responsáveis por manter a segurança e o sigilo de dados que armazenam. Isso significa que em caso de vazamento dessas informações, a sua empresa poderá ser punida pela lei.

Além das consequências diretas dos ataques sobre a sua base de dados, ainda terá de prestar esclarecimentos à ANPD. No artigo 52, a lei estabelece as sanções que serão aplicadas conforme o vazamento. Vejamos:

I – advertência, com indicação de prazo para adoção de medidas corretivas;

II – multa simples, de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração;

III – multa diária, observado o limite total a que se refere o inciso II;

IV – publicização da infração após devidamente apurada e confirmada a sua ocorrência;

V – bloqueio dos dados pessoais a que se refere a infração até a sua regularização;

VI – eliminação dos dados pessoais a que se refere a infração;

VII- vetado;

VIII- vetado;

IX – vetade;

X – suspensão parcial do funcionamento do banco de dados a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período, até a regularização da atividade de tratamento pelo controlador;  (Incluído pela Lei nº 13.853, de 2019)   

XI – suspensão do exercício da atividade de tratamento dos dados pessoais a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período;  (Incluído pela Lei nº 13.853, de 2019)  

XII – proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.  (Incluído pela Lei nº 13.853, de 2019).   

Como visto, a empresa poderá ser muito prejudicada por um único vazamento. Mas caso a empresa tenha mais de um vazamento por ano, algo que é muito possível de acontecer, todo este processo ocorre novamente.

Conclusão

Existem muitas medidas a serem tomadas e cada empresa e fluxo de trabalho precisa ter cuidados especiais com o seu negócio e tipo de dados. Principalmente considerando os dados que circulam em cada área da empresa e em cada ponto de manuseio e tratamento destes dados. 

Portanto, você precisa adequar a sua empresa, mas talvez todas essas informações sejam novas para você. Caso você ainda esteja com dúvidas, clique aqui e converse com um de nossos consultores. Somos especialistas na adequação à LGPD de empresas da área da saúde.

Posts mais recentes:



VOLTAR


(55) 3511-2553
atendimento@levcompliance.com.br

Tecnopuc

Santa Rosa


R. Guaporé, 401 - Centro
Sala 504 Edifício NEO
Santa Rosa - RS, 98780-082

Tecnopuc

Tecnopuc


Av. Ipiranga, 6681 - Partenon
Porto Alegre - RS, 90619-900

Tecnopuc

Instituto Caldeira


Tv. São José, 455 - Navegantes
Porto Alegre - RS, 90240-200