Na comédia clássica dia da Marmota, o protagonista Phil, interpretado por Bill Murray, pergunta “O que você faria se estivesse preso em um lugar e todos os dias fossem exatamente iguais, e nada do que você fizesse importasse?” Neste filme, Phil está preso revivendo o mesmo dia várias vezes, onde os eventos se repetem em um loop contínuo, e nada que ele faça pode detê-los. A situação de Phil se parece muito com nosso ciclo cruel com violações de dados.
A cada ano, as organizações sofrem mais vazamentos de dados e ataques, com informação pessoal sendo expostos e abusados em taxas alarmantes. Enquanto Phil finalmente descobriu como quebrar o ciclo, ainda estamos presos: os mesmos tipos de violações de dados continuam ocorrendo com os mesmos elementos do enredo praticamente inalterados.
Como Phil finalmente conseguiu fazer, devemos examinar os elementos recorrentes que permitem que as violações de dados aconteçam e tentar aprender com eles. Os enredos comuns incluem erro humano, coleta de dados desnecessária, armazenamento consolidado e erros descuidados. Inúmeras histórias envolvem organizações que gastaram muito dinheiro em segurança e ainda acabaram sendo violadas. Somente quando aprendemos com essas histórias recorrentes podemos avançar na interrupção do ciclo.
O enredo principal de tantas histórias de violação de dados é o erro humano. Repetidamente, as pessoas caem em golpes de phishing, não conseguem corrigir softwares vulneráveis imediatamente, perdem dispositivos que contêm dados vitais, configuram incorretamente servidores ou cometem erros de várias outras maneiras.
Os hackers sabem que os humanos são o elo fraco. Muitas invasões de bancos de dados de empresas ocorrem menos por magia tecnológica e mais por artimanhas. Por exemplo, os hackers podem enganar os funcionários de uma organização enviando um e-mail que parece vir de um de seus supervisores. Fazer isso é fácil: qualquer pessoa pode aprender prontamente os nomes dos supervisores pesquisando-os no LinkedIn e pode falsificar um endereço de e-mail. Essencialmente, os hackers hackeiam mais humanos do que máquinas.
Apesar do erro humano ser um aspecto da maioria das violações de dados, muitas organizações falharam em treinar funcionários sobre segurança de dados. Quanto às organizações que o fazem, muitas vezes usam módulos de treinamento longos e chatos que as pessoas esquecem rapidamente. Não é dada atenção suficiente para tornar o treinamento eficaz.
É razoável esperar que, mesmo com uma força de trabalho bem treinada, algumas pessoas inevitavelmente se apaixonem truques de hackers. Devemos abordar a segurança de dados com realismo de que as pessoas podem ser ingênuas e descuidadas, e a natureza humana não vai mudar. Isso significa que precisamos de sistemas e regras que antecipem violações inevitáveis e minimizem seus danos.
Em muitas violações de dados, uma enorme quantidade de informações é perdida de uma só vez. porque as organizações hackeadas estavam coletando mais dados do que o absolutamente necessário, ou mantendo essas informações quando deveriam tê-las excluído.
Com o tempo, as organizações coletaram e usaram dados mais rapidamente do que conseguiram mantê-los seguros – assim como na revolução industrial do século 19, quando as fábricas surgiram antes que os controles de segurança e poluição fossem introduzidos. Em vez de acumular o máximo de informações possível, eles devem adotar políticas de minimização de dados para coletar apenas os dados necessários para fins legítimos e evitar a retenção de dados desnecessários.
Para piorar a situação, muitas organizações armazenaram as vastas quantidades de informações que acumulam em um único repositório. Quando os hackers invadem, eles podem acessar rapidamente todos os dados de uma só vez. Como resultado, as violações cresceram cada vez mais.
Embora muitas organizações temam um hacker diabólico que pode invadir qualquer coisa, o que elas mais devem temer são erros pequenos e descuidados que estão sendo cometidos continuamente.
Por exemplo, um erro totalmente previsível é um dispositivo perdido. Laptops, telefones e discos rígidos perdidos ou roubados, carregados de dados pessoais, desempenharam um grande papel nas violações. As empresas devem presumir que pelo menos algumas perdas ou roubos de dispositivos portáteis ocorrerão – e para evitar desastres, elas devem exigir que os dados neles sejam criptografados. Com muita frequência, não há planejamento para erros inevitáveis por descuido, a não ser esperar que eles de alguma forma não aconteçam.
O dinheiro por si só não é suficiente para parar os hackers. Na verdade, muitas das organizações que sofreram grandes violações de dados também gastaram muito em segurança de dados. Eles tinham grandes equipes de segurança na equipe. Eles tinham toneladas de recursos. E, no entanto, suas defesas ainda foram violadas. A lição aqui é que o dinheiro deve ser gasto em medidas que realmente funcionam.
No caso da violação da Target em 2013, a empresa gastou uma fortuna em uma grande equipe de segurança cibernética e em software sofisticado para detectar atividades incomuns. Esse software funcionou e enviou alertas, mas os membros da equipe de segurança não estavam prestando atenção suficiente e, segundo informações, eles desligaram as defesas automáticas do software. Ter as melhores ferramentas e muitas pessoas não é suficiente. Uma equipe de segurança também deve ter uma boa cartilha, e todos devem fazer sua parte.
Embora na superfície, as violações de dados pareçam um monte de incidentes isolados, na verdade são sintomas de problemas mais profundos e interconectados envolvendo todo o ecossistema de dados. Solucioná-los exigirá que as empresas invistam em medidas de segurança que possam evitar violações muito antes que elas aconteçam – o que pode exigir nova legislação.
Com algumas exceções, as leis atuais sobre segurança de dados não vão muito além do raio de explosão da violação mais recente – e isso piora os danos causados por esses ataques cibernéticos. Apenas tanto benefício marginal pode ser obtido ao cobrar multas crescentes às entidades violadas. Em vez disso, a lei deve visar um conjunto mais amplo de atores de risco, como produtores de software inseguro e redes de anúncios que facilitam a distribuição de malware. As organizações que têm violações quase sempre poderiam ter se saído melhor, mas há muito benefício marginal em derrotá-las. As leis poderiam se concentrar em responsabilizar outros atores, para que a responsabilidade seja distribuída de forma mais adequada.
Além de visar uma gama mais ampla de entidades responsáveis, a legislação pode exigir a minimização de dados. Com dados reduzidos, as violações se tornam muito menos prejudiciais. Limitar o acesso aos dados para quem precisa e pode provar sua identidade também é altamente eficaz. Outra proteção importante subestimada é o mapeamento de dados: saber quais dados estão sendo coletados e mantidos, os propósitos de se ter os dados, a localização dos dados e outras informações importantes.
As organizações governamentais podem agir proativamente para responsabilizar as empresas por más práticas antes que ocorra uma violação, em vez de esperar por um ataque. Essa estratégia fortaleceria a segurança de dados mais do que a abordagem atual de focar quase inteiramente em organizações violadas.
Mas a lei continua apresentando as mesmas consequências cansadas para empresas violadas, em vez de tentar reformar o ecossistema de dados maior. Assim como Phil, até que os legisladores percebam os erros de seus caminhos, estaremos fadados a reviver as mesmas violações repetidamente.
Este é um artigo de opinião e análise, e as opiniões expressas pelo autor ou autores não são necessariamente as de Americano científico.
Discussion about this post