Nos últimos anos, as empresas tornaram-se, mais do que nunca, alvos de ataques de roubo de dados. Isto afeta não só as grandes organizações (vejamos o ataque à Uber em 2022), como também as pequenas empresas. Estas últimas, embora muitas vezes mais pobres em informação, são mais fáceis de prejudicar. 

 

O roubo de dados pode ser conseguido de várias formas, nomeadamente:

  • Phishing
    É um dos ciberataques mais prevalentes atualmente e continua a crescer em popularidade graças à Inteligência Artificial (IA) e ao roubo de identidade. O phishing pode assumir a forma de mensagens ou documentos falsos que imitam a identidade corporativa de uma empresa.

  • Malware
    Continua a aumentar em número e também não deve ser negligenciado. Também aqui, a IA pode ajudar à implementação e à utilização de malware, tornando a aplicação tão visualmente “inofensiva” quanto possível.


No total, mais de 353 milhões de pessoas foram afetadas por fugas, exposição e violações de dados comunicadas em 2023, só nos Estados Unidos. E não nos esqueçamos das que não foram comunicadas... No mesmo ano, a IBM estimou que o custo médio de um roubo de dados para uma empresa era de cerca de 4,5 milhões de dólares. Vejamos porque é que isto acontece e como se caracteriza este custo.

 

 

Resolução

Uma vez detetado um roubo de dados, é essencial reagir rapidamente, determinando a natureza do roubo (dados de funcionários, segredos de negócio, etc.), bem como a forma como ocorreu. De seguida, é possível elaborar um plano para conter a violação de dados.


No entanto, esta etapa pode implicar custos significativos e exigir o recurso a uma equipa especializada no contexto de uma crise cibernética, podendo interromper a atividade da empresa até que a situação seja estabilizada.


É também necessário pensar na fase “pós-ataque”: tendo aprendido com o mesmo, a implementação de novas medidas de segurança é um novo paradigma na proteção de dados. Quando esta etapa ocorre após um acontecimento imprevisto, pode rapidamente tornar-se extremamente dispendiosa.

 

 

Como o atacante utiliza os dados

É também necessário estudar cuidadosamente o tipo de dados que foram roubados. Se disserem respeito à atividade da empresa, a segredos de produção ou a métodos de funcionamento, existe um risco elevado de acabarem à venda na Internet. Isto implica, indiretamente, um grande impacto comercial: as empresas concorrentes podem compreender o modo de funcionamento da empresa afetada e adaptar-se em conformidade. Ou talvez o know-how único dessa organização possa ficar à mercê dos outros. 


Também é importante não ignorar o facto de que, embora estes dados possam não aparecer logo após o roubo, é possível (e provável) que reapareçam anos mais tarde – por exemplo, através de phishing com informações roubadas vários anos após a “tempestade” ter passado. Isto pode ser devastador, afetando novamente a empresa.

 

 

Consequências jurídicas

Se as várias leis de proteção de dados não forem cumpridas pela empresa vítima de roubo de dados, esta pode ser processada pelas pessoas que sofreram o roubo.


Na Europa, é essencial seguir as diretrizes do RGPD sobre proteção de dados. Além disso, a partir de 17 de outubro de 2024, os Estados-Membros da União Europeia (UE) terão de cumprir as regras da Diretiva NIS 2. Esta legislação, que entrou em vigor em 2022, deve ser aplicada o mais rapidamente possível para proteger os dados das empresas, mas também em caso de ataque.


Por vezes, os ataques conseguem “furar” as proteções implementadas, apesar do cumprimento da Diretiva NIS 2 e do RGPD, mas ambas as legislações protegem contra despesas legais e outras multas no caso de um ataque bem sucedido. Em França, por exemplo, os responsáveis por esses dados podem ser punidos pela autoridade francesa de proteção de dados (CNIL) até um máximo de 4% do volume de negócios mundial da empresa.


Note-se que, em caso de fuga de dados pessoais, a pessoa responsável pelos dados é o diretor da empresa. Isto é particularmente verdade para as pequenas e médias empresas. Por outro lado, esta responsabilidade pode ser delegada ao Diretor de Recursos Humanos ou ao Chief Information Officer (CIO), nas organizações em que a dimensão da empresa não permite que o diretor acompanhe a situação de forma controlada.

 

 

Perda de competitividade e reputação

Após um roubo de dados, a imagem da empresa pode ficar manchada durante meses. Os clientes e parceiros comerciais podem recusar-se a colaborar com a empresa novamente. É certo que, após um roubo de dados, a empresa investe tempo e dinheiro especificamente por causa do ataque, pelo que o seu índice de competitividade diminui intrinsecamente.


Do mesmo modo, pode preocupar os parceiros que trabalham atualmente com a empresa, por receio de que os seus dados possam ter sido roubados. Além disso, pode existir a preocupação de que a correção não tenha sido totalmente eficaz, ou simplesmente que possa voltar a acontecer. Em suma, o índice de confiança também diminui. 


Isto leva a grandes custos ocultos, difíceis de quantificar, uma vez que dependem do estado da empresa antes do roubo, bem como do seu sucesso na fase de correção.

 

 

Como evitar roubos de dados?

As empresas precisam de tomar medidas específicas para se protegerem contra estes ataques. Segue-se uma lista não exaustiva de ações recomendadas:

  • Garantir a conformidade
    Como explicado acima, é necessário cumprir os regulamentos de proteção de dados, como o RGPD e a NIS 2 (na Europa), para evitar sanções legais e financeiras. Isto inclui a implementação de medidas para proteger os dados pessoais, obviamente, mas também a notificação imediata de violações de dados às autoridades competentes.
    Para o efeito, é necessário efetuar uma avaliação dos riscos da organização, a fim de estabelecer uma política de segurança global baseada nos riscos identificados. A direção da empresa deve ser envolvida, uma vez que a Diretiva NIS 2 introduz o conceito de responsabilização da direção pela segurança.
    A Alter Solutions oferece uma vasta gama de serviços para ajudar as empresas a garantirem a conformidade com os vários regulamentos. Descobre mais sobre o tema aqui.

  • Formar os funcionários
    É sempre bom lembrar que o erro humano é responsável por 80% dos ciberataques. Por conseguinte, é essencial formar os funcionários das empresas sobre como lidar com o phishing e outras ameaças possíveis na Internet. Para o efeito, recomendamos a realização regular de campanhas de phishing para testar o nível de conhecimentos de cibersegurança dos funcionários. Em função dos resultados, é mais fácil adaptar os cursos de formação às necessidades específicas.

  • Implementar soluções de segurança sólidas
    É igualmente essencial pôr em prática fortes medidas de segurança: uma política de palavras-passe sólida, uma gestão controlada dos suportes amovíveis, proteção antivírus e firewall, e atualizações regulares do software, especialmente do software de segurança.

  • Utilizar um serviço Managed SOC
    Muitas vezes, as pequenas e médias empresas não têm tempo ou recursos para criar o seu próprio SOC (Security Operations Center) para controlar, monitorizar e analisar a segurança da informação da empresa. Para este fim, é possível recorrer a um serviço de Managed SOC – por exemplo, um SOC delegado a uma empresa dedicada a este tipo de serviço. Esta é uma solução mais económica, pois evita que a organização tenha de investir em equipamento e pessoal de segurança interno. Sabe mais sobre o serviço Managed SOC da Alter Solutions aqui.

  • Identificar e classificar dados sensíveis
    É altamente recomendável classificar os dados de uma empresa, estabelecendo diferentes perímetros de segurança de acordo com a necessidade e a sensibilidade dos mesmos – por exemplo, alguns dados podem ser armazenados em clouds seguras. A classificação dos dados também ajuda a definir quem pode aceder aos mesmos dentro de uma empresa, limitando assim os fatores que os podem comprometer.

 

 

Conclusão

O roubo de dados pode ter repercussões em muitos aspetos de uma empresa: não só no sistema de informação comprometido, mas também a nível comercial, jurídico e humano. É por isso que aconselhamos vivamente que todas as organizações sigam as recomendações acima descritas, para limitar o risco de comprometimento.
Partilha este artigo