Artigos TecnologiaCiberSegurançaNOTICIA TECNOLOGIA

2021 Será o ano em que os ataques cibernéticos forçam as leis de privacidade serem mais rígidas

Os ataques cibernéticos estão aumentando em frequência, aumentando as ameaças à privacidade de dados que representam para agências governamentais e empresas. Os governos nacionais e estrangeiros precisam intensificar os esforços para aprovar uma legislação que reforce as defesas tecnológicas neste ano, alertam grupos de privacidade.

Enquanto isso, os ciberataques apresentam aos especialistas de TI e legisladores uma guerra em duas frentes. A indústria de software luta com problemas de segurança que tornam os ataques cibernéticos viáveis. Funcionários do governo e executivos de negócios lutam com complicadas questões legais envolvendo proteções de privacidade desatualizadas ou ausentes.

Incursões maiores e mais bem-sucedidas no governo, empresas e computadores pessoais são eventos comuns. Campanhas de phishing e ataques de ransomware estão encontrando novas vítimas regularmente. A situação é muito parecida com um jogo de Whack-a-Mole.

Os defensores da privacidade veem melhores oportunidades para a adoção de leis de privacidade à medida que se concentram em pressionar os legisladores federais a promulgar leis de privacidade do consumidor mais rígidas nos próximos anos. Essas novas leis precisam prestar atenção especial às tecnologias emergentes, como inteligência artificial (IA), aprendizado de máquina (ML), computação em nuvem e blockchain.

“Espero uma regulamentação cada vez maior, especialmente quando se trata de leis estaduais que se concentram em dados pessoais confidenciais”, disse Scott Pink , advogado especial no escritório do Vale do Silício do escritório de advocacia internacional O’Melveny & Myers e membro do Data Security da empresa e Grupo de Privacidade.

A Pink regularmente aconselha empresas de mídia e tecnologia sobre como cumprir a atual colcha de retalhos de regulamentações de privacidade estaduais e específicas do setor. Ele acredita que 2021 pode marcar uma nova era nas leis de privacidade destinadas a proteger uma ampla gama de informações digitais valiosas.

“Os dados de saúde do COVID-19 são uma preocupação imediata à medida que avançamos para a próxima fase da pandemia. Os governos e os sistemas de saúde estão coletando grandes quantidades de rastreamento de contatos e informações relacionadas à vacina. Implementando leis, políticas e procedimentos para garantir a integridade disso os dados serão fundamentais “.

Os ataques cibernéticos são um risco significativo, especialmente porque o trabalho remoto e a sofisticação cada vez maior de ataques de phishing e engenharia social criam mais vulnerabilidades do que nunca, enfatizou. Ataques cibernéticos e seu impacto na privacidade dos dados podem afetar severamente as operações de agências governamentais, empresas, escolas e muito mais.

RATs na mistura de ataque

As ameaças mais prevalentes à espreita em 2021 são as infestações de RAT. A sigla RAT significa Remote Access Trojan, uma forma de malware que permite que hackers controlem dispositivos remotamente.

Depois que um programa RAT é conectado a um computador, um hacker pode examinar arquivos locais, adquirir credenciais de login e outras informações pessoais ou usar a conexão para baixar vírus que podem, então, sem o conhecimento do usuário, se espalhar para outras pessoas.

As invasões de acesso remoto podem ser problemáticas, especialmente com milhões de pessoas trabalhando em casa, observou Robert Siciliano, instrutor de proteção de identidade social cibernética da ProtectNow .

“O protocolo de desktop remoto da Microsoft e vários serviços de tecnologia de acesso remoto de terceiros aumentam drasticamente a superfície de ataque para hackers que desejam invadir redes corporativas e governamentais”, disse ele à TechNewsWorld.

Alguns dos ciberataques são baseados em táticas escalonadas disponibilizadas desde a pandemia e são diferentes das anteriores ao ano passado, observou ele. Nem as empresas americanas, nem os governos locais, estaduais e federais nunca previram isso.

O fator de nuvem também conta

Ainda assim, os hackers não estão obtendo sucesso estritamente com o uso de táticas modernas de alta tecnologia. As ameaças de hoje são uma escalada dos métodos de ameaça existentes que já existem há anos e que foram acelerados pelo uso ainda mais prevalente de computação em nuvem e desenvolvimento ágil, de acordo com Naama Ben Dov, associado da YL Ventures , uma empresa de capital de risco americano-israelense especializada em investimentos em segurança cibernética em estágio inicial.

A migração da nuvem é uma grande parte dos problemas de privacidade de dados que vemos hoje. Os dados continuam sendo o alvo de maior valor para os invasores. Como tal, o roubo de dados é a ameaça mais prevalente neste ano, insistiu Eldad Chai, cofundador e CEO da Satori Cyber , uma empresa de acesso a dados e governança em Tel Aviv que é uma das empresas do portfólio da YL Ventures.

“Por meio do acesso aos dados de uma empresa, os invasores podem infligir danos à reputação, legais e operacionais desproporcionais a qualquer outro vetor de ataque”, disse ele à TechNewsWorld.

Claro, muitos desses dados estão na nuvem. A tendência de mover dados para a nuvem acelerou nos últimos anos e agora está em um recorde com o sucesso de plataformas como o Snowflake e o impulso que 2020 proporcionou aos programas de migração para a nuvem, observou Chai.

“A migração massiva de dados para a nuvem, a democratização dos dados dentro de uma organização e o ambiente de trabalho em casa expandiram a superfície de ataque para dados e tornam extremamente difícil operar um programa de proteção de dados eficaz”, disse Chai.

WFH também problemático

O cenário de trabalho em casa tornou o trabalho do hacker muito mais fácil. Os atacantes seguem para onde seus alvos vão, observou Ben Dov. Agora, mais do que nunca, esses dados estão pendurados entre os computadores dos funcionários domésticos, os espaços de trabalho internos e os bancos de armazenamento em nuvem.

A sabedoria convencional sempre foi que os funcionários são mais produtivos em um ambiente de escritório; e quando o COVID apareceu, os gerentes de TI estavam despreparados, disse Siciliano.

Embora algumas empresas tenham implantado ajuda tecnológica para os funcionários que usam seus próprios computadores e roteadores em casa para lidar com a segurança de dispositivos fora da rede, isso simplesmente não era suficiente.

“Trabalhar em casa com dispositivos conectados às redes da empresa com configuração incorreta é o maior medo de um gerente de TI”, disse ele.

Muito pouco, muito tarde

Nos Estados Unidos, as leis federais existentes, como o Telework Enhancement Act de 2010, nunca anteciparam esse nível de trabalho em casa, por exemplo. É improvável que o governo federal faça mudanças significativas tão cedo com tantas outras preocupações existenciais com risco de vida, na opinião de Siciliano.

Uma ameaça crescente às incursões à privacidade de dados é o ransomware. Mas é um efeito e não a causa da perda de privacidade. O ransomware acaba sendo um efeito de um Trojan ou tecnologia de acesso remoto, observou ele.

“Os gerentes de TI devem ser mais proativos com hardware, configurações de software e treinamento de conscientização de segurança”, disse Siciliano sobre a prevenção de divulgação de privacidade de dados.

Mudança de tecnologia ameaça a eficácia

Uma das ameaças de privacidade mais prevalentes que enfrentamos em 2021 vem de uma dependência de serviços de TI de terceiros que cada vez mais deslocam, ou substituem, aplicativos historicamente implantados no local, de acordo com Ben Dov da YL Ventures.

“Como o incidente da SolarWinds, muitos ataques à cadeia de suprimentos têm como alvo os sistemas de gerenciamento de TI que estavam em uso muito antes do surgimento da nuvem. As organizações ainda dependem dessas táticas, e esse ataque forçará um repensar da extensão da exposição da cadeia de suprimentos de TI, “ela disse à TechNewsWorld.

O mesmo se aplica a aplicativos de software, ela continuou. Nos últimos anos, assistimos a uma explosão na quantidade de software de terceiros. Esta realidade faz com que as organizações percam a visibilidade dos riscos inerentes à exposição aos referidos componentes de terceiros.

Essa situação sem dúvida vai piorar antes de melhorar, advertiu Ben Dov. O aumento das violações de privacidade de dados, particularmente dados privados, está cada vez mais em expansão.

“Enquanto houver falta de abordagens tecnológicas significativas para identificar e proteger os dados, muitos vazamentos estão prestes a acontecer”, disse ela.

Consertar o que está quebrado

Muitas soluções existentes se concentram em governança de dados e adesão à conformidade. Esses objetivos são importantes, mas não visam a raiz do problema. Eles só são bons na medida em que certos regulamentos vão, de acordo com Ben Dov.

“Precisamos de soluções que sejam capazes de rastrear e monitorar dados por todo o ciclo de vida, de uma forma que se integre significativamente às unidades de negócios existentes das organizações e lhes permita executar em vez de sufocar P&D, vendas e marketing. A segurança deve ser uma cruz -interesse empresarial e objetivo que apóia os processos de negócios “, rebateu.

Atualmente, o legislador se concentra principalmente em nossos direitos como indivíduos à privacidade. Embora seja bem-vindo e necessário, ele negligencia a implementação de programas de privacidade, e cada empresa tem sua própria maneira de atender aos requisitos de privacidade, ofereceu Chai da Satori Cyber.

“Focar as leis nos resultados, como se os dados forem perdidos e você for multado, não lida com muitas das questões subjacentes na proteção real da privacidade dos indivíduos”, disse ele.

Chai não tem certeza se isso acontecerá este ano. Mas ele espera que os governos façam um trabalho melhor na definição e padronização dos programas de proteção de dados de uma maneira que guie a indústria na implementação de programas eficazes e sustentáveis.

Nova privacidade, questões de segurança

Com a adoção da infraestrutura em nuvem e dos serviços em nuvem (SaaS), ocorrerão mais ataques sob medida e personalizados para contornar as proteções existentes da nuvem. Os hackers buscarão formas de contornar os mecanismos de autenticação na nuvem, sugeriu Ben Dov.

Uma preocupação relacionada envolve a tendência das empresas desenvolverem seus próprios aplicativos internos, tornando-se sua própria empresa de software. Isso abre a porta para ataques específicos de aplicativos, ela advertiu.

“Os hackers sempre escolherão o caminho mais fácil e, até 2020, explorar bugs em sistemas operacionais antigos para instalar malware ou engenheiros sociais para instalar software malicioso em seus laptops era um caminho fácil”, acrescentou Chai. “Com os dados e servidores migrando para a nuvem, eventualmente veremos menos ataques desse tipo e mais ataques focados nos ambientes de nuvem.”

Um elemento-chave que precisa ser tratado, de acordo com Siciliano, é a falta de preocupação com a função de segurança que os funcionários precisam desempenhar. Isso é especialmente verdadeiro em relação ao phishing. Os funcionários precisam entender melhor como sua ineficácia pode resultar em calamidade.

“O treinamento de conscientização de segurança relacionado à simulação de phishing por si só não é suficiente e não resolverá o problema. A discussão precisa mudar de conscientização de segurança para avaliação de segurança, e agora a maioria das organizações não está fazendo isso”, reclamou.

Pensamentos finais

A principal lacuna que Chai vê hoje em relação à segurança e privacidade de dados é que as soluções existentes não são adequadas a um modelo que aproveita o contexto legal dos dados. Os modelos das ferramentas de proteção de dados existentes são em sua maioria pretos ou brancos. Ou você tem ou não tem acesso aos dados, explicou.

No entanto, a privacidade e o contexto legal dos dados são muito mais complexos, ele argumentou. Uma parte dos dados pode ser autorizada para uso com base no consentimento dado ao coletar os dados, a localização geográfica dos dados, o tamanho e a natureza do conjunto de dados, a forma como os dados serão usados ​​e um conjunto de outras considerações.

“Até que o contexto jurídico e de privacidade sejam integrados aos modelos existentes de proteção de dados, ainda estaremos para trás”, disse ele.

Esse processo exigirá maior cooperação e parcerias indústria-governo-acadêmico para compartilhar dados relativos às ameaças à segurança cibernética. Também será necessário conhecimento sobre a ameaça para combatê-los, acrescentou Ben Dov.


Ajude-nos a crescer, visite SENASNERD no Twitter FacebookInstagram . e deixe o seu gosto, para ter acesso a toda a informação em primeira mão. E se gostou do artigo não se esqueça de partilhar  com os seus amigos.

SUBSCREVA-SE NO CANAL YOUTUBE SENASNERD

Artigos Relacionados

Deixe uma resposta

O seu endereço de email não será publicado. Campos obrigatórios marcados com *

Botão Voltar ao Topo