top of page
Buscar
Foto do escritorMarcelo Nagy

GDPR: Avalanche de Pentests e Perícias

Se você pensa em ingressar na área de pentests, perícias, resposta a incidentes, análise de malwares e mitigação de riscos de segurança e ainda tem dúvidas se esta área é promissora, tenho um recado pra você: Prepare-se para uma avalanche de solicitações de testes de intrusão, laudos periciais e pareceres técnicos na área forense computacional, bem como em consultoria a mitigação de riscos em cyber segurança. E se você é empresário, seja de uma pequena empresa ou até de uma grande corporação, prepare-se para meter a mão no bolso. E tudo isso graças a GDPR Brasileira.


A lei geral de proteção de dados pessoais, conhecida como PLC 53/2018, foi inspirada na GDPR – General Data Protection Regulation (Regulamento Geral de Proteção de Dados da União Europeia) que entrou em vigor maio de 2018. Trata-se de uma legislação brasileira que determina como dados de cidadão podem ser coletados e tratados e quais serão as punições para eventuais transgressões.

Esse assunto vem sendo discutido no Brasil desde 2012, dado que a PLC 53 tem como base pelo menos duas outras propostas que tramitavam pela Câmara dos deputados, além de outro projeto de lei que estava em análise pelo Senado.


Um dos pontos importantes a serem citados nessa nova lei é a definição do que acontece em caso de vazamento de dados de uma empresa. Já houve casos no Brasil em que as autoridades ou vítimas só ficaram sabendo do vazamento meses após o incidente, como no vazamento da Netshoes. Agora isto não será mais aceitável. Vazamentos ou incidentes de segurança que comprometam dados pessoais deverão ser relatados às autoridades competentes, bem como aos clientes que tiveram os dados vazados o mais rápido possível.


Hoje se fala de muitos casos de vazamentos de dados de empresas americanas, mas quase nunca em empresas brasileiras. Isto porque não existia até então legislação em vigor sobre a obrigatoriedade de comunicar esse tipo de vazamento aos clientes, a autoridades competentes e a imprensa, contrariamente do que ocorre nos EUA.

Com a PLC 53/2018, a punição por descumprimento da lei para a empresa ou organização responsável pelos dados vazados poderá ser desde advertências até uma multa equivalente a 2% de seu faturamento bruto anual, limitado a R$ 50 milhões.

No momento a PLC 53/2018 aguarda sanção presidencial (05/08/2018, data em que escrevi este artigo) e é bem provável que ela seja aprovada antes das eleições presidenciais com alguns vetos suponho, mas não tenho dúvidas que a lei será sancionada. E tudo em nome da proteção dos dados pessoais. Será?


Convido a você a fazer um pequeno exercício comigo:


Uma empresa é considerada pequena perante ao BNDES com faturamento bruto anual de até R$ 16 milhões. Já uma média empresa é aquela cujo faturamento bruto anual seja de até R$ 90 milhões e a partir disso será considerada média-grande as que possuem faturamento bruto de até R$300 milhões. Acima disto, o BNDES considera a empresa como Grande. Uma eventual multa por descumprimento da lei de proteção de dados pessoais neste caso seria a seguinte:

Classificação da Empresa


Valor da Multa Até

Pequena

R$ 212.000,00

Média

R$ 1.800.000,00

Média-Grande

R$ 6.000.000,00

Grande

R$ 50.000.000,00


Voltemos nossos olhos agora a deep web, onde impera o submundo do crime organizado. Uma modalidade praticada de crimes pela internet com crescente expansão é a extorsão mediante a dados roubados de uma empresa. O sistema de uma determinada instituição é hackeado, onde os dados de clientes são copiados e depois de algum tempo, o criminoso entre em contato com os responsáveis pela segurança bem como os sócios da empresa para informar sobre seus sistemas e as vulnerabilidades existentes em sua estrutura que permitiu que determinadas informações sensíveis fossem copiadas. Como prova, o hacker do mal (sim, originalmente todo hacker era pra ser do bem) manda alguns dados roubados aos sócios para comprovar suas habilidades e ainda sugere algumas formas de corrigir a vulnerabilidade para novos ataques não ocorram.


Como prêmio pelo “serviço prestado”, o criminoso solicita que a instituição remunere o hacker com transferência de bitcoins (moeda virtual rastreável, porém não identificável) para uma carteira específica.


Geralmente esse tipo de extorsão costuma custar algo entre 3 a 10 bitcoins, dependendo do tamanho da empresa. A cada nova interação com a instituição, o criminoso aumenta seu custo e começa a ameaçar de leiloar os dados copiados na deep web, caso a transferência para sua carteira não seja realizada no prazo estipulado.


Práticas semelhantes ocorreram com grandes empresas, segundo noticiado pela imprensa, como a Netshoes e o Banco Inter, além de varias outras que acabaram cedendo à pressão dos cyber criminosos mediante a pagamento em bitcoin do resgate e com isto, tendo seu nome preservado.


Dado que 1 bitcoin hoje (05/08/2018) está cotado em R$ 26.203,55, estamos falando que esses crimes de extorsão solicitam em troca pela não divulgação dos dados na internet algo entre R$ 75.000,00 a R$ 260.000,00


Com a aprovação da lei geral de proteção de dados pessoais, podemos concluir que o valor do resgate em bitcoins é infinitamente menor do que a multa de 2% que a instituição deveria pagar em caso de vazamento da informação. E claro, além da multa e dores de cabeça com o governo, o empresário terá um custo enorme em relação a sua imagem, pois muito mais que multas, o custo de uma empresa com sua imagem maculada é maior do que qualquer outro existente, levando até uma possível falência dependendo do tamanho do incidente.


A GDPR brasileira é praticamente um passe livre aos cyber criminosos. Já os empresários, do pequeno ao grande porte, precisarão se adequar para não ter sua imagem exposta ou viver na mão de chantagistas virtuais. É aí que a demanda por profissionais de segurança irá explodir.

Primeiramente, as estruturas e aplicações precisarão ser avaliadas em um possível teste de intrusão. Caso apresentem alguma vulnerabilidade (e acredite, vão apresentar), precisarão ser corrigidas através de mitigação de risco em equipamentos, sistemas operacionais, renovação de politicas de segurança e porque não na correção e modernização de aplicativos, mobilizando programadores e analistas de sistemas de diversas linguagens desde o Cobol até as mais modernas.

Para casos de dados vazados, muitas empresas precisarão de peritos forenses computacionais para documentar como de fato se deu o vazamento, se houve falha de segurança por falha humana, equipamentos ou mesmo envolvimento de funcionários ou prestadores de serviço facilitando o trabalho dos criminosos. Pareces técnicos serão de suma importância para explicar os detalhes e atenuar as multas aplicadas. Sem contar que o órgão regulador da PL 53/2018 (sim está previsto a criação de um órgão público que fiscalize se as empresas estão cumprindo a lei) precisará eventualmente de um perito para avaliar a gravidade de cada caso de vazamento apurado, sem contar o apoio aos DPOs (Data Protection Officer), profissional responsável por aconselhar e verificar se tais empresas estão obedecendo o GDPR ao processarem e tratarem dados pessoais de terceiros.


Na Europa, pequenas e médias empresas já demonstram dificuldades em se adequar tecnicamente para garantir a privacidade dos dados levando o governo a criar um fundo de ajuda para essas empresas. Duvido muito que isto aconteça no Brasil, dado que a conta sempre é apresentada ao empresário neste país, portanto, tanto as grandes empresas de segurança como os profissionais autônomos serão procurados para ajudar nessa verdadeira avalanche de demanda por pentesters e peritos, além de gestores de segurança, auditores e pessoal de blue team.


Portanto, preparem-se: obtenham o máximo de informação sobre o assunto. Recomendo que os profissionais da área de segurança se atualizem em relação as diretrizes da nova lei brasileira, reciclem seus conhecimentos em relação as novas e velhas tecnologias, seja em relação à sistemas operacionais, equipamentos como firewall e IPS, tecnologias mobile e IoT. E aos empresários, sugiro aumentar (ou criar se é que ainda não existe) um fundo de investimento em cyber segurança para os próximos meses em sua empresa além de entender que um responsável pela segurança computacional passa ser uma função tão importante dentro da instituição como um contador, ou um diretor financeiro, pois o risco é iminente. Procurem também um seguro contra crimes cibernéticos, modalidade de seguro oferecida por cada vez mais seguradoras. E pra quem ignorar essas previsões, só resta rezar para não receber um e-mail anônimo de um certo leilão, onde o cobiçado artefato a ser leiloado será o coração de sua empresa...


Sobre o autor do artigo


Marcelo Nagy é Gerente de Infraestrutura na QualiSign S.A., Palestrante, Perito Judicial na área Computacional, Professor da PUC de São Paulo e Consultor pelo Grupo Perícias Informáticas. Começou sua carreira na área de TI em 1991 no ramo industrial, migrando para área financeira e ramo de seguros. Formado em Processamento de dados, Ciências da Computação e Gestão em Tecnologia da Informação, Marcelo também é Pós-graduado em Cyber Security pela Impacta / DM Business School e Pós-graduado em Prevenção e Investigação de Crimes Digitais pela FACEL. Profissional Certificado pela PGM Academy® e pelo Exin® em Ethical Hacking. Perito acreditado pela Associação de Peritos Judiciais do Estado de São Paulo (APEJESP) e pelo Conselho Regional de Administração (CRA-SP). Membro da Sociedade Brasileira de Ciências Forenses (SBCF) e um dos autores do livro “Guia prático para realização de Pentest Profissional e Mitigações de Segurança”.

74 visualizações0 comentário

Posts recentes

Ver tudo

Comments


bottom of page