A compreensão da necessidade de preparo e amadurecimento quanto ao tema de cibersegurança normalmente se dá após o dano ocorrido. Especialmente quanto a maturidade de segurança da informação, é necessário admitir que alguns órgãos e países possuem maior maturidade, prudência e responsabilidade do que outros. Assim, recomenda-se usar perspectivas internacionais de órgãos especializados na segurança da informação a fim de estruturar planos de resposta a incidentes e adotar boas práticas. Desta forma, impedindo o vazamento de dados por Ransomwares.
Neste artigo, recomendaremos a publicação da Cybersecurity & Infrastructure Security Agency (CISA): Protecting Sensitive and Personal Information from Ransomware-Caused Data Breaches.
Entretanto, antes de adentrar a publicação em si, é preciso realizar um esclarecimento.
Ao se falar de normatização sobre o tema da proteção de dados, a perspectiva dos Estados Unidos é distinta do Brasil.
Primeiro porque os Estados possuem um modelo regulatório-normativo diferente do Brasil.
Enquanto a União centraliza a competência legislativa no Brasil, os Estados Unidos permitem mais autonomia aos estados para legislar localmente devido à regulação descentralizada.
Nos EUA, não existem normas nacionais de proteção de dados, enquanto no Brasil, a LGPD é aplicada em todo o território nacional.
Portanto, ao buscar legislações de proteção de dados nos EUA, encontram-se normativas específicas como a CCPA e o NY SHIELD.
Entretanto, existem alguns órgãos que, a partir de sua expertise em determinados temas, acabam por apontar melhores práticas, tanto na perspectiva da privacidade, quanto da perspectiva de segurança impedindo vazamento de dados, que servem como base para estruturação de programas de governança de dados.
CISA
A CISA – Agência de cibersegurança e infraestrutura do Governo dos Estados Unidos da América (EUA) – possui como alguns de seus objetivos promover análises em face de riscos de informações, objetivando a defesa de ameaças cibernéticas.
O referido órgão elaborou algumas recomendações para casos de vazamento de dados provocados por ransomware, visto que pode muito ajudar empresas a estruturarem seus planos de resposta a incidentes.
No blog da Resh já alarmamos aos leitores sobre a nova cepa de ransomware (link:https://resh.com.br/blog/deepbluemagic-uma-nova-cepa-de-ransomware/).
A CISA estrutura suas recomendações a partir de 3 perspectivas: i) prevenção de ataques provocados por ransomware; ii) proteção de dados pessoais e sensíveis; iii) e responder aos vazamentos provocados por ransomware.
PREVENÇÃO DE ATAQUES PROVOCADOS POR RANSOMWARE
O órgão recomenda a manutenção de backups offlines, criptografados e testados regularmente, criação, manutenção e realização de exercícios básicos para resposta à incidentes; mitigação de vulnerabilidades nos interfaceamentos com a internet (softwares atualizados, scans regulares, dentre outros); reduzir o risco de e-mails phishing a partir do fortalecimento dos filtros de spam e utilização de antivírus e anti-malwares.
PROTEÇÃO DE DADOS PESSOAIS E SENSÍVEIS
Algumas das práticas recomendadas vão desde o conhecimento e organização dos dados pessoais e sensíveis que a organização tenha acesso, implementação de medidas físicas de segurança e implementação de medidas de segurança cibernéticas.
RESPONDER O VAZAMENTO DE DADOS PROVOCADOS POR RANSOMWARE
Não basta tão somente ter ciência do vazamento, é necessário respondê-lo. Para tanto, a CISA específica algumas ações que devem ser realizadas, por exemplo: identificar e isolar os sistemas impactados, realizar um processo de recuperação do sistema e documentar com a equipe de desenvolvimento as análises preliminares referentes a ocorrência.
CONCLUSÃO
Todas as medidas de boas práticas referente à vazamento de dados possuem interlocução com as boas práticas mencionadas no Art. 46 da LGPD. Portanto, é fortemente recomendável que tais condutas sejam avaliadas, refletidas para cada realidade e que seja elaborado um processo de organização e governança de dados documentado, para fins de atestar a boa-fé e maturidade de segurança.
¹https://www.cisa.gov/publication/protecting-sensitive-and-personal-information
²https://oag.ca.gov/privacy/ccpa
³https://www.nysenate.gov/legislation/bills/2019/s5575
⁴ https://www.cisa.gov/publication/protecting-sensitive-and-personal-information e https://www.cisa.gov/sites/default/files/publications/CISA_Fact_Sheet-Protecting_Sensitive_and_Personal_Information_from_Ransomware-Caused_Data_Breaches-508C.pdf
Por Leon Fagiani – Departamento de Compliance