Boas práticas para responder vazamento de dados provocados por Ransomware

Por Leon Fagiani – Departamento de Compliance

A compreensão da necessidade de preparo e amadurecimento quanto ao tema de cibersegurança normalmente se dá após o dano ocorrido. Especialmente quanto a maturidade de segurança da informação, é necessário admitir que alguns órgãos e países possuem maior maturidade, prudência e responsabilidade do que outros.

Assim, é recomendável que, a fim de buscar aprofundamento e estruturação de planos de respostas à incidente, ou para adoção de boas práticas de segurança da informação, sejam utilizadas perspectivas e referências internacionais, especialmente de órgãos especializados na temática da segurança da informação.

Neste artigo, recomendaremos a publicação da Cybersecurity & Infrastructure Security Agency (CISA): Protecting Sensitive and Personal Information from Ransomware-Caused Data Breaches.

Entretanto, antes de adentrar a publicação em si, é preciso realizar um esclarecimento.

Ao se falar de normatização sobre o tema da proteção de dados, a perspectiva dos Estados Unidos é distinta do Brasil.

Primeiro porque os Estados possuem um modelo regulatório-normativo diferente do Brasil. 

Enquanto aqui há uma concentração de competência legislativa da UNIÃO – âmbito federal – a regulação estadunidense é mais descentralizada, restando aos Estados maior discricionariedade ao legislar sobre temas de interesses locais.

Assim, ainda não há o que se falar em normas NACIONAIS de proteção de dados nos EUA, ao mesmo tempo que no Brasil possuímos a LGPD, que deve ser aplicada em todo território brasileiro.

Por essa razão, ao buscar legislações protetivas de dados pessoais norte-americanas, é possível de encontrar normativas específicas, tal como a California Consumer Privacy Act (CCPA) e o New York Stop Hacks and Improve Electronic Data Security Act (NY SHIELD).

Entretanto, existem alguns órgãos que, a partir de sua expertise em determinados temas, acabam por apontar melhores práticas, tanto na perspectiva da privacidade, quanto da perspectiva de segurança, que servem como base para estruturação de programas de governança de dados.

Um ótimo exemplo é a CISA.

A CISA – Agência de cibersegurança e infraestrutura do Governo dos Estados Unidos da América (EUA) – possui como alguns de seus objetivos promover análises em face de riscos de informações, objetivando a defesa de ameaças cibernéticas.

O referido órgão elaborou algumas recomendações para casos de vazamento de dados provocados por ransomware, que pode em muito ajudar empresas a estruturarem seus planos de resposta a incidentes.

No blog da Resh já alarmamos aos leitores sobre a nova cepa de ransomware (link: https://resh.com.br/blog/deepbluemagic-uma-nova-cepa-de-ransomware/).

A CISA estrutura suas recomendações a partir de 3 perspectivas: i) prevenção de ataques provocados por ransomware; ii) proteção de dados pessoais e sensíveis; iii) e responder aos vazamentos provocados por ransomware.

  1. PREVENÇÃO DE ATAQUES PROVOCADOS POR RANSOMWARE

O órgão recomenda a manutenção de backups offlines, criptografados e testados regularmente, criação, manutenção e realização de exercícios básicos para resposta à incidentes; mitigação de vulnerabilidades nos interfaceamentos com a internet (softwares atualizados, scans regulares, dentre outros); reduzir o risco de e-mails phishing a partir do fortalecimento dos filtros de spam e utilização de antivírus e anti-malwares.

  1. PROTEÇÃO DE DADOS PESSOAIS E SENSÍVEIS

Algumas das práticas recomendadas vão desde o conhecimento e organização dos dados pessoais e sensíveis que a organização tenha acesso, implementação de medidas físicas de segurança e implementação de medidas de segurança cibernéticas.

  1. RESPONDER O VAZAMENTO DE DADOS PROVOCADOS POR RANSOMWARE

Não basta tão somente ter ciência do vazamento, é necessário respondê-lo. Para tanto, a CISA específica algumas ações que devem ser realizadas, tais como identificar e isolar os sistemas impactados, realizar um processo de recuperação do sistema e documentar com a equipe de desenvolvimento as análises preliminares referentes a ocorrência.

CONCLUSÃO

Todas as medidas de boas práticas referente à vazamento de dados possuem interlocução com as boas práticas mencionadas no Art. 46 da LGPD. Portanto, é fortemente recomendável que tais condutas sejam avaliadas, refletidas para cada realidade e que seja elaborado um processo de organização e governança de dados documentado, para fins de atestar a boa-fé e maturidade de segurança.

¹https://www.cisa.gov/publication/protecting-sensitive-and-personal-information
²https://oag.ca.gov/privacy/ccpa
³https://www.nysenate.gov/legislation/bills/2019/s5575
⁴ https://www.cisa.gov/publication/protecting-sensitive-and-personal-information e https://www.cisa.gov/sites/default/files/publications/CISA_Fact_Sheet-Protecting_Sensitive_and_Personal_Information_from_Ransomware-Caused_Data_Breaches-508C.pdf