Segurança de dados e privacidade de informações: como as tecnologias podem ajudar?

Com escândalos de vazamento e sequestro de informações cada vez mais recorrentes, tornou-se ainda mais importante falar sobre privacidade e segurança de dados. Um dos casos mais recentes aconteceu no início deste ano, com a divulgação da notícia sobre o uso indevido de dados coletados do Facebook pela consultoria política Cambridge Analytica. A empresa atuava com mineração e análise de dados em conjunto com comunicação estratégica para processos eleitorais. Assim, como foi colocado na reportagem do jornal britânico The Guardian, a consultoria havia colaborado com a equipe do atual presidente dos Estados Unidos, Donald Trump, e utilizou os dados obtidos via rede social para criar um software capaz de prever e influenciar a escolha dos eleitores nas urnas.

A consequência disso para o Facebook foi bilionária. Suas ações nos Estados Unidos despencaram, representando uma perda de mais de US$ 70 bilhões em valor de mercado em menos de 10 dias, de acordo com a Bloomberg News. Em março, o Facebook anunciou que iria encerrar as parcerias que tinha com grandes provedores de dados, que ajudavam os anunciantes a enviarem propagandas segmentadas para os usuários. No Brasil, por exemplo, um dos parceiros era o Serasa Experian. Já a Cambridge Analytica anunciou o fim das operações em maio. O caso envolvendo a rede social trouxe à tona a discussão sobre a existência de uma linha tênue entre coleta, utilização e segurança de dados.

A Refinaria de Dados é uma startup que oferece serviços relacionados à data science e possui três eixos de coleta de dados:

1. Fontes públicas;
2. Fedes sociais;
3. Cookies digitais, por meio de históricos de navegação, que são autorizados previamente pelos usuários.

A partir deles, a Refinaria estabelece um comportamento e trazem informações de relacionamento para o cliente poder interagir com as pessoas. Segundo o CEO da startup, Rafael Zenorini, a discussão sobre a vulnerabilidade de dados disponíveis tanto nas redes sociais quanto na internet como um todo é importante para que as empresas possam proteger os dados que são coletados de seus consumidores. Entretanto, Zenorini acredita que, ao mesmo tempo que já há maturidade para ser aplicada a ciência de dados no ambiente corporativo, ainda estamos atrasados quanto à segurança de informação e privacidade de dados. Não só as empresas precisam tomar cuidado, mas os consumidores também.

As pessoas não podem mais acessar suas contas no banco em uma rede de internet pública, por exemplo. É preciso entender que toda informação, todo dado e todo pacote que está sendo trafegado em uma rede está sendo monitorado, vigiado, por qualquer um que tenha acesso àquela rede”.

Vazamento de dados

Assim como é tratado no relatório The 2017 State of Privacy and Trust, da Gigya, os consumidores estão cada vez mais conscientes sobre seus direitos à privacidade e estão constantemente se informando sobre vazamento de dados e riscos digitais. Dos entrevistados para a pesquisa, 68% deles afirmaram não confiar em empresas para manipular suas informações pessoais, como nome, estado civil, e-mail, endereço, telefone, entre outros. Além disso, 63% tem conhecimento de que são responsáveis por proteger suas próprias informações e, após confirmado algum vazamento, 62% afirmou mudar suas senhas, 32% deles adicionaram um segundo fator de autenticação e 18% encerrou a conta.

Já o levantamento Privacy & Security Report, realizado pela RSA, mostra que 73% dos entrevistados têm mais conhecimento sobre vazamento de informações se comparado há 5 anos. Da mesma forma, 54% deles afirmaram que estariam menos dispostos a comprar produtos ou serviços de marcas que já tivessem manipulado os dados de forma equivocada e 82% dos britânicos afirmaram que “boicotariam” uma empresa que repetidamente demonstrasse despreocupação com proteção de dados. No Brasil também há essa preocupação.

De acordo com a pesquisa Global Consumer Pulse, divulgada neste ano pela Accenture Strategy, 45% dos brasileiros entrevistados afirmaram se preocupar com seus dados pessoais na hora de assinar serviços inteligentes, feitos para atender e antecipar seus desejos e necessidades. Além disso, 79% esperam que as empresas sejam abertas e transparentes com a manipulação dos dados pessoais.

A preocupação com os dados privados faz com que iniciativas regulatórias, como o GDPR (General Data Protection Protection Regulation ou Regulamento Geral de Proteção de Dados em português) sejam criadas. A regulamentação entrou em vigor em maio deste ano e consiste em proteger os dados e privacidade para todos os indivíduos da União Europeia. Ela tem como objetivo permitir que os cidadãos tenham controle sobre seus dados pessoais, tornando obrigatório que as empresas informem o período em que os dados serão guardados e para quais fins serão usados, além de tornar ainda mais rígida a solicitação e, consequentemente, o consentimento do uso das informações.

A relevância do regulamento se dá pelas mudanças que este promoverá ao ambiente de negócios. Para Rafael Zenorini, da Refinaria de Dados, as startups precisarão se preparar para mudanças. Além disso, ele ainda acredita que atualmente elas não têm estrutura e condições favoráveis para fazer isso acontecer.

Essa nova lei que está sendo promulgada na União Europeia fará com que os novos negócios saibam manobrar suas estruturas para atender os clientes”, afirma.

Da mesma forma, de acordo com predições da Forrester, 80% das empresas não cumprirão as normas do GDPR e 50% delas provavelmente escolherão não cumprir, alegando que os custos com compliance poderiam ser maiores do que os custos dos riscos.

Carla de Bona, professora do MBA da FIAP e Consultora de UX/UI, acredita que a crescente discussão sobre coleta e uso de dados de forma consciente se torna ainda mais importante por conta de uma mudança de comportamento. “Estamos começando a levar cibersegurança mais a sério e as empresas estão se preocupando mais com a garantia da segurança. Com certeza não irão considerar mais essa temática com superficialidade”, afirma. 

Carla ainda comenta que a prática de aceitar termos de uso e de privacidade em sites sem ler o conteúdo ou compartilharmos nossas informações sem entendermos o motivo será gradualmente deixada de lado.

Com o tempo passamos a perceber que o domínio dos dados pessoais faz com que as empresas consigam massificar ações. Começamos a ficar preocupados sobre como isso pode ser usado para manipular a sociedade. Não acho que vai ser imediatamente, mas esse movimento afetará a relação dos clientes com as empresas”, continua.

A maior preocupação, tanto dos clientes quanto das corporações, segundo ela, é o que e como fazer para prevenir o roubo dessas informações, uma vez que muitas vezes ficam armazenadas em nuvens.

Segurança de dados na nuvem

A pesquisa Navigating a Cloudy Sky, da McAfee mostra que 97% das empresas já usam serviços em nuvem, sejam elas privadas, públicas ou híbridas, sendo que 83% dos dados contidos nelas são classificados como sensíveis ou estratégicos para as corporações. O relatório ainda mostra que 25% das empresas entrevistadas já tiveram seus dados roubados de nuvens públicas e 20% já sofreu de ataques avançados em suas infraestruturas. Para os entrevistados, os benefícios da nuvem ainda são maiores do que os riscos: 90% deles afirmaram confiar na tecnologia mais do que confiavam no ano anterior e passaram a entender melhor a questão sobre compartilhamento de responsabilidade.

Ao mesmo tempo, as empresas que utilizam as clouds esperam dos provedores de nuvem que os ajudem no compliance regulatório do GDPR. As principais preocupações delas quanto à IaaS (Infrastructure as a service ou Infraestrutura como serviço, em português) se dá pelas seguintes razões

1. Falta de pessoas especializadas para proteger a infraestrutura da cloud;
2. Falta de visão sobre o que está sendo armazenado;
3. Falta de controle sobre quem pode acessar o conteúdo, roubo dos dados e inabilidade de prevenir atacantes ou mal uso dos dados.

Blockchain

A tecnologia de blockchain, assim como foi levantado pelo portal CSO, pode ser usada em cibersegurança por meio de proteção de dispositivos edge com autenticação, aumento da confidencialidade e integridade dos dados, maior segurança nas mensagens privadas, melhoria ou até substituição PKI (Public Key Infraestructure) e maior segurança do DNS. E grandes corporações já perceberam os benefícios de se usar blockchain como forma de proteção de seus serviços e infraestrutura.

O Itaú, no início deste ano, implantou a tecnologia em uma de suas operações financeiras. Em entrevista ao portal G1, o diretor de operações do Itaú, Cristiano Cagne, afirmou que essa é “uma tecnologia em que a gente aposta, olhando a força da segurança e da criptografia que ela tem, além da forma transparente com que as transações podem acontecer, o que dá maior visibilidade para todos os integrantes”. A utilização do blockchain pelo banco se dá para registrar as margens de garantias de derivativos negociados em balcão. As operações são contratadas por investidores que têm com objetivo se proteger da variação de um ativo futuramente. Assim como coloca a reportagem do G1, “o derivativo prevê uma margem segura de flutuação da cotação. Como os pagamentos são feitos apenas ao final da vigência do acordo, o contratante tem que fazer um depósito assim que a operação é realizada. Ou seja, dá uma garantia de que vai saldar a dívida. Só que esse valor muda conforme a oscilação do preço do ativo que dá lastro ao contrato e com uma fórmula acordada entre as partes”. Segundo o executivo, o Itaú foi o primeiro a usar a tecnologia no país.

O Santander lançou, em 2015, a primeira introdução de blockchain para pagamentos internacionais no Reino Unido com o lançamento de um novo aplicativo. A tecnologia é usada para facilitar as transações e é fornecida pela Ripple, startup fundada em 2012 na Califórnia, Estados Unidos. A Ripple foi investida pelo Santander InnoVentures em 2015 em uma rodada Series A. Ela participou de 10 rodadas de investimento nas quais levantou, no total, US$ 93.6 milhões. Em nota à imprensa, o banco afirmou que “em consonância com todas as novas tecnologias lançadas pelo Santander, a segurança é de suma importância. A segurança e a conformidade regulatória são fundamentais para todas as atividades realizadas no Santander e este aplicativo passou pelos mesmos testes rigorosos que toda a nova tecnologia realiza antes da implementação”.

Além disso, o blockchain pode ser usado em cibersegurança como uma forma de prevenção ou redução de ataques DDoS (Ataque Distribuído de Negação de Serviço ou Distributed Denial of Service, em inglês), assim como foi apontado pelo portal CSO. De acordo com a pesquisa CEO Survey, realizada pela PWC, divulgada em 2018, as ameaças cibernéticas se tornaram uma temática ainda mais importante para os CEOs. Em 2017, 24% dos entrevistados afirmaram estar preocupados com elas, enquanto que em 2018, 40% passou a voltar as atenções para segurança digital e privacidade de dados. Tais temáticas se tornaram a quarta maior preocupação deles, além de regulamentações excessivas, terrorismos e incertezas geopolíticas. Analisando por regiões, a consultoria identificou que na América do Norte as ameaças digitais são a principal preocupação dos entrevistados, enquanto que, na América Latina, a questão não aparece entre os principais itens.

Efeito corporativo dos ciberataques

Segundo o relatório anual sobre cibersegurança da Cisco, as empresas têm receio quanto à temática por conta dos custos dos ataques. Isso, pois elas demoram meses ou até anos para se recuperarem dos danos, tanto em termos financeiros quanto em reputação do negócio. De acordo com o estudo, 53% dos entrevistados afirmaram ter tido ataques que resultaram em perdas financeiras com valores maiores do que US$ 500 mil, referentes à perda de clientes, de receita e oportunidades. 8% deles afirmaram ter prejuízos de mais de US$ 5 milhões.

É por essa razão que as empresas estão buscando investir mais em segurança digital. A consultoria Gartner estima que os investimentos em cybersecurity poderão chegar a US$ 96 bilhões em 2018, 8% a mais do que no ano anterior. Desse valor, mais de US$ 55 bilhões serão investidos em serviços de segurança. Segundo a Gartner, tal crescimento se dá não só por uma maior preocupação com ataques e vazamento de informações, mas também por conta da pressão de conformidades regulatórias relacionadas à privacidade de dados. A consultoria ainda prevê que, até 2020, mais de de 60% das organizações irão investir em múltiplas ferramentas de segurança de dados, como prevenção de perda de dados, criptografia e de proteção e auditoria centradas em dados, nas quais, atualmente, apenas 35% das empresas investem.

Ao mesmo tempo, são poucas as companhias que estão preparadas para lidar com ransomwares (considerado pela Avast como um software que “restringe o acesso ao sistema do computador e pede que um resgate seja pago para que a restrição seja removida”) e roubo de dados. Em maio do ano passado um ciberataque de escala mundial atingiu empresas de 74 países. De acordo com a Avast, mais de 78 mil ações hackers foram registradas. Os atacantes sequestraram dados e pediram o resgate em bitcoins por meio de um vírus que, segundo investigações, eram uma variação do malware WannaCry, que criptografa documentos e informações dentro de uma máquina e pede um resgate financeiro para liberar o sistema.

No Brasil, o ciberataque afetou o Tribunal de Justiça de São Paulo (TJ-SP), que ficou parado durante uma tarde inteira. O Itamaraty, Petrobras, Ministério do Trabalho, Ministério Público de São Paulo e o INSS informaram ao UOL que desligaram suas redes e computadores como forma de precaução, e a Telefônica Brasil também foi afetada, como circulou rumores nas redes sociais. Em outubro, outro caso de ciberataque atingiu mais de 200 empresas e instituições na Rússia e Ucrânia. Segundo a Kaspersky, o responsável por ele foi o vírus BadRabbit, que foi dispersado por meio da abertura manual de um arquivo que infectava as máquinas.

Saiba o que Cristiane Vargas, IT Leader na Serasa Experian, fala sobre Segurança e Privacidade de Dados:

A Serasa Experian acredita que, em um momento em que leis, políticas e regulações em torno de segurança e privacidade de dados estão amadurecendo, deve ser líder na discussão de uso ético dos dados. Garantir a segurança e privacidade dos dados é importante, pois um dos pilares de valor da companhia é a confiança que os clientes depositam em nós. Temos que ser proativos em relação a questões tão sensíveis como dados pessoais e não reativos. Para garanti-los aos clientes utilizamos de múltiplas criptografias e plataformas inteiramente auditáveis. Para isso, além de trabalharmos muito com times colaborativos, modelos visuais e com o manifesto ágil, também estamos sempre abertos a colaborar com startups, que podem se apresentar ao DataLab ou participar dos Experience Jams que organizamos periodicamente.

Cristiane Vargas, IT Leader na Serasa Experian:

Ao mesmo tempo, 48% dos entrevistados pela pesquisa IT Risk Report, divulgado pela Kaspersky, afirmaram ter sofrido mais ciberataques do que no ano anterior, sendo que 91% deles afirmaram ter tido pelo menos uma experiência no último ano. Entretanto, 30% deles admitiu não ter implementado completamente um software anti-malware e 45% confessa não estar preparado para lidar com ciberataques.

É pelo conjunto de dificuldades e desafios que muitas empresas que possuem sistemas de segurança acabam negligenciando os alertas de segurança que são enviados, de acordo com a Cisco. Das que recebem avisos diários, 44% afirmou não investigar o motivo. Já as que investigam, afirmaram que 34% deles geralmente são legítimos e que somente 51% deles são remediados. Os motivos, segundo os entrevistados, são a falta de um responsável e de uma equipe treinada para investigar os alertas e falta de conhecimento do vazamento de informações.

Soluções tecnológicas

Novos negócios, como a Biocatch, surgem dessa necessidade de mercado. A startup, que foi criada em 2011 em Tel Aviv, Israel, coleta e analisa parâmetros comportamentais, cognitivos e psicológicos para gerar um perfil único de seus usuários com o objetivo de identificar e impedir fraudes. A Biocatch é capaz de mensurar o tamanho da palma, o tremor da mão e a coordenação dos olhos para autenticar os usuários em seus dispositivos móveis. Monitorando mais de 5 milhões de transações mensalmente, analisa como as informações são inseridas para que sejam gerados alertas em tempo real de possíveis malwares robóticos.

A startup foi acionada por uma das 5 maiores emissoras globais de cartões de crédito e, assim como contam no estudo de caso, tornaram os alertas de fraude 50% melhores e alertaram 100% dos acontecimentos suspeitos no site por meio da implementação da tecnologia da startup no fluxo online do cliente. A Biocatch já participou de 4 rodadas de investimento nas quais, no total, arrecadou US$ 41 milhões. Alguns de seus investidores são a American Express Ventures e a CreditEase.

Startups brasileiras, como a NoLeak, fundada em 2017, também atuam na detecção dados roubados ou comprometidos, como logins e senhas, permitindo que as empresas possam agir e prevenir perdas e danos. Tais práticas têm se tornado uma tendência, de acordo com o relatório Data Breach Investigations 2018, da Verizon. Segundo a pesquisa, 63% dos casos confirmados de vazamento envolveram senhas padrões, fracas ou roubadas. A razão disso se dá pelas organizações usarem fatores únicos de autenticação por não quererem alterar a experiência do usuário, implementando multi-fatores de autenticação.

Rafael Libardi, fundador e diretor executivo da startup, acredita que a solução dá poder aos administradores de TI das empresas para gerenciar as senhas e evitar que os colaboradores utilizem combinações falsas ou vazadas. Para Rafael, há espaço para novos negócios em cibersegurança e privacidade de dados no Brasil, apesar de o país ainda precisar amadurecer a discussão sobre tais temáticas. “Não temos a necessidade de reportar casos de invasão. Dessa forma, muitas empresas que sofrem de ataques digitais mantêm o ocorrido em sigilo. Elas evitam falar sobre isso para não comprometer a imagem e a marca”, diz.

Muitas empresas brasileiras ainda interpretam cibersegurança como custo e não como um investimento para proteção e diminuição de riscos. Normalmente só se preocupam quando sofrem ataques ou quando têm seus dados vazados”, diz.

Assim, além de enfrentarem desafios técnicos para terem acesso aos dados dos atacantes, vender cibersegurança para as corporações brasileiras também é uma das dificuldades enfrentadas pela NoLeak, de acordo com Rafael.

Leia mais sobre o que Rafael Libardi, CEO da NoLeak Cybersecurity, fala sobre a startup e Segurança de Dados:

Identificamos a oportunidade de criar a NoLeak há um ano, depois de conseguirmos acesso às comunidades de atacantes tanto do Brasil quanto de fora. A partir da detecção de mais de 5 bilhões de senhas vazadas e após ver de perto a dificuldade dos nossos clientes em conscientizarem e protegerem seus colaboradores em relação à segurança das senhas, tivemos a ideia de criar um serviço para protegê-los. Ao detectar um vazamento, nossa aplicação consegue atuar no cliente para protegê-lo e diminuir seus riscos. Vemos oportunidade para crescermos no Brasil e, no futuro, expandir para outros países. A nossa base é atualizada diariamente por meio de robôs inteligentes que procuram por dados expostos na internet e na deep web e que atuam quando há um novo vazamento. Atualmente, nossa base contém mais de 5 bilhões de dados de vazamentos e, em um dia, já chegou a encontrar um vazamento com mais de 1 milhão de dados.

Rafael Libardi, CEO da NoLeak Cybersecurity[/toggle]

Outra tendência apontada pelo 2018 Cyber Defenders, do CB Insights, é a utilização de softwares que utilizam inteligência artificial para prever e identificar ciberataques. De acordo com a Webroot, 87% dos profissionais norte-americanos especialistas em cibersegurança entrevistados afirmaram que suas empresas usam machine learning como parte da estratégia de segurança. Além disso, 72% deles acreditam que nos próximos três anos não será possível proteger as informações e dados sem a inteligência artificial, que [highlight color=”pink”]pode ajudar a cibersegurança das organizações por conseguirem identificar as ameaças, controlar ou limitar os danos de ataques maliciosos e reduzir os alertas “falsos-positivos”.

Saiba o que os profissionais de grandes empresas e especialistas estão falando sobre o tema em entrevistas completas aqui

Conheça também outras startups que apresentam soluções para Segurança de Dados e Privacidade de Informações: