Pular para a barra de ferramentas
Tecnologia

Como decodificar um aviso de violação de dados –

Ao longo dos anos, vi centenas, provavelmente milhares, de notificações de violação de dados, avisando que os dados de uma empresa foram perdidos, roubados ou deixados on-line para qualquer um tomar.

A maioria deles parece praticamente a mesma. É meu trabalho decodificar o que eles realmente significam para as vítimas cujas informações são colocadas em risco.

As notificações de violação de dados têm {como} finalidade informar o que aconteceu, quando e qual o impacto que isso pode possuir sobre você. Você provavelmente já viu alguns esse ano. Isso ocorre porque a maioria dos estados dos EUA tem leis que obrigam as empresas a publicar publicamente incidentes de segurança, {como} violação de dados, o mais rápido provável. As regras da Europa são mais rígidas e multas podem ser uma ocorrência geral se as violações não forem divulgadas.

Porém as notificações de violação de dados tornaram-se um treino muito regular nas comunicações de crise. Esses avisos tentam cada vez mais desviar a culpa, ofuscar detalhes importantes e omitir fatos importantes. Finalmente, é do interesse de uma empresa manter as bolsas de valores felizes, os investidores satisfeitos e os reguladores em suas costas. Por que iria querer manifestar um pouco em contrário?

Na próxima vez que você receber uma notificação de violação de dados, leia nas entrelinhas. Ao saber as linhas de besteira comuns a serem evitadas, você pode entender as perguntas que precisa realizar.

“Levamos a segurança e a privacidade a sério.”
Leia: “Nós claramente não”.

Uma frase frequentemente apresentada nas notificações de violação de dados, escrevemos sobre empresas que levaram a segurança e a privacidade “a sério” no ano pretérito. Descobrimos que {cerca} de um terço de todos os avisos apresentados ao procurador-geral da Califórnia em 2019 apresentavam alguma variação dessa risca. A verdade é que a maioria das empresas mostrou pouca pesar ou se preocupa com a privacidade ou a segurança dos seus dados, porém se preocupa em explicar aos clientes que seus dados foram roubados. É uma frase vazia e usada demais que não significa {nada}.

“Descobrimos recentemente um incidente de segurança …”
Leia: “Outra pessoa encontrou, porém estamos tentando realizar o controle de danos”.

Parece bastante inofensivo, porém é uma reparo significativo para assestar. Quando uma empresa diz que “descobriu recentemente” um incidente de segurança, pergunte quem realmente relatou o incidente. Com frequência, é um repórter – {como} eu – que entra em contato para comentar porque um hacker deixou um registro contendo o banco de dados de clientes e agora a empresa está se esforçando para se apropriar do incidente, porque parece melhor do que a empresa no escuro.

“Um sujeito não autorizado …”
Leia: “Não sabemos quem é o culpado, porém não nos culpam”.

Essa é uma das partes mais controversas de uma notificação de violação de dados e se resume a uma pergunta simples: quem foi o culpado por um incidente de segurança? Legalmente falando, “aproximação não autorizado” significa que alguém invadiu ilegalmente um sistema, geralmente usando a senha de outra pessoa ou ignorando a tela de login. Porém as empresas geralmente entendem inexato, ou não podem – ou não querem – enobrecer se um incidente foi ou não malicioso. Se um sistema foi exposto ou deixado on-line sem uma senha, você culpará a empresa por controles de segurança relaxados. Se um pesquisador de segurança de boa fé encontrar e relatar um sistema desprotegido, por exemplo, não há motivos para descrevê-lo {como} um ator malicioso. As empresas gostam de mudar a culpa, assim sendo, mantenha a mente ocasião.

“Tomamos medidas imediatas …”
Leia: “Entramos em ato … deste modo que descobrimos”.

Os hackers nem sempre são pegos em flagrante. Em muitos casos, a maioria dos hackers já se foi há muito tempo quando uma empresa descobre uma violação. Quando uma empresa diz que tomou medidas imediatas, não presuma que seja a partir do momento da violação. A Equifax disse que “agiu imediatamente” para interromper sua invasão, que viu os hackers roubarem quase 150 milhões de registros de crédito dos consumidores. Porém os hackers já estavam em seu sistema há dois meses antes de Equifax encontrar a diligência suspeita. O que realmente importa é quando o incidente de segurança começou; quando a empresa soube do incidente de segurança; e quando a empresa informou os reguladores sobre a violação?

“Nossa investigação judiciario mostra …”
Leia: “Pedimos a alguém que nos dissesse {como} estamos fodidos”.

Os respondentes de incidentes ajudam a entender {como} ocorreu uma invasão ou violação de dados. Isso ajuda a empresa a receber seguro cibernético e evita que uma violação semelhante aconteça novamente. Porém algumas empresas usam o termo “judiciario” vagamente. As investigações internas não são transparentes ou responsáveis, e seus resultados raramente são examinados ou publicados, enquanto os respondentes são independentes, assessores qualificados que informarão a empresa o que ela precisa ouvir e não o que ela quer ouvir – mesmo que suas descobertas ainda permaneçam. privado.

“Com muita cautela, queremos informá-lo sobre o incidente.”
Leia: “Fomos forçados a lhe narrar.”

Não pense por um segundo que uma empresa está fazendo “a coisa certa”, divulgando um incidente de segurança. Nos EUA e na Europa, as empresas não têm escolha. A maioria dos estados possui alguma forma de uma lei de notificação de violação de dados que obriga as empresas a publicar incidentes que afetam um determinado número de residentes e supra. Deixar de publicar uma violação pode levar a penalidades massivas. Basta olhar para o Yahoo (que, {como} o , é de propriedade da Verizon), que foi multado em US $ 35 milhões em 2018 por um regulador federalista dos EUA por não publicar uma de suas violações de dados que viu 500 milhões de contas de usuário roubadas.

“Um sofisticado ataque cibernético …”
Leia: “Estamos tentando não parecer tão estúpidos quanto realmente somos”.

Só porque uma empresa diz que foi atingido por um ataque cibernético “sofisticado” não significa que foi. É uma hipérbole, projetada para servir {como} uma enunciação de “máscara” para minimizar um incidente de segurança. O que realmente lhe diz é que a empresa não tem idéia de {como} o ataque aconteceu. Finalmente, algumas das maiores violações da história ocorreram devido a sistemas sem patches, senhas fracas ou porque alguém clicou em um email malicioso.

“Não há evidências de que os dados foram coletados.”
Leia: “Isso nós sabemos.”

“Nenhuma evidência” não significa que um pouco não aconteceu, é que ainda não foi visto. Ou a empresa não está olhando o suficiente ou não sabe. Mesmo que uma empresa diga que “não há provas” de que os dados foram roubados, vale a pena perguntar {como} chegou a essa peroração.

“Uma pequena porcentagem de nossos clientes é afetada.”
Leia: “Parece muito pior se dissermos ‘milhões’ de usuários”.

Na próxima vez que você vir uma notificação de violação de dados informando que somente uma “pequena porcentagem” de clientes é afetada por uma violação, reserve um minuto para pensar no que isso realmente significa. Houzz admitiu uma violação de dados em janeiro de 2019, na qual afirmou que “alguns de nossos dados de usuários” foram capturados. Meses depois, um hacker publicou {cerca} de 57 milhões de registros de usuários Houzz. O Last.fm, de propriedade da CBS, da mesma forma disse em 2012 que “algumas” de suas senhas foram roubadas em uma violação. Mais tarde, chegou a 43 milhões de senhas. Se uma empresa não diz quantas pessoas são afetadas, é porque elas não sabem – ou não querem que você saiba.

Deixe uma resposta

Fechar
Fechar