Foi um grande ano para ataques cibernéticos, com milhões de australianos perdendo dados pessoais para criminosos experientes em tecnologia.
Nenhuma indústria ficou imune: o sector financeiro, os prestadores de cuidados de saúde e o governo australiano sofreram o maior número de ataques no primeiro semestre deste ano, custando às pessoas as suas informações privadas e, em alguns casos, as suas poupanças arduamente conquistadas.
As empresas também foram duramente atingidas e cada violação de dados pode custar milhões de dólares a uma empresa.
No mês passado, o Escritório do Comissário de Informação Australiano (OAIC) lançou um novo painel de estatísticas de Violações de Dados Notificáveis (NDB) para manter o público informado sobre o volume e o tipo de violações de dados ocorridas.
De janeiro a junho deste ano, foram registadas 532 violações de dados, das quais mais de metade foram causadas por um “ataque malicioso ou criminoso”.
Embora ainda não tenhamos dados finais para o segundo semestre do ano, parece que só piorou, com um porta-voz da OAIC dizendo à ABC que houve “mais notificações recebidas no segundo semestre do ano civil”.
Mas Vanessa Teague, professora associada da Escola de Engenharia, Computação e Cibernética da ANU, disse que a maior violação do ano pode ser aquela que nem sequer conhecemos.
Vanessa Teague diz que os ataques cibernéticos estão melhorando constantemente. (Fornecido: Vanessa Teague )
“Os ataques mais eficazes são os sub-reptícios… não há nenhuma razão específica para que uma intrusão seja detectada. Mesmo que o provedor de serviços a detecte, as pessoas afetadas podem não ser notificadas”, disse ele.
Então, o que você pode fazer para proteger seus dados e garantir que eles tenham a melhor chance de evitar uma violação? Os especialistas explicam isso.
Sem pagamentos de resgate
Quando a violação cibernética da Qantas ocorreu no início deste ano, afetando 5,7 milhões de clientes, um grupo de hackers no centro do ataque ameaçou divulgar dados pessoais na dark web se o resgate não fosse pago.
Vanessa Teague diz que as empresas não devem pagar resgates a hackers, pois isso apenas os incentiva a roubar novamente. (Pexels)
A ABC não acredita que tenha sido pago resgate neste caso, já que a Qantas anunciou que trabalhou com a polícia no assunto, e o Dr. Teague disse que as empresas não deveriam pagar resgates porque apenas incentivam os criminosos a agir novamente.
“O ransomware é um mercado altamente organizado; o dinheiro que ganham com um ataque é simplesmente redistribuído para melhorar seu desempenho em ataques subsequentes.“
Ele disse que as empresas não deveriam “apoiar” os cibercriminosos dessa forma.
“Pagar o resgate não protege os dados, simplesmente protege os responsáveis da vergonha pública, em detrimento do financiamento do próximo ataque”.
Carregando…
Responsabilidade corporativa
Nos últimos quatro anos, a Austrália recebeu entre 397 e 594 relatórios de violações de dados à OAIC a cada seis meses.
Um dos relatórios mais preocupantes é de fevereiro deste ano, quando uma das maiores clínicas de fertilidade da Austrália foi hackeada.
Em julho, o fornecedor de fertilização in vitro Genea Fertility confirmou que os registos médicos dos pacientes e dos doadores tinham sido publicados na dark web, causando angústia a muitos australianos, especialmente àqueles que mantiveram essa informação privada.
“Os ataques estão melhorando constantemente”, disse o Dr. Teague, mas observou que nossas defesas não estão acompanhando o ritmo.
Ele disse que o governo e as empresas podem fazer mais para reduzir as chances de centenas de violações no próximo ano, começando com a adição de criptografia à estrutura “Essential Eight” do governo australiano, que é uma lista básica de estratégias que as organizações devem usar para manter os dados seguros.
“É lamentável que (o governo) não mencione a criptografia de dados, porque isso ajudaria significativamente a mitigar os danos causados por uma violação de dados”.
ela disse.
A criptografia é o processo de “ocultar dados matematicamente” para que, quando enviados pela Internet, apenas o destinatário pretendido possa recuperá-los, pois possui a chave correta ao seu lado.
“Também é extremamente útil para os dados que você está armazenando, portanto, mesmo que um invasor exponha os dados criptografados, ele não será capaz de lê-los, a menos que também acesse a chave”, disse o Dr. Teague.
Ele também disse que a Lei de Privacidade poderia ser atualizada para responsabilizar “entidades públicas e privadas pela proteção da segurança e privacidade dos dados confiados aos seus cuidados”.
“Tudo o que fazemos para defender os nossos dados reduz eficazmente o risco de ataques cibernéticos. Não estamos a fazer nenhuma destas coisas.”
A Comissária de Privacidade, Carly Kind, também disse que as organizações devem tomar “todas as medidas razoáveis para proteger as informações e protegê-las contra violações e ataques cibernéticos”.
Carly Kind diz que as violações de dados ainda prevalecem na nossa era digital.
(Fornecido: OAIC)
“Elas vão desde medidas técnicas, como o investimento em segurança cibernética, até medidas de governança, como treinamento em privacidade para funcionários, políticas e protocolos robustos e compromisso do conselho com relação aos riscos de privacidade.”
Ele também disse que é importante que as empresas revejam os processos de coleta de dados e não retenham dados desnecessariamente.
“A retenção prolongada de dados além do razoável continua a ser um fator agravante nas violações de dados.“
Carregando…
Etapas que você pode seguir para proteger seus dados
Quando as pessoas investem seu dinheiro em um fundo de aposentadoria, não esperam que hackers roubem milhares de dólares.
Mas em Abril deste ano, o órgão da indústria de pensões, a Associação de Fundos de Pensões da Austrália, disse que vários fundos sofreram tentativas de ataques cibernéticos.
O maior superfundo, o AustralianSuper, sofreu 600 tentativas de ataques cibernéticos num mês e quatro dos seus membros perderam 500 mil dólares.
Embora o Dr. Teague tenha dito que “não há nada que você possa fazer para proteger seus dados depois de entregá-los”, há uma série de medidas preventivas que você pode tomar para reduzir suas chances de se envolver em uma violação no futuro.
A primeira é “evitar entregar dados indesejados”, usando mecanismos criptografados de ponta a ponta para mensagens de texto, chamadas e vídeos, incluindo Signal, iMessage, Facetime e WhatsApp.
Ele disse que mensagens SMS simples não são tão seguras porque a criptografia é feita entre o indivíduo e a companhia telefônica “geralmente de uma forma que a companhia telefônica possa lê-la”, pois “a criptografa novamente antes de enviá-la ao destinatário”.
O mesmo se aplica a chamadas telefônicas normais e também ao enviar e-mails de plataformas como Outlook e Gmail, porque a mensagem é criptografada entre você e o provedor de e-mail, o que significa que eles ainda podem ler seus e-mails.
“Em todos esses casos, um bisbilhoteiro na Internet não consegue ler a mensagem, mas a plataforma/provedor consegue”, disse o Dr. Teague.
Ele também disse que usar “um navegador que preserva a privacidade, como Firefox ou Safari, com um bom bloqueador de anúncios” pode ajudar a proteger seus dados.
As pessoas também nem sempre precisam dizer sim ao upload de dados, disse Teague. Por exemplo, um close do seu rosto ou uma cópia da sua carteira de motorista.
“Não forneça sua data de nascimento real se não for necessário e não carregue informações que o serviço não necessita.”
