Foi um grande ano de ataques cibernéticos, com milhões de australianos perdendo dados pessoais para criminosos experientes em tecnologia.
Nenhuma indústria ficou imune, com a setor financeiro, prestadores de serviços de saúde e o governo australiano assistimos ao maior número de ataques no primeiro semestre deste ano – custando às pessoas as suas informações privadas e, em alguns casos, poupanças arduamente conquistadas.
Também houve grandes sucessos para as empresas, com cada violação de dados custando potencialmente milhões de dólares a uma empresa.
No mês passado, o Gabinete do Comissário de Informação Australiano (OAIC) lançou um novo painel de estatísticas de Violações de Dados Notificáveis (NDB) para manter o público informado sobre o quantity e o tipo de violações de dados ocorridas.
De janeiro a junho deste ano, foram registradas 532 violações de dados, sendo mais da metade causada por “ataque malicioso ou criminoso”.
Embora ainda não tenhamos os dados finais para o segundo semestre do ano, a situação apenas parece ter piorado, com um porta-voz da OAIC a dizer ao ABC que mais notificações foram “recebidas no segundo semestre do ano civil”.
Mas Vanessa Teague, professora associada da Faculdade de Engenharia, Computação e Cibernética da ANU, disse que a maior violação do ano pode ser aquela que nem sequer conhecemos.
Vanessa Teague diz que os ataques cibernéticos estão melhorando constantemente. (Fornecido: Vanessa Teague )
“Os ataques mais eficazes são sub-reptícios… não há nenhuma razão específica para uma intrusão ser notada. Mesmo que seja notada pelo fornecedor de serviços, as pessoas afectadas podem não ser notificadas”, disse ela.
Então, o que alguém pode fazer para proteger seus dados e garantir que eles tenham a melhor probability de evitar uma violação? Os especialistas explicam.
Sem pagamentos de resgate
Quando a violação cibernética da Qantas aconteceu no início deste ano, afetando 5,7 milhões de clientes, um grupo de hackers no centro do ataque ameaçou divulgar dados pessoais na darkish net se o resgate não fosse pago.
Vanessa Teague diz que as empresas não devem pagar resgates aos hackers, pois isso apenas os incentiva a roubar novamente. (Pexels)
A ABC não acredita que um resgate tenha sido pago neste caso, já que a Qantas anunciou que trabalhou com a polícia no assunto, e o Dr. Teague disse que as empresas não deveriam pagar resgates porque apenas incentivam os criminosos a agir novamente.
“O ransomware é um mercado altamente organizado, o dinheiro obtido com um ataque é simplesmente redistribuído para melhorar seu desempenho em ataques subsequentes.“
Ela disse que as empresas não deveriam “apoiar” os criminosos cibernéticos dessa forma.
“Pagar o resgate não faz nada para proteger os dados, simplesmente protege os responsáveis do constrangimento público, ao custo de financiar o próximo ataque”.
Carregando…
Ônus sobre as empresas
Nos últimos quatro anos, a Austrália viu entre 397 e 594 relatos de violações de dados à OAIC a cada seis meses.
Um dos relatos mais angustiantes vem de fevereiro deste ano, quando uma das maiores clínicas de fertilidade da Austrália foi hackeada.
Em julho, o fornecedor de fertilização in vitro Genea Fertility confirmou que os históricos médicos de pacientes e doadores tinham sido publicados na darkish net, causando angústia a muitos australianos, especialmente àqueles que mantinham essas informações privadas.
“Os ataques estão melhorando constantemente”, disse o Dr. Teague, mas observou que nossas defesas não estão acompanhando.
Ela disse que o governo e as empresas podem fazer mais para reduzir as probabilities de centenas de violações no próximo ano, começando pela adição de criptografia ao “Essencial Oito” framework, que é uma lista básica de estratégias que as organizações devem usar para manter os dados seguros.
“É lamentável que [the government doesn’t] mencionar a criptografia de dados, porque isso ajudaria significativamente a mitigar os danos causados por uma violação de dados”,
ela disse.
Criptografia é o processo de “ocultar matematicamente os dados” para que, quando enviados pela Web, apenas o destinatário pretendido possa recuperá-los, pois possui a chave correta.
“Também é extremamente útil para os dados que você armazena, de modo que, mesmo que um invasor exponha os dados criptografados, ele não poderá lê-los, a menos que também acesse a chave”, disse o Dr. Teague.
Ela também disse que a Lei de Privacidade poderia ser atualizada para responsabilizar “entidades públicas e privadas pela proteção da segurança e privacidade dos dados confiados aos seus cuidados”.
“Tudo o que fazemos para defender os nossos dados reduz eficazmente o risco de ataques cibernéticos. Não estamos a fazer nenhuma destas coisas.”
A comissária de privacidade Carly Variety também disse que as organizações devem tomar “todas as medidas razoáveis para proteger as informações e proteger contra violações e ataques cibernéticos”.
Carly Variety diz que as violações de dados continuam a prevalecer na nossa period digital.
(Fornecido: OAIC)
“Isso vai desde medidas técnicas, como o investimento em segurança cibernética, até medidas de governança, como treinamento em privacidade para funcionários, políticas e protocolos fortes e envolvimento do conselho com riscos de privacidade”.
Ela também disse que é importante que as empresas revisem os processos de coleta de dados e não os guardem desnecessariamente.
“A retenção prolongada de dados, além do razoável, continua a ser um fator agravante nas violações de dados.“
Carregando…
Etapas que você pode seguir para proteger seus dados
Quando os indivíduos investem seu dinheiro em um fundo de aposentadoria, eles não esperam que milhares de dólares sejam roubados por hackers.
Mas em Abril deste ano, o órgão da indústria para fundos de pensões, a Associação de Fundos de Pensões da Austrália, disse que vários fundos tinham sofrido tentativas de ataques cibernéticos.
O maior superfundo, o AustralianSuper, foi atingido por 600 tentativas de ataques cibernéticos num mês, com quatro dos seus membros a perderem 500 mil dólares.
Embora o Dr. Teague tenha dito que “não há nada que você possa fazer para proteger seus dados depois de entregá-los”, há uma série de medidas preventivas que você pode tomar para reduzir suas probabilities de se envolver em uma violação no futuro.
A primeira é “evitar entregar dados que você não deseja”, usando mecanismos criptografados de ponta a ponta para texto, chamadas e vídeo, incluindo Sign, iMessage, Facetime e WhatsApp.
Ela disse que mensagens SMS simples não são tão seguras porque a criptografia é entre o indivíduo e a companhia telefônica “geralmente de uma forma que a companhia telefônica possa lê-la”, pois eles “criptografam novamente antes de enviá-lo ao destinatário”.
O mesmo acontece com chamadas telefônicas normais e também ao enviar e-mails de plataformas como Outlook e Gmail, porque a mensagem é criptografada entre você e o provedor de e-mail, o que significa que eles ainda podem ler seus e-mails.
“Em todos esses casos, um bisbilhoteiro na Web não consegue ler a mensagem, mas a plataforma/provedor consegue”, disse o Dr. Teague.
Ela também disse que usar “um navegador que preserva a privacidade, como Firefox ou Safari, com um bom bloqueador de anúncios” pode ajudar a proteger seus dados.
Os indivíduos também nem sempre precisam dizer sim para o add de dados, disse o Dr. Teague. Por exemplo, um shut do seu rosto ou uma cópia da sua carteira de motorista.
“Não forneça sua knowledge de nascimento actual se não for necessário e não carregue informações que o serviço não precisa”.
