Com o avanço massivo do uso da internet, conseguir dados com facilidade se tornou um prato cheio para os cibercriminosos. Pense em quantos sites e aplicações você já precisou criar uma conta e colocar seus dados pessoais. E muito se engana quem pensa que somente empresas privadas são alvos de ataques hackers.
Os órgãos governamentais também são alvos e frequentes, pois eles possuem um grande banco de dados, com muitas pessoas e diversos tipos diferentes de informações sensíveis.
Recentemente, o CTIR Gov emitiu um alerta recomendando aos órgãos federais que redobrasse os protocolos de segurança para ingressar nas plataformas, já que houve um aumento de vazamento de credenciais.
Entenda por que este cenário é recorrente no Brasil e seus impactos.
Por que o governo é um alvo?
Segundo especialistas e estudos, o governo continua sendo um alvo para cibercriminosos porque há baixo investimento na cibersegurança e muita burocracia envolvendo o processo de implementação de novas tecnologias e atualização constante.
O processo de adquirir novos softwares de segurança e implementar novas políticas de cibersegurança precisa passar por um processo interno de análise. Porém, a burocracia lenta faz com que, no momento em que chegue a aprovação, essas técnicas já estejam obsoletas, pois a tecnologia está evoluindo muito rapidamente, assim como os ataques.
Outros motivos que levam instituições governamentais a serem atacadas são:
-
Acesso a um vasto banco de dados
-
Rápida monetização dos dados roubados
Vazamento de dados e roubo de credenciais
O vazamento de dados é uma violação da integridade dos dados sensíveis e invasão de sistemas sigilosos de uma organização, realizados por pessoas não autorizadas. Com essas informações em mãos, elas podem ser copiadas ou utilizadas de forma indevida ou ilegal.
No Brasil, a LGPD (Lei Geral de Proteção de Dados – nº 13.709/18) determina como indivíduos, empresas e entidades governamentais devem armazenar, guardar e manipular informações pessoais obtidas dos usuários, justamente para haver proteção de dados sensíveis e evite o risco de vazamento de dados.
A ANPD (Autoridade Nacional de Proteção de Dados) é o órgão da administração pública federal responsável por implementar e fiscalizar o cumprimento da LGPD.
No governo, uma das formas mais eficazes para os criminosos conseguirem dados estatais é pelo vazamento de credenciais. Mas o que seria esse método? Todo funcionário, para acessar suas aplicações de trabalho, possui um login e senha, ou seja, uma credencial de acesso.
O hacker, então, irá roubar esta credencial para ter acesso a todos os dados que este colaborador tem. Quanto maior for o cargo e mais privilégios ele tiver, mais informações o criminoso conseguirá acessar. Por isso, é essencial ser implementada políticas de segurança para credenciais, como uso de senhas fortes, MFA, cofre de senhas e conscientização dos funcionários sobre o perigo do vazamento de logins e senhas.
Recentemente, foram presos hackers que possuíam um banco de dados com 76 milhões de credenciais obtidas de forma ilegal. Ou seja, este é um problema que é necessário fortificar na segurança cibernética.
Golpes e venda para a dark web
Hackers que roubam dados pessoais tem como objetivo usar essas informações para ganhos pessoais, como golpes ou vendas na dark web.
A dark web é uma parte oculta da Internet não indexada por mecanismos de pesquisa comuns. Ela hospeda, em grande parte, atividades ilegais, entre elas informações roubadas, incluindo dados pessoais coletados de violações de dados ou com a ajuda de crimes cibernéticos.
Os dados que cibercriminosos podem conseguir com órgãos governamentais são nome completo, CPF, RG, endereço, nomes de familiares, cópias de documentos com assinaturas, dados de cartões, entre outros.
Entre os usos que golpistas podem ter com dados pessoais roubados, estão falsificação de documentos, uso de documentos para contratar serviços, compra de produtos, solicitação de empréstimos, abertura de contas, entre outros, tudo isso se passando por você.
Em 2021, teve um grande vazamento de dados comercializados na dark web com fotos de RGs, CPFs e CNHs. No total, foram 13 mil imagens de documentos vazados, sendo vendido por cerca de US$ 300.
Qual é o impacto do vazamento de dados do governo?
O vazamento de dados é um ato prejudicial para ambos os lados, tanto para a população quanto para o órgão afetado.
Do lado do indivíduo, além de ter seus dados vulneráveis para serem utilizados da forma que os criminosos preferirem para usar como vantagem financeira, há a perda de confiança nos órgãos institucionais que deveriam passar o sentimento de segurança.
Para as instituições governamentais, em casos de ataques cibernéticos diretos, como o que aconteceu com o Ministério da Saúde durante a pandemia em 2021, pode paralisar os serviços, prejudicando ainda mais a população.
Além de mostrar as vulnerabilidades que as instituições se encontram, elas perdem cada vez mais a credibilidade com os cidadães, que por sua vez, se veem prejudicados sem a disponibilidade de serviços e muitas vezes, sem saber se seus dados estão vazados ou não.
A necessidade da implementação de segurança robusta
Com os órgãos governamentais continuando sendo alvo de cibercriminosos, urge a necessidade de mudar o sistema de implementação de segurança cibernética em seus sistemas. A burocracia precisa ser mais rápida para andar com os avanços tecnológicos e assim manter a cibersegurança atualizada.
A ManageEngine possui uma ampla gama de soluções para gerenciamento de TI, inclusive para fortalecer a segurança da infraestrutura cibernética.
O Endpoint DLP Plus é uma ferramenta para a proteção avançada contra perda de dados, com controle de transferência de dados, resposta imediata a alertas, categorização de dados confidenciais, proteção da nuvem e muito mais para prevenir que dados sensíveis sejam roubados.
Já o PAM360 é uma solução IAM para acesso privilegiado em nível de recursos, delegando os privilégios certos para as pessoas necessárias e gestão de conteúdos sigilosos. Enquanto isso, o DataSecurity Plus é uma ferramenta SIEM que traz uma camada adicional de segurança, com controle de permissionamento de arquivos.
Para saber mais sobre nossas soluções, acesse o nosso site.
Tem gente que aproveita da burocracia para dar o golpe.
Infelizmente, é por isso que precisamos estar sempre atentos!