Uma cultura de privacidade de dados corporativos é essencial para organizar e assegurar os dados de uma empresa, mas você sabe como implementar uma?

Faltam poucos dias para que a LGPD entre em vigor, mas muitas pessoas ainda podem ter dúvidas sobre como tudo irá funcionar daqui pra frente.

Em um artigo anterior, a gente já te falou tudo sobre a Lei Geral de Proteção de Dados, então vale a pena conferir caso ainda restem dúvidas sobre o que é e por que a lei existe.

Falar sobre cultura de privacidade de dados sempre foi importante, pois somente quando existe uma que as empresas estão realmente seguras e atentas ao tipo de dados que circulam em suas redes.

Mas com a chegada da LGPD, isso tornou-se essencial, e para ajudar você a implementar a cultura em sua empresa, preparamos este artigo.

Pré-vigência da LGPD

Este artigo faz parte de uma série especial que coletamos de nossos arquivos para trazer pra você as informações mais relevantes no pré-lançamento da Lei Geral de Proteção de Dados.

Você pode se interessar também:

• Como entender a jornada da LGPD
• ANPD: Como funcionará a gestão da LGPD
• LGPD e os primeiros passos para entrar em compliance
• Como criar uma cultura de privacidade de dados corporativos <- Você está aqui agora
• Como funcionará o tratamento de dados com a LGPD? Disponível em 14/08

Um guia de implementação da LGPD

Pensando na centralização de informações, preparamos um guia bem completo com o passo a passo para não perder mais tempo e começar a aplicar práticas saudáveis no cuidado com os dados que sua empresa opera.

Com o material será possível compreender toda a jornada da LGPD e com isso implementar as mudanças de maneira consciente. Faça o download agora mesmo.

Cultura de Privacidade de Dados

O time de TI, o time Comercial, o time de RH, o time de Marketing, o time de Vendas, o time Financeiro, enfim, qualquer um que lide com dados, seja online ou offline, será afetado pela Lei Geral de Proteção de Dados, a LGPD.

De forma geral, isso significa que os fluxos de operação de dados deverão ser mais cuidadosos e transparentes. Mas como garantir a proliferação de um comportamento que priorize a segurança e a privacidade por todos na empresa?

Especialistas defendem o desenvolvimento de um “ecossistema da privacidade”, onde todos os setores que atuam com dados estão plenamente conscientes das orientações da lei.

Para isso, é fundamental a criação de um comitê multidisciplinar de compliance, composto por membros de diferentes setores, bem como treinamentos constantes das equipes para que todos ajam em conformidade.

Encabeçando o projeto de compliance, está o Encarregado, cuja missão é garantir que os fluxos de operação de dados sejam mais cuidadosos e transparentes, de acordo com a lei.

Mas quem é, exatamente, esse profissional?

É uma das respostas que você encontrará por aqui.

O nascimento do DPO na Cultura de Privacidade de Dados

Com a implantação da Lei Geral de Proteção de Dados, entra em cena um novo profissional: o Data Protection Officer (DPO).

Pela lei, ele é o encarregado – o intermediador entre os titulares dos dados, as empresas e a fiscalização. “Importado” da General Data Protection Regulation (GDPR), a ocupação é novidade para a grande maioria das empresas e pode gerar alguma confusão na hora de criar um projeto de compliance.

Acontece que, de acordo com a LGPD, é obrigatório ter um encarregado, mas não é obrigatório que ele seja um DPO (qualificado).

Porém, o profissional que melhor se enquadra no que se exige de um encarregado, considerando os exemplos lá de fora, é o DPO.

Complicado? Pois é. Mas vamos simplificar.

Basicamente, é preciso contar com um profissional designado para administrar todo o fluxo de informações, da coleta e tratamento à exclusão dos dados ao fim da operação ou quando solicitado pelo titular.

Assim, podemos resumir suas funções nos seguintes itens:

• Administrar o fluxo de dados;
• Orientar funcionários;
• Fazer a conexão entre a organização e a ANPD;
• Fiscalizar as práticas da organização.

Esse profissional deve possuir autonomia o suficiente, pois irá exercer diversas funções que muitas vezes não são desenvolvidas com uma única área de conhecimento. Portanto, o ideal é que ele seja alguém que possua uma boa formação interdisciplinar.

Ele deverá ter ao menos as seguintes características.

• Conhecimento das novas legislações;
• Conhecimento de governança e base de dados pessoais;
• Conhecimento sobre segurança da informação;
• Habilidade de posicionamento perante a ANPD e os titulares da base de dados;
• Habilidade de fiscalização;
• Habilidade em tomar decisões diante de situações de risco;
• Habilidade no treinamento de funcionários.

A LGPD determina que o controlador – neste caso, a organização – deve indicar um encarregado. Empresas maiores, que seguem modelos internacionais, geralmente encontram em um membro do seu corpo jurídico o profissional mais adequado e já contam com o profissional em plena atuação, sob o título de DPO mesmo. É altamente provável que esse modelo seja replicado para a maioria dos casos.

Mas, para quem tudo é novidade, a complicação é um pouco maior. O DPO, ou o encarregado, não possui uma formação específica elucidada pela lei e, no país, o perfil ainda está em formação. Além disso, é uma função de extrema responsabilidade e nem sempre os profissionais mais indicados vão se sentir confortáveis para assumir esse compromisso.

Alguns perfis têm se destacado no mercado como os mais preparados para assumir a função. Geralmente, eles têm:

• Formação em riscos
• Formação em compliance
• Formação em tecnologia e segurança

Na eventualidade de não haver, na empresa, alguém adequado ao cargo de DPO, mas sendo o encarregado uma função obrigatória para a conformidade com a lei, o serviço pode ser terceirizado para uma consultoria.

Os formatos e modelos ainda serão definidos pelo mercado, porém já existem escritórios de advocacia especializados em direito digital, por exemplo, prestando esse tipo de serviço.

Qual o envolvimento da TI no projeto de cultura de privacidade de dados?

A equipe de Tecnologia da Informação terá um papel fundamental no projeto de compliance, sendo a responsável pela implementação prática da LGPD. Ela vai cuidar da implantação e adequação de sistemas em compliance com a lei, do desenvolvimento dos fluxos de operação e, sobretudo, da segurança dos dados nos ambientes digitais.

Sendo assim, o ideal é que seja fornecido um treinamento em LGPD à equipe de TI, facilitando o alinhamento do setor com a visão do compliance.

Mas qual é o setor da empresa responsável por gerir a LGPD? A TI, o jurídico ou outros?

Tanto o jurídico quanto a TI tem forte tendência a assumir grandes responsabilidades, mas o ideal é que o compliance não se limite a nenhum dos dois. É preciso criar uma Cultura da Privacidade, unindo gestores de variados setores da empresa em um comitê multidisciplinar de conformidade.

O comitê não é obrigatório, no texto da lei, mas pode ser muito mais benéfico para as organizações, uma vez que facilita o alinhamento das equipes em prol de um bem comum.

Jurídico, Governança, TI, Financeiro, Marketing, RH – é importantes que os principais afetados pela lei participem das reuniões de compliance, a fim de que todos sigam sempre pelo mesmo caminho quando o tema for proteção de dados.

Desse modo, evita-se que o time de Marketing e RH, por exemplo, tome decisões que não sigam as orientações do Jurídico – como a utilização de um sistema que não esteja em compliance com a LGPD – o que poderia, futuramente, dificultar o trabalho da TI e do Financeiro, dentre outros cenários prejudiciais à empresa como um todo.

Contudo, para todos os casos teremos o encarregado encabeçando o comitê, seja ele um DPO ou não (verificar tópico anterior), que vai representar a empresa se e quando houver a necessidade de prestar contas para a fiscalização.

A Compugraf te ajuda a colocar a empresa em compliance

Quer saber como a Compugraf pode auxiliar a sua empresa na jornada para o compliance da LGPD? Consulte agora mesmo nossos profissionais e descubra como sua empresa pode melhorar a maneira de armazenar e lidar com dados pessoais.

Se você ainda está pesquisando sobre a LGPD e os primeiros passos, este artigo deve fornecer todas as informações que você precisa.

Estar em compliance com a LGPD é de extrema importância para uma organização, e pensando nisso criamos um artigo com tudo o que você precisa saber sobre a lei.

Em um outro artigo, a gente já te falou tudo sobre a Lei Geral de Proteção de Dados.

Mas ainda sim, a LGPD e os primeiros passos para sua compliance, podem ser confusos a primeiro momento, mas através deste artigo buscaremos instruí-lo/a no trajeto.

Pré-vigência da LGPD

Este artigo faz parte de uma série especial que coletamos de nossos arquivos para trazer pra você as informações mais relevantes no pré-lançamento da Lei Geral de Proteção de Dados.

Você pode se interessar também:

• Como entender a jornada da LGPD
• ANPD: Como funcionará a gestão da LGPD
• LGPD e os primeiros passos para entrar em compliance <- Você está aqui
• Como criar uma cultura de privacidade de dados corporativos Disponível em 13/08
• Como funcionará o tratamento de dados com a LGPD? Disponível em 14/08

Um guia de implementação da LGPD

Pensando na centralização de informações, preparamos um guia bem completo com o passo a passo para não perder mais tempo e começar a aplicar práticas saudáveis no cuidado com os dados que sua empresa opera.

Com o material será possível compreender toda a jornada da LGPD e com isso implementar as mudanças de maneira consciente. Faça o download agora mesmo.

A elaboração de um projeto de compliance é uma urgência para negócios que desejam operar em conformidade com a lei quando ela entrar em vigor, o que deve acontecer já na próxima semana.

É uma necessidade para que as empresas se mantenham idôneas no mercado.

Não é tarefa fácil, porém, reestruturar os processos da empresa para assegurar que todos operem seguindo os requisitos da LGPD. As nuances são muitas e os desafios, diversos.

Conhecendo os percalços, o time de compliance da Compugraf, formado por especialistas em proteção de dados, estruturou um passo a passo comentado, que tem como objetivo auxiliar empresas na construção de um programa de conformidade que cumpra tanto com as necessidades da empresa quanto com os requisitos da lei.

Você também pode conferir mais sobre a LGPD e os primeiros passos em nosso guia de implementação de LGPD. É só clicar neste link para fazer o download do Guia.

A LGPD e os primeiros passos para estar em compliance

Para funcionar legalmente com a LGPD, uma empresa pode começar ao aplicar algumas das seguintes ações:

Passo 1: Montar um comitê de compliance

O time Jurídico, o time de TI, o time Comercial, o time de RH, o time de Marketing, o time de Vendas, o time Financeiro, enfim, qualquer um que lide com dados, seja online ou offline, será afetado pela LGPD.

De forma geral, a lei determina que os fluxos de operação de dados deverão ser mais cuidadosos e transparentes. Mas como garantir a proliferação de um comportamento que priorize a segurança e a privacidade por todos na empresa?

O primeiro passo é montar um comitê de compliance com profissionais especializados tanto nos aspectos jurídicos quanto nos diversos setores da empresa que serão afetados pela lei. Ele será responsável pelas avaliações de risco e definição de códigos de conduta conforme as diretrizes da LGPD.

Seu trabalho, basicamente, é garantir que a empresa esteja operando dentro dos requisitos legais e de modo a atender os princípios impostos pela lei. Logo, a formação do comitê é imprescindível para que os próximos passos sejam permeados em conformidade com a LGPD.

Passo 2: Definir o Encarregado (DPO)

Com a implantação da Lei Geral de Proteção de Dados, entra em cena um novo profissional: o Data Protection Officer (DPO).

Pela lei, ele é a pessoa física que representa o Encarregado – o intermediador entre os titulares dos dados, as empresas e a fiscalização. “Importado” da General Data Protection Regulation (GDPR), a ocupação é novidade para a grande maioria das empresas brasileiras.

De acordo com o comitê de compliance da Compugraf:

“A partir do momento que a empresa está com o comitê formado, pode-se, desde já, nomear o Encarregado: o DPO (Data Protection Officer).”

Esse profissional vai exercer diversas funções que muitas vezes não são desenvolvidas com uma única área de conhecimento. Portanto, o ideal é que ele seja alguém que possua uma boa formação interdisciplinar.

Conforme a previsão legal, as atividades do DPO são:

I – aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências;

II – receber comunicações da autoridade nacional e adotar providências;

III – orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais; e

IV – executar as demais atribuições determinadas pelo Controlador ou estabelecidas em normas complementares.

Ou seja: o DPO é a pessoa responsável por comandar as atividades de proteção de dados dentro da empresa e estar ciente e totalmente integrado com todas e quaisquer informações que tratem os dados pessoais.

Contudo, na prática, é cedo para definir totalmente suas atividades, uma vez que a ANPD ainda não foi formada.

“É importante ressaltar que a autoridade nacional poderá estabelecer normas complementares sobre a definição e as atribuições do Encarregado, inclusive hipóteses de dispensa da necessidade de sua indicação, conforme a natureza e o porte da entidade ou o volume de operações de tratamento de dados”, atenta o comitê de compliance da Compugraf.

Mas, em empresas maiores, muito provavelmente ele será indispensável.

No caso de pessoa jurídica, é possível terceirizar a missão do para um escritório especializado em Direito Digital, por exemplo, que será nomeado como Encarregado.

Mas atenção.

De acordo com a Lei, a identidade e as informações de contato do Encarregado deverão ser divulgadas publicamente, de forma clara e objetiva, preferencialmente no website do Controlador.

Passo 3: Avaliar os gaps da empresa em relação à privacidade de dados

Com o comitê formado e o Encarregado nomeado, é hora de olhar criticamente para a empresa e dar o primeiro passo em sua Jornada da LGPD.

“A primeira atividade do comitê deve ser elencar e rever todos os processos da empresa, para que possam ser detectados os dados pessoais que estão sendo tratados e onde sua ocorrência está prevista”, sugere o comitê de compliance da Compugraf.

Com uma ferramenta de data mapping, é possível elaborar os questionários necessários para as áreas da empresa, a fim de se conseguir uma “fotografia” de sua operação.

De acordo com Aparecido Anastácio, Product Engineer da Compugraf, algumas perguntas fundamentais para o questionário são:

• Qual o volume de dados tratados?
• Que tipos de dados estão sendo tratados?
• Quem é o responsável pelos dados?
• Por que os dados foram coletados?
• Qual a razão legal para continuidade do tratamento dos dados?
• Até quando os dados ficarão na base da empresa?

É importante usar o bom senso para fazer perguntas criteriosas e objetivas, a fim de se obter um apanhado preciso do atual estado da empresa em relação à LGPD.

Assim, já se inicia o processo de averiguação dos dados e a empresa começa a rever o que deve manter, por qual finalidade e base legal e por quanto tempo.

Passo 4: Adequar os processos para que estejam em compliance com a LGPD

O tratamento dos dados pessoais somente poderá ser realizado nas hipóteses previstas pelo artigo 7º da Lei:

1. Mediante fornecimento de consentimento do titular
2. Para cumprimento de obrigação legal ou regulatória pelo Controlador
3. Pela administração pública, para tratamento e uso compartilhado de dados necessários à execução de políticas públicas
4. Para estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais
5. Quando necessário para execução de contrato ou procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados
6. Para exercício regular de direitos em processo judicial, administrativo ou arbitral
7. Para proteção da vida ou da incolumidade física do titular ou terceiro
8. Para a tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária
9. Quando necessário atender interesses legítimos do Controlador ou de terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam proteção dos dados pessoais
10. Para proteção do crédito

Ao rever os processos de cada área na empresa, é importante embasar corretamente os dados, uma vez que o tratamento deve estar fundamentado nos itens acima.

“A partir do momento que a empresa for utilizar a coleta de algum dado pessoal, deve se ter em mente o ‘privacy by design’ – ou seja – a privacidade deve ser um pilar exercido desde a concepção de cada produto/serviço”, alerta o comitê da Compugraf.

Além da finalidade bem definida e a justificativa pela base legal correta, o ciclo de vida do dado também precisa estar claramente definido.

E o tratamento de dados não estruturados? Como fazer?

Os dados não estruturados representam um grande desafio na jornada da LGPD, pois

são gerados a partir fontes diversas – como sites, mídias sociais, imagens digitais, vídeos, PDFs, wearables (tecnologias vestíveis), dentre outras tantas – e estão, muitas vezes, fragmentados em mais de um arquivo e/ou em mais de um local.

“Em geral há grande risco associado a tratamento de dados com base em informações não estruturadas, pois dependem de ações manuais e este tipo de processo tende a incorrer em erros de forma recorrente”, comenta o comitê de compliance da Compugraf.

O mapeamento destes dados se dará por meio de entrevistas e checklists, por exemplo. Existem ferramentas que são capazes de apoiar a descoberta destes dados, mas o resultado muitas vezes é mais demorado e mais complexo do que se espera.

É muito importante a empresa derivar o risco associado a cada atividade tratada desta forma, pois são processos vulneráveis que podem ser foco de vazamento de dados.

Pode-se fazer uso de ferramentas de DLP para assegurar que esse tipo de informação não seja vazado, mas a implantação desse processo também não é trivial. A recomendação, portanto, é repensar os procedimentos, para que a empresa passe a tratar esses dados de forma estruturada.

Dados não estruturados podem ser considerados dados anonimizados?

Um dado não estruturado não é um dado anonimizado.

Na verdade, anonimização é um processo pelo qual se transforma um dado pessoal em um conjunto de informações que não permite a identificação de uma pessoa. Logo, a anonimização de dados não estruturados é muito desafiadora, pois o dado pode estar disposto de forma que a ferramenta não o identifique, acarretando em uma anonimização parcial – ou seja, a informação vai continuar sendo pessoal.

“Também é importante ressaltar que dado criptografado não é um dado anonimizado”, alerta o comitê da Compugraf.

Estes casos devem ser tratados com excepcional cautela, uma vez que representam focos de vulnerabilidade.

Como operar os sistemas da empresa em compliance com a LGPD?

Recursos em nuvem, ERPs, CRMs, aplicativos – são muitas as soluções que os colaboradores utilizam diariamente e que, em maior ou menor escala, armazenam dados. Também eles devem ser esquadrinhados.

“Em todos os sistema que uma empresa utiliza, será necessário identificar quais atividades de tratamento de dados tais ferramentas apoiam e depois verificar, normalmente, por meio de assessments, qual a base legal pertinente, tempo de retenção dos dados, medidas de segurança, dados pessoais envolvidos, dentre outros”, elucida o comitê de compliance da Compugraf.

Vale contar com o apoio de um sistema de gerenciamento de privacidade de dados para facilitar o trabalho, uma vez que será preciso realizar um inventário da empresa para que se possa identificar como cada atividade de tratamento de dados é realizada.

Além disso, é importante entender quais sistemas apoiam tais atividades, quais parceiros e fornecedores participam delas, elencar os riscos associados e, finalmente, definir um ou mais planos de ação para adequar a atividade de tratamento.

Passo 5: Fazer a manutenção da proteção dos dados

“O compliance não é obrigação de uma área da empresa. É uma obrigação da empresa inteira.” – José Aparecido Anastácio, Product Engineer da Compugraf

Para o pleno andamento do projeto de conformidade, será necessário avaliar do ponto de vista de segurança, do ponto de vista de infra-estrutura e do ponto de vista de sistemas quais medidas deverão ser tomadas para atender às recomendações legais.

Permeando as ações, estarão sempre as recomendações do jurídico, cujo principal papel é avaliar se as atividades de tratamento de dados estão respeitando os princípios da LGPD.

“A participação de uma equipe multidisciplinar no projeto é fundamental para que seja possível observar de vários pontos de vista cada item requerido pela lei. Assim, as soluções tendem a serem mais eficazes”, orienta o comitê de compliance da Compugraf.

É um esforço coletivo. Mais do que um compromisso, a proteção dos dados deve ser um novo valor para as empresas, respeitado e promovido por todos.

A Compugraf te ajuda a colocar a empresa em compliance

Quer saber como a Compugraf pode auxiliar a sua empresa na jornada para o compliance da LGPD? Consulte agora mesmo nossos profissionais e descubra como sua empresa pode melhorar a maneira de armazenar e lidar com dados pessoais.

A ANPD e a gestão da LGPD, Lei Geral de Proteção de Dados, pode ser complexa mas chega para o bem da proteção e dados no país.

A ANPD, Autoridade Nacional de Proteção de Dados, cuidará de todas as questões legais envolvendo a proteção de dados pessoais no Brasil, segundo a Lei Geral de Proteção de Dados, que deve entrar em vigor nos próximos dias.

A ANPD entra para a lista das diversas siglas de órgãos governamentais já existentes, (como ANCINE, ANVISA, ANATEL, etc.)

E será a responsável por fiscalizar a correta adoção da coleta, tratamento e compartilhamento de dados pessoais – essencial para o bom andamento e a correta implementação da LGPD no país.

Seu objetivo, portanto, é fiscalizar, controlar e, se for o caso, multar as empresas que lidam com dados pessoais e privacidade no Brasil, conforme já falamos em um artigo com tudo sobre a lei geral de proteção de dados.

A autoridade é o grau máximo, hierarquicamente, na esfera administrativa da Lei Geral de Proteção de Dados.

Esse fator não elimina o poder de fiscalização de outros órgãos, apenas define a limitação de suas competências.

Dentre as principais atribuições da ANPD, temos:

1. Estabelecer os padrões técnicos para o cumprimento da lei;
2. Determinar os requisitos necessários para a elaboração dos Relatórios de Impacto;
3. Fiscalização e aplicação de advertências, multas e demais sanções;
4. Celebrar compromissos com as empresas;
5. Comunicar às autoridades competentes as infrações penais das quais obtiver o conhecimento;
6. Receber e processar toda e qualquer reclamação de pessoa física titular de dados;
7. Atividades para difundir e educar a população sobre a LGPD.

A cargo dessas atribuições, teremos um conjunto de profissionais distribuídos por diferentes setores.

Pré-vigência da LGPD

Este artigo faz parte de uma série especial que coletamos de nossos arquivos para trazer pra você as informações mais relevantes no pré-lançamento da Lei Geral de Proteção de Dados.

Você pode se interessar também:

• Como entender a jornada da LGPD
• ANPD: Como funcionará a gestão da LGPD <- Você está aqui
• LGPD e os primeiros passos para entrar em compliance Disponível em 12/08
• Como criar uma cultura de privacidade de dados corporativos Disponível em 13/08
• Como funcionará o tratamento de dados com a LGPD? Disponível em 14/08

Um guia de implementação da LGPD

Pensando na centralização de informações, preparamos um guia bem completo com o passo a passo para não perder mais tempo e começar a aplicar práticas saudáveis no cuidado com os dados que sua empresa opera.

Com o material será possível compreender toda a jornada da LGPD e com isso implementar as mudanças de maneira consciente. Faça o download agora mesmo.

A estrutura da ANPD e a gestão da LGPD

A Autoridade Nacional de Proteção de Dados foi criada com uma estrutura que se organiza em 6 setores:

Conselho Diretor

Será formado por 5 membros, responsáveis por administrar, planejar e tomar decisões pertinentes ao bom funcionamento da LGDP. Um Diretor-Presidente será designado para encabeçar o Conselho.

Conselho Nacional de Proteção de Dados Pessoais e da Privacidade

Possuindo uma formação de diversos nichos, será composto por 23 membros da sociedade, sem direito a voto nas tomadas de decisões da ANPD. Conforme o Artigo 58 da lei, desses 23, serão:

• 5 (cinco) do Poder Executivo federal;
• 1 (um) do Senado Federal;
• 1 (um) da Câmara dos Deputados;
• 1 (um) do Conselho Nacional de Justiça;
• 1 (um) do Conselho Nacional do Ministério Público;
• 1 (um) do Comitê Gestor da Internet no Brasil;
• 3 (três) de entidades da sociedade civil com atuação relacionada a proteção de dados pessoais;
• 3 (três) de instituições científicas, tecnológicas e de inovação;
• 3 (três) de confederações sindicais representativas das categorias econômicas do setor produtivo;
• 2 (dois) de entidades representativas do setor empresarial relacionado à área de tratamento de dados pessoais; e
• 2 (dois) de entidades representativas do setor laboral.

Corregedoria

Setor especializado na apuração de erros ou práticas que não estejam em conformidade com a lei. Em caso de erros dos agentes públicos, o setor será o responsável por aplicar as penalidades necessárias.

Ouvidoria

Especializado em atender a população, é a ponte entre os titulares dos dados e a ANPD, responsável por atender a reclamações, dúvidas e mensagens, em geral.

Órgão de assessoramento jurídico próprio

É o setor especializado em consultoria e assistência jurídica na aplicação da LGPD, para pessoas físicas e jurídicas. É quem vai apoiar a implementação da lei esclarecendo as principais dificuldades que possam ser apresentadas durante os projetos de compliance.

Unidades administrativas e especializadas

Setor formado por diversos órgãos, que serão os responsáveis diretos pela aplicação do que dispõe a Lei Geral de Proteção de Dados.

Competências da ANPD e a gestão da LGPD

Segundo o Artigo 55 da Lei Geral de Proteção de Dados, compete à ANPD:

• I – zelar pela proteção dos dados pessoais, nos termos da legislação;
• II – zelar pela observância dos segredos comercial e industrial, observada a proteção de dados pessoais e do sigilo das informações quando protegido por lei ou quando a quebra do sigilo violar os fundamentos do art. 2º desta Lei;
• III – elaborar diretrizes para a Política Nacional de Proteção de Dados Pessoais e da Privacidade;
• IV – fiscalizar e aplicar sanções em caso de tratamento de dados realizado em descumprimento à legislação, mediante processo administrativo que assegure o contraditório, a ampla defesa e o direito de recurso;
• V – apreciar petições de titular contra controlador após comprovada pelo titular a apresentação de reclamação ao controlador não solucionada no prazo estabelecido em regulamentação;
• VI – promover na população o conhecimento das normas e das políticas públicas sobre proteção de dados pessoais e das medidas de segurança;
• VII – promover e elaborar estudos sobre as práticas nacionais e internacionais de proteção de dados pessoais e privacidade;
• VIII – estimular a adoção de padrões para serviços e produtos que facilitem o exercício de controle dos titulares sobre seus dados pessoais, os quais deverão levar em consideração as especificidades das atividades e o porte dos responsáveis;
• IX – promover ações de cooperação com autoridades de proteção de dados pessoais de outros países, de natureza internacional ou transnacional;
• X – dispor sobre as formas de publicidade das operações de tratamento de dados pessoais, respeitados os segredos comercial e industrial;
• XI – solicitar, a qualquer momento, às entidades do poder público que realizem operações de tratamento de dados pessoais informe específico sobre o âmbito, a natureza dos dados e os demais detalhes do tratamento realizado, com a possibilidade de emitir parecer técnico complementar para garantir o cumprimento desta Lei;
• XII – elaborar relatórios de gestão anuais acerca de suas atividades;
• XIII – editar regulamentos e procedimentos sobre proteção de dados pessoais e privacidade, bem como sobre relatórios de impacto à proteção de dados pessoais para os casos em que o tratamento representar alto risco à garantia dos princípios gerais de proteção de dados pessoais previstos nesta Lei;
• XIV – ouvir os agentes de tratamento e a sociedade em matérias de interesse relevante e prestar contas sobre suas atividades e planejamento;
• XV – arrecadar e aplicar suas receitas e publicar, no relatório de gestão a que se refere o inciso XII do caput deste artigo, o detalhamento de suas receitas e despesas;
• XVI – realizar auditorias, ou determinar sua realização, no âmbito da atividade de fiscalização de que trata o inciso IV e com a devida observância do disposto no inciso II do caput deste artigo, sobre o tratamento de dados pessoais efetuado pelos agentes de tratamento, incluído o poder público;
• XVII – celebrar, a qualquer momento, compromisso com agentes de tratamento para eliminar irregularidade, incerteza jurídica ou situação contenciosa no âmbito de processos administrativos, de acordo com o previsto no Decreto-Lei nº 4.657, de 4 de setembro de 1942;
• XVIII – editar normas, orientações e procedimentos simplificados e diferenciados, inclusive quanto aos prazos, para que microempresas e empresas de pequeno porte, bem como iniciativas empresariais de caráter incremental ou disruptivo que se autodeclarem startups ou empresas de inovação, possam adequar-se a esta Lei;
• XIX – garantir que o tratamento de dados de idosos seja efetuado de maneira simples, clara, acessível e adequada ao seu entendimento, nos termos desta Lei e da Lei nº 10.741, de 1º de outubro de 2003 (Estatuto do Idoso);
• XX – deliberar, na esfera administrativa, em caráter terminativo, sobre a interpretação desta Lei, as suas competências e os casos omissos;
• XXI – comunicar às autoridades competentes as infrações penais das quais tiver conhecimento;
• XXII – comunicar aos órgãos de controle interno o descumprimento do disposto nesta Lei por órgãos e entidades da administração pública federal;
• XXIII – articular-se com as autoridades reguladoras públicas para exercer suas competências em setores específicos de atividades econômicas e governamentais sujeitas à regulação; e
• XXIV – implementar mecanismos simplificados, inclusive por meio eletrônico, para o registro de reclamações sobre o tratamento de dados pessoais em desconformidade com esta Lei.

Sanções da ANPD e a gestão da LGPD

Ao sancionar a Lei Geral de Proteção de Dados, o governo brasileiro espera que todas as empresas façam cumprir a força da lei e sigam seus requisitos. Porém, em caso de organizações infratoras, existem punições previstas no texto que vão desde uma advertência até uma multa de até 50 milhões de reais.

O intuito da lei é criar uma cultura de privacidade no ambiente de negócios brasileiro. Por essa razão, as penalidades sempre seguirão critérios objetivos, de modo que a valorização da cultura de proteção de dados seja incentivada, enquanto a de displicência, punida.

Se o controlador (empresas e organizações) não cumprir com o exigido, a ANPD é a responsável por aplicar advertências, penalidades e, dependendo da gravidade do caso, multas, como veremos a seguir:

Advertência

A ANPD pode advertir formalmente uma organização a fim de permitir que ela corrija as infrações sem maiores consequências. Será fornecido um prazo para adoção das medidas corretivas determinadas pelo órgão.

Multa simples

O valor da multa será de até 2% do faturamento da pessoa jurídica no seu último exercício. O teto será de R$ 50 milhões por infração e os valores das multas arrecadadas com a fiscalização da ANPD em conformidade com a Lei Geral de Proteção de dados serão destinados ao Fundo de Defesa de Direitos Difusos.

Multa diária

Além da multa simples, poderá ser instituída uma multa diária. O limite continua sendo de R$ 50 milhões por infração.

Publicitação da Infração

Divulgação pública da infração da empresa, nos meios de comunicação pertinentes, explicitando os delitos cometidos em toda a sua extensão.

Bloqueio dos Dados Pessoais

Os dados a que se referirem à infração serão bloqueados até que as autoridades competentes solucionem o caso. Impossibilitando o manejo e, por consequência, qualquer tipo de atividade ligados a eles.

Eliminação de Dados Pessoais

Os dados que caracterizaram a infração deverão ser apagados do sistema da empresa, ocasionando na perda de todo investimento efetuado na captação de tratamento desses dados.

Como foi criada muito recentemente, a real atuação da ANPD será revelada de forma fracionada.

Nem por isso devemos subestimá-la. Você não vai querer descobrir seus efeitos na prática, certo?

A Compugraf te ajuda a colocar a empresa em compliance

Quer saber como a Compugraf pode auxiliar a sua empresa na jornada para o compliance da LGPD? Consulte agora mesmo nossos profissionais e descubra como sua empresa pode melhorar a maneira de armazenar e lidar com dados pessoais.

Do projeto a vigência, porque a LGPD é tão importante?

A jornada da LGPD, Lei Geral de Proteção de Dados, está próxima de entrar finalmente em vigor no Brasil, em um artigo do ano passado já buscamos trazer tudo sobre a LGPD para que não existissem dúvidas pra quando este momento chegasse.

A lei é um grande avançado na legislação brasileira, que desde os anos 90 busca encontrar os melhores mecanismos para proteger o direito individual, sendo um grande marco para os direitos de privacidade de dados no país.

Pré-vigência da LGPD

Este artigo faz parte de uma série especial que coletamos de nossos arquivos para trazer pra você as informações mais relevantes no pré-lançamento da Lei Geral de Proteção de Dados.

Você pode se interessar também:

• Como entender a jornada da LGPD <- Você está aqui
• ANPD: Como funcionará a gestão da LGPD Disponível em 11/08
• LGPD e os primeiros passos para entrar em compliance Disponível em 12/08
• Como criar uma cultura de privacidade de dados corporativos Disponível em 13/08
• Como funcionará o tratamento de dados com a LGPD? Disponível em 14/08

Um guia de implementação da LGPD

Pensando na centralização de informações, preparamos um guia bem completo com o passo a passo para não perder mais tempo e começar a aplicar práticas saudáveis no cuidado com os dados que sua empresa opera.

Com o material será possível compreender toda a jornada da LGPD e com isso implementar as mudanças de maneira consciente. Faça o download agora mesmo.

A jornada da LGPD só ganhou mesmo forma em 2018, embora discussões já ocorressem antes disso. Isso porque no mesmo ano a GDPR, General Data Protection Regulation – a versão europeia da lei e também a maior inspiração para a criação da nossa, entrava em vigor.

Com isso, a pressão para que o Brasil também passasse a regular a forma como as empresas e pessoas utilizam os dados pessoais e lidam com a privacidade dos indivíduos, tornou-se grande demais para ser ignorada.

Mas é claro que nunca foi nada simples.

Fortemente baseada na legislação europeia, a LGPD representa uma quebra de paradigma em diversos aspectos, contemplando em seus capítulos e artigos desde a definição de forma inequívoca dos direitos da pessoa titular dos dados, do conceito de Privacy by design, até a criação da figura do encarregado pelos dados.

Sendo esse o Data Protection Officer, responsável por prestar contas junto aos órgãos de fiscalização.

A LGPD está baseada num tripé que se ampara em Jurídico/Documentos, Ferramentas e Processos/Pessoas.

A Jornada para implementação da LGPD

A implementação da LGPD nas organizações pressupõe uma campanha de adequações que contempla praticamente todos os aspectos corporativos:

• Processos
• Sistemas
• Documentos
• Cultura
• Modelo de Negócios

A jornada requer um planejamento de forma a ser um processo racional e estruturado, otimizando o uso dos recursos humanos, materiais e sistêmicos da organização.

A definição dos Patrocinadores do projeto dentro da corporação e o estabelecimento de uma equipe multidisciplinar focada na implementação são condições essenciais e inaugurais para o sucesso desta jornada.

A Compugraf propõe uma jornada para aderência à lei baseada em um framework sustentado pela solução de Gerenciamento de Privacidade da OneTrust na qual consideramos 5 principais etapas: Avaliação, Desenho, Implementação, Operação e Monitoração.

Cada uma das etapas no framework contempla entregáveis bem definidos que, em linhas gerais, são explicadas a seguir.

1. Avaliação

O objetivo principal desta etapa é obter o “Gap” de ajustes, ou seja, o que precisa ser alterado, criado ou retirado dos processos/sistemas/documentos para estar em compliance com a lei.

As principais atividades dessa etapa são:

• Pré-avaliação para definição do nível de maturidade em relação à norma
• Treinamento dos multiplicadores dentro da organização
• Definição dos itens de inventário de dados pessoaisLevantamento e detalhamento dos Ativos
  Levantamento e detalhamento dos Processos de Negócios
  Levantamento dos Sistemas e Terceiros
  Levantamento dos riscos
  Criação de Questionários e Avaliações
• Análise de gap – Obtida com a conclusão do levantamento dos itens de inventário

2. Desenho

Essa fase tem por objetivo elaborar um plano (contendo: “o que”, “como”, “quem” e “quando”) para endereçar o GAP definido na etapa anterior. Neste plano, deve conter:

• Mudanças necessárias em Processos
• Mudanças necessárias em Sistemas
• Adequações Legais e de Governança
• Treinamentos requeridos

3. Implementação

Nessa etapa o objetivo é colocar o plano em prática. As principais atividades são:

• Configuração de todo o inventário através do módulo de Registro de Tratamento de Dados (Data Mapping) com as informações coletadas na etapa de Desenho
• Configuração do módulo de Direitos do Titular
• Configuração dos módulos de Consentimento
• Configuração do módulo de Resposta a Incidentes
• Configuração do módulo de Gestão dos Riscos dos Fornecedores
• Implementação das Integrações necessárias
• Realização de treinamentos
• Estabelecimento de políticas

4. Operação e Monitoração

A partir da etapa de operação, o incremento disponibilizado tem por objetivo trazer conformidade à lei, porém para manter aderência é preciso colocar em prática processos de monitoração constantes, a fim de obter evidências de que esses incrementos disponibilizados continuam em compliance com a lei.

5. Processo Iterativo

Ao invés de considerar um modelo Waterfall (Cascata), a Compugraf recomenda o modelo iterativo, permitindo que o resultado do trabalho possa ser percebido em pouco tempo por meio de entregas constantes e aprendizado (retroalimentação). A aderência à lei é obtida gradativamente.

Solução de Privacidade da OneTrust

A solução de Gerenciamento de Privacidade da OneTrust foi criada especificamente para atender normas de privacidade em todo o mundo.

É uma plataforma na qual todas as fases da jornada à privacidade (desde avaliação até monitoração) são controladas e implementadas de forma consistente, gerenciando inclusive o acesso de parceiros que estejam apoiando o processo.

Esta solução chega com elevado grau de maturidade, uma vez que vem sendo utilizada por grandes empresas ao redor do mundo para implementação da GDPR na Europa, da CCPA na Califórnia e agora da LGPD no Brasil. É, portanto, considerada uma ferramenta referência no assunto.

Conforme o último relatório da Forrester, a solução OneTrust se destaca isoladamente como líder em Privacy Management Software.

Apresenta uma plataforma totalmente modular e configurável atendendo a todos os aspectos das legislações pertinentes. Os módulos são:

• Automatização de Avaliações
• Maturidade & Benchmarking
• Registro do Tratamento dos Dados
• Gestão de Consentimento de Cookies
• Consentimento
• Pedidos do Titular de Dados
• Resposta ao Incidente
• Gestão de Risco dos Fornecedores

Pelo exposto, depreende-se que a implementação irá permear praticamente todos os setores da organização, entretanto, com especial atenção àqueles que em algum aspecto tratam dados pessoais, tais como:

• Tecnologia da Informação
• Infraestrutura
• Segurança
• Governança
• Privacidade
• Sistemas Internos e Terceiros
• Recursos Humanos
• Marketing
• Jurídico
• Comercial e Vendas
• Operações

E por tudo isso, a aderência à LGPD implica numa jornada que reúne aspectos processuais, ferramentais e adequado suporte jurídico.

Enquanto de um lado há o risco inerente às penalidades devido a uma não conformidade, por outro lado, o aspecto positivo que toda corporação pode obter como produto dessa implementação é a fidelidade dos clientes, a transparência e governança associados à marca, melhores práticas de segurança e o uso mais efetivo dos dados permeando toda a corporação.

A Compugraf te ajuda a colocar a empresa em compliance

Quer saber como a Compugraf pode auxiliar a sua empresa na jornada para o compliance da LGPD? Consulte agora mesmo nossos profissionais e descubra como sua empresa pode melhorar a maneira de armazenar e lidar com dados pessoais.

O NotPetya é um dos ciberataques mais agressivos que apontamos no histórico de gueras cibernéticas.

Quando iniciamos nossa campanha pra falar sobre guerras cibernéticas e os conflitos na era da informação, nos deparamos com uma série de opiniões em torno do assunto.

Em alguns casos, chegamos a questionar a própria definição de uma guerra cibernética e seus impactos na sociedade.

Mas após todas as pesquisas, decidimos trazer os conceitos como eles se tornaram populares no mundo, partindo da diferença entre guerra cibernética, crimes cibernéticos e terrorismo cibernético.

O que foi só o começo. A gente foi ainda mais longe e também decidiu investigar as causas das guerras cibernéticas, sua relação com as crises políticas – que também nos levou a corrida armamentista.

Um outro tópico bem interessante foi a teoria de que uma guerra entre máquinas pode ocorrer a qualquer momento. Mas não é sobre isso que viemos falar hoje.

Você se lembra do NotPetya?

Não faz muito tempo desde que o NotPetya assustou toda uma nação. Na verdade, conforme já noticiamos aqui, tudo começou em junho de 2017, quando hackers russos usaram os servidores hackeados da empresa de contabilidade ucraniana Linkos Group para enviar um código que passaria a se chamar NotPetya.

O NotPetya ficou conhecido como o ciberataque mais devastador da história, causando um prejuízo estimado de 10 bilhões de dólares ao redor do mundo e atingindo diversos países, que vão da Ucrânia ao Estados Unidos.

Quer o histórico das Guerras Cibernéticas?

Antes de continuarmos, talvez você queira fazer um comparativo dos outros conflitos pra entender por que o NotPetya foi tão devastador.

A gente sabe como é importante conhecer casos reais para entender melhor o conceito de guerra cibernética, e por isso, preparamos uma linha do tempo com os alguns dos principais eventos dos últimos anos.

NotPetya: o ciberataque mais devastador da história (até agora)

Conforme estávamos falando… No final de junho de 2017, hackers russos usaram os servidores hackeados da empresa de contabilidade ucraniana Linkos Group para enviar um código que passaria a se chamar NotPetya.

Combinando o EternalBlue, um programa de hackers da NSA, e a ferramenta de roubo de senha Mimikatz em um worm automatizado, o NotPetya se espalhou quase que instantaneamente para cerca de 10% de todos os computadores na Ucrânia, criptografando seu conteúdo com uma carga destrutiva disfarçada.

Essa aplicação ocorreu para parecer um ransomware, um ataque caracterizado pelo “sequestro” de informações de um computador -, mas sem nenhum mecanismo para descriptografar os arquivos depois que a vítima pagasse um resgate.

O nome NotPetya se deu porque o malware parecia, a princípio, ser uma versão do antigo ransomware Petya, usado por criminosos cibernéticos para ataques de ransomware, mas não era.

Na Ucrânia, ele fechou bancos, caixas eletrônicos e sistemas de ponto de venda, paralisando quase todos as agências governamentais do país e incapacitando a infraestrutura nacional, como aeroportos e ferrovias, além de hospitais, correios e até a operação de monitoramento dos níveis de radioatividade nas ruínas da usina nuclear de Chernobyl.

Mas a virulência do NotPetya não se limitou às fronteiras da Ucrânia. Também atingiu a A.P. Møller-Maersk, a maior empresa de transporte marítimo do mundo; a empresa farmacêutica norte-americana Merck; a subsidiária europeia da FedEx, TNT Express; a empresa de construção francesa Saint-Gobain; a produtora de alimentos Mondelez; e a fabricante Reckitt Benckiser.

Em cada um desses casos, saturou redes, apagando milhares de computadores e causando um prejuízo centenas de milhões de dólares em negócios perdidos e custos de cibersegurança. Além disso, o NotPetya também atingiu pelo menos dois hospitais dos EUA e fechou a empresa de software de transcrição Nuance, que fornecia serviços de transcrição de registros médicos para mais de cem hospitais e clínicas.

Aliás, o NotPetya chegou a se espalhar pela própria Rússia, causando danos colaterais adicionais a vítimas como a empresa estatal de petróleo Rosneft, a siderúrgica Evraz, a empresa de tecnologia médica Invitro e o Sberbank.

Ao todo, uma estimativa da Casa Branca mais tarde colocaria o custo do NotPetya em 10 bilhões de dólares, pelo menos, embora a extensão total de seus danos talvez nunca seja conhecida.

Guerra Cibernética: do mundo digital ao mundo físico

É sempre bom lembrar o quanto a concepção mundial de guerra cibernética mudou desde 2010.

Tudo começou quando a VirusBlokAda, uma empresa de segurança da Bielorrússia, encontrou um misterioso código de malware que causava um “crash” – ou falha de sistema – nos computadores que executavam seu antivírus.

Em setembro daquele ano, pesquisadores de segurança cibernética chegaram à chocante conclusão de que o espécime de malware, apelidado de Stuxnet, era o código mais sofisticado já criado para um ataque cibernético e que fora projetado especificamente para destruir as centrífugas usadas nas instalações de enriquecimento nuclear do Irã.

Cerca de dois anos depois, o The New York Times confirmou que o Stuxnet era uma criação da NSA e da inteligência israelense, com o objetivo de impedir as tentativas do Irã de construir uma bomba nuclear.

Ao longo de 2009 e 2010, o Stuxnet destruiu mais de mil das centrífugas de alumínio de aproximadamente dois metros de altura da instalação de enriquecimento nuclear subterrâneo do Irã, em Natanz, provocando caos e confusão. Depois de se espalhar pela rede iraniana, ele injetou comandos nos chamados controladores lógicos programáveis, ou PLCs (programmable logic controllers), responsáveis pelo funcionamento das centrífugas, fazendo com que elas acelerassem, ou ou manipulando a pressão dentro delas, até que quebrassem “sozinhas”.

O Stuxnet seria reconhecido como o primeiro ataque cibernético já projetado para danificar diretamente equipamentos físicos, e um ato de guerra cibernética que ainda não foi replicado em seus efeitos destrutivos.

Seria também o estopim de uma subsequente corrida global por armas cibernéticas.

Quer mais história?

A definição de guerra cibernética, de maneira resumida, é o conflito entre dois ou mais países que ocorre a partir do uso de tecnologia.

Pra que isso fique ainda mais fácil de ser compreendido, confira a seguir o nosso vídeo com uma linha do tempo com os conflitos dos últimos 10 anos:

O seu exército está preparado?

As empresas se proteger contra possíveis conflitos cibernéticos, e para isso, é necessário um conjunto de serviços e conhecimento para garantir a melhor defesa.

Conte com a assessoria da Compugraf para a proteção de sua empresa e tenha as melhores soluções disponíveis no mercado

Diversos conflitos considerados guerras cibernéticas ocorreram ao longo da história. De quais deles você se recorda?

Conforme já discutimos na definição de uma guerra cibernética, seus efeitos podem ser devastadores para os países em conflito.

Se você está começando agora e perdeu nosso grande artigo sobre guerra cibernética, recomendamos que você comece por ele, assim você entenderá melhor o contexto deste artigo.

Ao lermos sobre as guerras cibernéticas ao longo da história nos aproximamos muito de suas causas, algo essencial pra compreendermos a magnitude de tais acontecimentos.

Quer conferir um vídeo com as principais guerras cibernéticas da última década?

Guerras Cibernéticas ao Longo da História

A seguir você pode conferir do mais antigo até o mais recente conflito cibernético considerado como ciberguerra.

• Dezembro, 1969

É fundado o DARPA (Defense Advanced Research Projects Agency), um ambiente online que conecta quatro das principais universidades dos EUA. Projetado para organizações de pesquisa, educação e governo, fornece uma rede de comunicações que liga o país inteiro no caso de um ataque militar destruir sistemas de comunicação convencionais.

• Junho, 1982

Depois de saber que a União Soviética planejava roubar software de uma empresa canadense para controlar seu oleoduto transiberiano, a CIA altera o software para causar a explosão do oleoduto. É considerado o primeiro ataque cibernético da história.

• Agosto, 1986

Ao longo de 10 meses, com início em agosto, Clifford Stoll, um pesquisador de Física da Universidade da Califórnia, em Berkeley, rastreia o hacker que invadiu os computadores do Lawrence Berkeley National Laboratory, uma instalação do Departamento de Energia dos EUA e computadores das forças armadas norte-americanas.

Ele localizou o hacker na Alemanha. É a primeira investigação desse tipo a ocorrer no mundo.

• Novembro, 1988

Um worm encerra temporariamente cerca de 10% dos servidores de Internet ao redor do mundo. É a primeira ocorrência de algo do tipo. Robert Tappan Morris, um estudante da Universidade de Cornell, lançou o worm. Morris é a primeira pessoa julgada e condenada sob a lei de fraude e abuso cibernético.

• Março e Abril, 1994

Computadores do Centro de Desenvolvimento Aéreo de Roma, na Griffiss Air Force Base, em Nova York, são atacados 150 vezes por hackers anônimos, que usam um programa de “sniffer” para roubar credenciais de login e informações confidenciais do laboratório, que realiza pesquisas em sistemas de inteligência artificial, radares de sistemas de orientação e sistemas de detecção e rastreamento de alvos.

Os hackers usam as informações de login para acessar os computadores de outras instalações militares e governamentais, incluindo o Goddard Space Flight Center da NASA e a Base da Força Aérea Wright-Patterson.

• Junho, 1997

A NSA realiza um teste, conhecido como “Receptor Elegível” (Eligible Receptor), para avaliar a vulnerabilidade de computadores governamentais e militares a um ataque cibernético. O exercício revela que os sistemas em todo o país podem ser invadidos e interrompidos com relativa facilidade usando computadores e softwares comerciais.

• Fevereiro, 1998

Analistas da equipe de emergência de computadores da Força Aérea em San Antonio, Texas, notam invasões em suas redes de computadores de várias instituições acadêmicas, incluindo Harvard.

Os hackers, que eram três adolescentes, exploraram uma fraqueza no sistema operacional da rede. O evento é um alerta para o governo e levou o presidente Bill Clinton a desenvolver um plano de cibersegurança para o país.

• Dezembro, 1998

O Departamento de Defesa dos Estados Unidos cria a Força-Tarefa Conjunta de Defesa de Redes de Computadores para defender as redes e sistemas do departamento “contra invasores e outros ataques”.

• Julho, 2001

Um worm chamado “Code Red” afeta redes de computadores que executam o sistema operacional Microsoft. Alguns sites, incluindo o site da Casa Branca, são desativados.

• meados de 2003

Surge o Anonymous, grupo de hackers organizado que se referem a si mesmos como “ativistas da Internet” e atacam sites governamentais, corporativos e religiosos.

• meados de 2006

A NASA começa a bloquear e-mails com anexos antes do lançamento de ônibus espaciais para impedir que hackers sabotem os planos de lançamento, obtendo acesso não autorizado à rede de computadores da agência.

• Abril e Maio, 2007

Os sites do governo da Estônia são invadidos por ataques de negação de serviço e ficam comprometidos por 22 dias. Acredita-se que os hackers sejam apoiados pelo governo russo. Os alvos incluem o gabinete do presidente, o Parlamento, as autoridades policiais e os dois maiores bancos da Estônia.

• Julho, 2008

Nas semanas que antecedem a guerra entre a Rússia e a Geórgia, a Geórgia é atingida por ataques de negação de serviço e muitas das redes de computadores do governo são desativadas, incluindo a do presidente Mikheil Saakashvili. As empresas de mídia e transporte também são afetadas. As autoridades da Geórgia acusaram a Rússia de lançar o ataque.

• Outubro, 2008

As autoridades do Pentágono descobrem que um pen drive contendo um programa secreto inserido em um laptop em uma base no Oriente Médio.

O programa coletou dados de uma rede classificada de computadores do Departamento de Defesa e os transferiu para computadores no exterior.

Autoridades do governo dizem que o hack foi realizado por uma agência de inteligência estrangeira e chamou a invasão de “a violação mais significativa dos computadores militares dos EUA”.

• Janeiro, 2009

Os websites do governo de Israel são atacados durante o conflito com o Hamas na Faixa de Gaza. Os computadores do governo são bombardeados com até 15 milhões de e-mails indesejados por segundo, e os computadores ficam temporariamente paralisados. Israel suspeita que o Hamas financiou o hack.

• Março, 2009

Pesquisadores canadenses do Munk Centre for International Studies da Universidade de Toronto anunciaram que hackers chineses haviam invadido quase 1.300 computadores em 103 países, incluindo os pertencentes a embaixadas, escritórios do governo e ao Dalai Lama, roubando documentos e outras informações.

• Dezembro, 2009

As notícias dizem que insurgentes iraquianos invadiram feeds ao vivo enviados por drones dos EUA para oficiais militares no local.

• Abril, 2010

Pesquisadores da Universidade de Toronto relatam que hackers invadiram o Ministério da Defesa da Índia e roubaram informações confidenciais sobre o sistema de segurança nacional do país.

O relatório, que aponta a China como líder do ataque, também diz que os computadores das embaixadas de todo o mundo foram comprometidos.

• Junho, 2010

Especialistas em segurança descobrem o Stuxnet, a primeira arma cibernética de nível militar do mundo que pode destruir oleodutos e causar explosões em usinas e fábricas de energia, além de manipular máquinas.

É o primeiro worm que corrompe equipamentos industriais e também o primeiro worm a incluir um PCL (controlador lógico programável), software projetado para esconder sua existência e progresso.

• Agosto, 2010

O Pentágono declara o ciberespaço como “novo domínio da guerra”.

• Novembro, 2010

O Pentágono declara o ciberespaço como “novo domínio da guerra”.,net destruiu cerca de 1.000 das 6.0000 centrífugas do país em sua instalação nuclear em Natanz. Acredita-se que Israel e os EUA estejam por trás do ataque, na tentativa de retardar o progresso do Irã em obter armas nucleares.

• Dezembro

O grupo Anonymous ataca várias empresas vistas como “inimigas” do WikiLeaks. A ação foi em resposta à prisão do fundador do WikiLeaks, Julian Assange.

• Junho, 2011

Funcionários do Fundo Monetário Internacional relatam que, nos meses anteriores, o fundo havia sido atingido por “uma violação significativa” de seus sistemas de computadores. O FBI anunciou evidências ligando o governo chinês ao ataque.

• Dezembro, 2011

O malware batizado de Mahdi, em homenagem ao Messias, no Islã, se infiltra em cerca de 800 computadores de funcionários do governo, funcionários da embaixada e outros empresários no Irã, Israel, Afeganistão, Emirados Árabes Unidos e África do Sul.

O malware foi incorporado aos anexos de e-mail e os usuários que abriram os documentos estavam suscetíveis a ter seus e-mails e mensagens lidos por hackers.

• Maio, 2012

É descobert,o o Flame, malware que ataca computadores usando o Microsoft Windows.

Acredita-se que seu desenvolvimento tenha sido patrocinado pelo Estado. Um relatório, divulgado pelo CrySyS Lab, da Universidade de Budapeste, afirma que “sem dúvida é o malware mais complexo já encontrado”.

O Flame é capaz de gravar conversas do Skype, áudios, atividade do teclado, tráfego de rede e capturas de tela. É espalhado por uma rede local ou pen drive. O Flame também possui um comando de eliminação, que deleta todos os seus vestígios do computador.

• Agosto, 2012

Os hackers islâmicos se infiltram nas redes de computadores da Saudi Aramaco, uma empresa petrolífera da Arábia Saudita, e detonam com os discos rígidos de cerca de 30.000 computadores.

• Setembro, 2012

Nove bancos nos EUA, incluindo o Bank of America, Wells Fargo e JP Morgan Chase, foram atingidos por um ataque de negação de serviço que impediu o acesso dos clientes aos sites dos bancos por vários dias.

O grupo hacktivista islâmico Izz ad-Din Al-Qassam Cyber ​​Fighters (também chamados de Brigadas Al-Qassam) assume a responsabilidade pelo ataque. O grupo está ligado à ala militar do Hamas.

• Outubro, 2012

O Secretário de Defesa dos EUA, Leon Panetta, alerta que os EUA devem se proteger contra um “cyber Pearl Harbor”.

• Agosto, 2013

O site do New York Times fica fora do ar por cerca de 20 horas após ser invadido, supostamente pelo Exército Eletrônico da Síria, um grupo de hackers que apoia o presidente sírio Bashar al-Assad.

Os invasores acessaram o site por meio da Melbourne IT, o fornecedor que registra nomes de domínio.

• Maio, 2014

O Departamento de Justiça dos EUA denunciou uma acusação de cinco membros da Unidade 61398 do Exército de Libertação do Povo Chinês, acusando-os de invadir as redes de computadores da Westinghouse Electric, da US Steel Corp. e de outras empresas norte-americanas.

A unidade 61398, com sede em Xangai, é a divisão cibernética do exército nacional da China.

• Novembro, 2014

As redes de computadores da Sony Pictures são invadidas, com informações médicas pessoais sobre funcionários, informações financeiras, e-mails e milhares de outros documentos sendo levantados e divulgados pelos hackers.

Os EUA suspeitam que a Coreia do Norte esteja por trás do ataque, em retaliação pelo lançamento da Sony de uma comédia bizarra chamada The Interview, sobre um plano da CIA para assassinar o líder norte-coreano Kim Jong-un.

Em dezembro, o FBI acusou formalmente a Coreia do Norte de organizar o ataque, dizendo que tinha evidências significativas ligando o governo à emboscada.

• Abril, 2015

As autoridades dos EUA anunciam que os hackers russos obtiveram acesso aos e-mails da Casa Branca e do Departamento de Estado em 2014.

Os e-mails não foram classificados, mas provavelmente continham informações confidenciais.

Os hackers invadiram os arquivos de e-mail das autoridades da Casa Branca e do Departamento de Estado que correspondem ao presidente Barack Obama.

• Junho, 2015

A Casa Branca anuncia que os números do Seguro Social e outras informações de identificação pessoal de cerca de 4 milhões de funcionários atuais e antigos do governo foram violados. O governo acredita que o hack tenha sido originado na China.

• Setembro, 2015

Hackers russos começaram a desencadear uma série de ataques de malwares de exclusão contra a Ucrânia.

Eles têm, como alvo, a mídia e a infraestrutura ucranianas, incluindo a ferrovia nacional e o aeroporto de Kiev, paralisando centenas de computadores nas redes desses alvos.

• Dezembro, 2015

Hackers russos atacam três concessionárias regionais de energia ucranianas, deixando cerca de 225.000 civis sem luz – o primeiro apagão da história a ser causado por um ataque cibernético.

• Dezembro, 2016

Hackers russos voltam a causar um blecaute na Ucrânia, desta vez em Kiev, capital do país. O blecaute dura uma hora.

• Junho, 2017

No final de junho de 2017, hackers russos usaram os servidores hackeados da empresa de contabilidade ucraniana Linkos Group para enviar um código que passaria a se chamar NotPetya.

O NotPetya ficou conhecido como o ciberataque mais devastador da história, causando um prejuízo estimado de 10 bilhões de dólares ao redor do mundo e atingindo diversos países, que vão da Ucrânia ao Estados Unidos.

• Junho, 2019

Serviços de inteligência chineses invadiram o sistema da Universidade Australiana para coletar dados que poderiam ser usados para fazer dos estudantes informantes antes de eles serem contratados pelo serviço público.

O Irã anunciou que expôs e ajudou a desmantelar uma suposta rede de espionagem cibernética apoiada pela CIA em vários países.

Foi descoberto que, ao longo de sete anos, um grupo de espionagem chinês invadiu dez operadoras telefônicas que operavam em trinta países para rastrear dissidentes, funcionários e suspeitos de espionagem.

• Agosto, 2019

Um grupo indiano, suspeito de espionagem, realizou uma campanha de phishing mirando agências do governo chinês e empresas estatais para obter informações relacionadas ao comércio econômico, à defesa nacional e às relações externas da China.

• Setembro, 2019

Hackers iranianos atacaram mais de 60 universidades ao redor do mundo, incluindo dos EUA, Austrália, Reino Unido, Canadá, Hong Kong e Suíça, na tentativa de roubar propriedade intelectual.

• Dezembro

Hackers desconhecidos roubaram credenciais de login de agências governamentais em 22 países da América do Norte, Europa e Ásia.

• Janeiro, 2020

A multinacional Mitsubishi anuncia que um grupo de hackers chineses mirava a empresa como parte de um ataque cibernético maciço que comprometia dados pessoais de 8.000 indivíduos, além de informações relacionadas a empresas parceiras e agências governamentais, incluindo projetos relacionados a equipamentos de defesa.

• Março, 2020

A empresa chinesa de cibersegurança Qihoo 360 acusou a CIA de usar hackers em uma campanha que já vem durando 11 anos contra alvos da indústria chinesa, organizações de pesquisa científica e agências governamentais.

• Abril, 2020

Hackers alegadamente apoiados pelo governo iraniano tentaram invadir as contas dos funcionários da OMS em meio à pandemia do COVID-19.

O seu exército está preparado?

As empresas se proteger contra possíveis conflitos cibernéticos, e para isso, é necessário um conjunto de serviços e conhecimento para garantir a melhor defesa.

Conte com a assessoria da Compugraf para a proteção de sua empresa e tenha as melhores soluções disponíveis no mercado

Seria uma guerra entre máquinas, sem a intervenção humana, algo possível?

Ao menos nos filmes de ficção, a gente já sabe que isso é possível, mas na vida real como é que as máquinas poderiam entrar em conflito e quais as possíveis motivações?

Já que estamos falando de guerra cibernética, existe uma tendência muito grande de abordar o tema de guerras entre máquinas, que é um medo generalizado das pessoas em relação a tecnologia, desde os primeiros avanços que tivemos.

Quer o histórico das Guerras Cibernéticas?

A gente sabe como é importante conhecer casos reais para entender melhor o conceito de guerra cibernética, e por isso, preparamos uma linha do tempo com os alguns dos principais eventos dos últimos 10 anos.

Guerra Cibernética: do mundo digital ao mundo físico

A concepção mundial de guerra cibernética mudou de vez em 2010.

Tudo começou quando a VirusBlokAda, uma empresa de segurança da Bielorrússia, encontrou um misterioso código de malware que causava um “crash” – ou falha de sistema – nos computadores que executavam seu antivírus.

Em setembro daquele ano, pesquisadores de segurança cibernética chegaram à chocante conclusão de que o espécime de malware, apelidado de Stuxnet, era o código mais sofisticado já criado para um ataque cibernético e que fora projetado especificamente para destruir as centrífugas usadas nas instalações de enriquecimento nuclear do Irã.

Cerca de dois anos depois, o The New York Times confirmou que o Stuxnet era uma criação da NSA e da inteligência israelense, com o objetivo de impedir as tentativas do Irã de construir uma bomba nuclear.

Ao longo de 2009 e 2010, o Stuxnet destruiu mais de mil das centrífugas de alumínio de aproximadamente dois metros de altura da instalação de enriquecimento nuclear subterrâneo do Irã, em Natanz, provocando caos e confusão. Depois de se espalhar pela rede iraniana, ele injetou comandos nos chamados controladores lógicos programáveis, ou PLCs (programmable logic controllers), responsáveis pelo funcionamento das centrífugas, fazendo com que elas acelerassem, ou ou manipulando a pressão dentro delas, até que quebrassem “sozinhas”.

O Stuxnet seria reconhecido como o primeiro ataque cibernético já projetado para danificar diretamente equipamentos físicos, e um ato de guerra cibernética que ainda não foi replicado em seus efeitos destrutivos.

Seria também o estopim de uma subsequente corrida global por armas cibernéticas.

Hollywood e uma possível guerra entre máquinas

A ideia de uma guerra cibernética populada por robôs, ao melhor estilo Exterminador do Futuro, deu lugar, nos anos 90, a uma que focava nos computadores e na internet, que vinham transformando cada vez mais a vida humana e tornando-a, gradativamente, dependente da tecnologia.

Isto é, se antes o medo girava em torno de uma máquina que se assemelha – e supera – os humanos, não tardou muito a que ele desse lugar ao medo do que o homem poderia fazer por trás de uma máquina.

“Cyberwar Is Coming!”, um artigo de 1993 escrito por dois analistas do laboratório RAND, descreve como hackers militares logo seriam usados não apenas para reconhecimento e espionagem de sistemas inimigos, mas também para ataques planejados, cujo objetivo seria interromper as atividades dos computadores que um inimigo usa para comando e controle.

Alguns anos depois, porém, os analistas do RAND perceberam que hackers militares não necessariamente limitariam seus ataques disruptivos a computadores militares. Eles poderiam atacar, com facilidade, todos elementos computadorizados e automatizados da infraestrutura do inimigo, com consequências potencialmente desastrosas para os civis.

Em um mundo que evoluía tendo os computadores como cerne, isso significaria o comprometimento de sistemas de transporte, bolsas de valores, companhias aéreas e até mesmo a rede elétrica que sustentava todos desses sistemas vitais.

Como sabemos hoje, eles não estavam longe da verdade.

Conforme a guerra cibernética se desenvolvia, ficou claro que hackear não precisava se limitar a táticas periféricas de guerra: os ataques cibernéticos poderiam ser eles mesmos uma arma.

Talvez tenha sido essa definição de guerra cibernética que o presidente Bill Clinton tinha em mente em 2001 quando alertou, em um discurso, que “ hoje, nossos sistemas críticos, desde estruturas de energia até controle de tráfego aéreo, estão conectadas e operam por computadores” e que alguém poderia, por trás de outro computador, hackeá-lo, entrar num sistema e potencialmente paralisar uma empresa, uma cidade, ou um governo inteiro.

Essa definição de guerra cibernética se tornou mais clara no livro “Cyber War”, de 2010, co-escrito por Richard A. Clarke, consultor de segurança nacional dos presidentes Bush e Clinton, e Robert Knake, que, posteriormente, seria o consultor de segurança cibernética do presidente Obama.

No livro, Clarke e Knake definem a guerra cibernética como “ações de um estado-nação para penetrar nos computadores ou redes de outro estado-nação com o objetivo de causar danos ou perturbações.”

Em termos mais simples, essa definição abrange aproximadamente as mesmas coisas que identificamos como “atos de guerra”, mas agora realizada por meios digitais. Porém, como o mundo veio a aprender enquanto Clarke e Knake escreviam essa definição, os ataques digitais tinham potencial de ir além de “meros computadores” para terem consequências reais e, como muitos temiam, físicas.

Seja na guerra entre máquinas, ou ciberguerra, prevenir é melhor do que remediar

Como as ameaças cibernéticas tendem a levar alguns meses até serem detectadas pelos operadores, os danos a uma organização podem se acumular rapidamente, se não houver planos de prevenção de contenção.

Um exemplo de prejuízo significativo a pequenas empresas é a Volunteer Voyages, organizadora de viagens de ajuda humanitária, que teve 14 mil dólares comprometidos por cobranças fraudulentas após um criminoso online roubar suas informações de cartão de débito, que o banco se recusou a reembolsar.

Ou ainda startup americana de delivery de comida DoorDash, que sofreu uma grande violação de dados em setembro passado, com hackers acessando dados confidenciais de mais de 4,9 milhões de clientes, resultando em dezenas de milhares em despesas.

E temos também a Miracle Systems, que fornece serviços de TI e engenharia a mais de 20 agências federais, e que sofreu, recentemente, perdas de 500 mil a 1 milhão de dólares devido a uma violação interna do servidor.

Considere que remediar um ataque implica em uma série de despesas adicionais, como conformidade regulamentar, honorários advocatícios, investigações técnicas e perda de receita e relacionamentos com clientes, além de custos auxiliares associados a ataques cibernéticos, que podem ser agravados rapidamente para grandes empresas e absolutamente fatais para as pequenas.

E, ironicamente, mesmo diante disso tudo e com 480 novas ameaças de alta tecnologia introduzidas a cada minuto, de acordo com a fornecedora de antivírus McAfee, o fator humano continua sendo uma das maiores ameaças ao bem-estar das organizações.

Com apenas 3 em cada 10 funcionários recebendo, atualmente, treinamento anual sobre segurança cibernética nas empresas, é muito fácil para os cibercriminosos contornarem as proteções digitais mais avançadas.

Quer mais história?

A definição de guerra cibernética, de maneira resumida, é o conflito entre dois ou mais países que ocorre a partir do uso de tecnologia.

Pra que isso fique ainda mais fácil de ser compreendido, confira a seguir o nosso vídeo com uma linha do tempo com os conflitos dos últimos 10 anos:

O seu exército está preparado?

As empresas se proteger contra possíveis conflitos cibernéticos, e para isso, é necessário um conjunto de serviços e conhecimento para garantir a melhor defesa.

Conte com a assessoria da Compugraf para a proteção de sua empresa e tenha as melhores soluções disponíveis no mercado

A corrida armamentista é um dos principais sinais de que a guerra cibernética é uma realidade

A gente já falou bastante sobre guerra cibernética aqui.

Por definição, a corrida armamentista engloba os investimentos de um país em recursos relacionados a guerra cibernética, o que pode ser o suficiente para gerar um conflito.

Por aí, podemos incluir, ações de espionagem ou infiltramento de pessoas, códigos com capacidade de destruição em massa e até mesmo o acesso a bancos de dados com conteúdo de sigilo, todos geradores de crise.

O resultado disso? possíveis guerras cibernéticas.

A gente criou um material estendo pra listar as principais até os dias de hoje, acesse a seguir:

A corrida armamentista da guerra cibernética

O Irã foi um dos primeiros a entrar nessa corrida, desta vez como agressor, não como alvo.

Em agosto de 2012, a empresa Saudi Aramco, da Arábia Saudita, uma das maiores produtoras de petróleo do mundo, foi atingida por um malware conhecido como Shamoon, que limpou 35.000 computadores da empresa – cerca de três quartos de sua força computacional – deixando suas operações essencialmente paralisadas.

Nas telas das máquinas danificadas, algo digno de cinema: o malware deixou uma imagem de uma bandeira americana em chamas.

Um grupo autodenominado Cutting Sword of Justice reivindicou o crédito pelo ataque como uma declaração ativista, mas os analistas de segurança cibernética rapidamente suspeitaram que o Irã era o responsável final e usaram os sauditas como um alvo em retaliação ao Stuxnet.

No mês seguinte, hackers iranianos, que se autodenominavam Operação Ababil, atingiram todos os principais bancos dos EUA, desativando seus sites com rajadas de ataques apoiados em DDoS.

Novamente, os analistas de segurança cibernética identificaram a mão do governo iraniano na sofisticação do ataque, apesar da fachada “hacktivista”.

Até que, pouco mais de um ano depois, em fevereiro de 2014, hackers iranianos lançaram outro ataque direcionado ao solo americano:

Após comentários públicos do bilionário sionista Sheldon Adelson, sugerindo que os EUA usassem uma arma nuclear no Irã, hackers atacaram o cassino Las Vegas Sands, de Adelson, usando um malware destrutivo para derrubar milhares de computadores, como ocorrera em Saudi Aramco.

Mas, em 2014, o Irã não era mais o único país a explorar o potencial de ataques cibernéticos em todo o mundo.

A Coréia do Norte também se preparava para entrar com tudo na guerra cibernética. Depois de anos organizando ataques DDoS punitivos contra seu adversário favorito, a Coréia do Sul, hackers norte-coreanos arquitetaram uma operação mais ousada:

Em dezembro de 2014, eles revelaram que haviam penetrado profundamente na rede da Sony Pictures pouco antes do lançamento de The Interview, um filme de baixo custo de comédia sobre uma trama de assassinato contra o ditador norte-coreano Kim Jong-un.

O caso repercutiu ao redor do mundo à época.

Os hackers norte-coreanos, que se autodenominavam Guardiões da Paz, roubaram e vazaram resmas de e-mails, além de vários filmes ainda não lançados.

Eles terminaram o ataque limpando milhares de computadores da corporação e, seguindo o exemplo dos iranianos, deixaram uma imagem ameaçadora nos computadores apagados, que mostrava um esqueleto juntamente com uma mensagem de extorsão: eles exigiram dinheiro e que o lançamento de The Interview fosse cancelado.

Apesar desse crime cibernético, o FBI nomeou publicamente o governo norte-coreano como o autor do ataque, baseado em parte em uma falha que revelou um endereço de IP chinês conhecido por ser usado por hackers norte-coreanos.

E a lista de potências mundiais entrando na briga da guerra cibernética crescia.

De lá pra cá…

Apesar desse casos envolvendo o Irã e a Coréia do Norte, e de sua dimensão, a guerra cibernética em meados de 2014 foi limitada a incidentes isolados.

Mas se por um lado, embora preocupante, esse tipo de ataque não representava uma novidade no histórico da guerra cibernética, por outro, um dia antes do Natal, os hackers russos realizaram um feito sem precedentes:

Atacaram três concessionárias regionais de energia ucranianas, deixando cerca de 225.000 civis sem luz – o primeiro apagão da história a ser causado por um ataque cibernético.

A interrupção durou apenas seis horas, mas enviou uma mensagem poderosa à população ucraniana sobre sua vulnerabilidade a ataques remotos – e ao mundo sobre a ameaça cibernética em evolução na Rússia.

O pior de tudo é que, na verdade, todos esses ataques foram apenas um prelúdio para o principal evento da guerra cibernética contra a Ucrânia: o NotPetya.

A corrida armamentista no histórico da guerra cibernética

A definição de guerra cibernética, de maneira resumida, é o conflito entre dois ou mais países que ocorre a partir do uso de tecnologia.

Pra que isso fique ainda mais fácil de ser compreendido, confira a seguir o nosso vídeo com uma linha do tempo com os conflitos dos últimos 10 anos:

Apesar do vídeo destacar os conflitos dois últimos 10 anos, as crises políticas e guerras cibernéticas estão longe de serem “amigas recentes”, em uma pesquisa mais avançada, conseguimos identificar conflitos do tipo ocorrendo desde 1969.

NotPetya: Como a corrida armamentista criou o ciberataque mais devastador da história (até agora)

No final de junho de 2017, hackers russos usaram os servidores hackeados da empresa de contabilidade ucraniana Linkos Group para enviar um código que passaria a se chamar NotPetya.

Combinando o EternalBlue, um programa de hackers da NSA – o qual pode ser considerado um investimento da corrida armamentista, e a ferramenta de roubo de senha Mimikatz em um worm automatizado.

O NotPetya se espalhou quase que instantaneamente para cerca de 10% de todos os computadores na Ucrânia, criptografando seu conteúdo com uma carga destrutiva disfarçada para parecer um ransomware – ataque caracterizado pelo “sequestro” de informações de um computador.

Mas sem nenhum mecanismo para descriptografar os arquivos depois que a vítima pagasse um resgate.

O nome NotPetya se deu porque o malware parecia, a princípio, ser uma versão do antigo ransomware Petya, usado por criminosos cibernéticos para ataques de ransomware, mas não era.

Na Ucrânia, ele fechou bancos, caixas eletrônicos e sistemas de ponto de venda, paralisando quase todos as agências governamentais do país e incapacitando a infraestrutura nacional.

Mas a virulência do NotPetya não se limitou às fronteiras da Ucrânia.

Também atingiu a A.P. Møller-Maersk, a maior empresa de transporte marítimo do mundo; a empresa farmacêutica norte-americana Merck; a subsidiária europeia da FedEx, TNT Express; a empresa de construção francesa Saint-Gobain; a produtora de alimentos Mondelez; e a fabricante Reckitt Benckiser.

Em cada um desses casos, saturou redes, apagando milhares de computadores e causando um prejuízo centenas de milhões de dólares em negócios perdidos e custos de cibersegurança. Além disso, o NotPetya também atingiu pelo menos dois hospitais dos EUA e fechou a empresa de software de transcrição Nuance, que fornecia serviços de transcrição de registros médicos para mais de cem hospitais e clínicas.

Aliás, o NotPetya chegou a se espalhar pela própria Rússia, causando danos colaterais adicionais a vítimas como a empresa estatal de petróleo Rosneft, a siderúrgica Evraz, a empresa de tecnologia médica Invitro e o Sberbank.

Ao todo, uma estimativa da Casa Branca mais tarde colocaria o custo do NotPetya em 10 bilhões de dólares, pelo menos, embora a extensão total de seus danos talvez nunca seja conhecida.

O seu exército está preparado?

As empresas se proteger contra possíveis conflitos cibernéticos, e para isso, é necessário um conjunto de serviços e conhecimento para garantir a melhor defesa.

Conte com a assessoria da Compugraf para a proteção de sua empresa e tenha as melhores soluções disponíveis no mercado

As crises políticas e as guerras cibernéticas estão diretamente relacionadas. Mas você sabe como?

Em nossos últimos artigos já mencionamos os motivos que podem ocasionar uma guerra cibernética. Então a esse ponto, você já deve ter compreendido que as motivações que levam um país a entrar em conflito com o outros são políticas.

E se você ainda não leu nosso artigo mais completo sobre guerra cibernética ainda, eu recomendo pra que assim você possa ampliar a sua visão a partir deste texto.

Um pouco de contexto antes de entendermos a relação entre crises políticas e guerras cibernéticas…

A definição de guerra cibernética, de maneira resumida, é o conflito entre dois ou mais países que ocorre a partir do uso de tecnologia.

Pra que isso fique ainda mais fácil de ser compreendido, confira a seguir o nosso vídeo com uma linha do tempo com os conflitos dos últimos 10 anos:

Apesar do vídeo destacar os conflitos dois últimos 10 anos, as crises políticas e guerras cibernéticas estão longe de serem “amigas recentes”, em uma pesquisa mais avançada, conseguimos identificar conflitos do tipo ocorrendo desde 1969.

Confira como eram os conflitos até a década de 80:

• 1969 | Dezembro

É fundado o DARPA (Defense Advanced Research Projects Agency), um ambiente online que conecta quatro das principais universidades dos EUA.

Projetado para organizações de pesquisa, educação e governo, fornece uma rede de comunicações que liga o país inteiro no caso de um ataque militar destruir sistemas de comunicação convencionais.

• 1982 | Junho

Depois de saber que a União Soviética planejava roubar software de uma empresa canadense para controlar seu oleoduto transiberiano, a CIA altera o software para causar a explosão do oleoduto. É considerado o primeiro ataque cibernético da história.

• 1986 | Agosto

Ao longo de 10 meses, com início em agosto, Clifford Stoll, um pesquisador de Física da Universidade da Califórnia, em Berkeley, rastreia o hacker que invadiu os computadores do Lawrence Berkeley National Laboratory, uma instalação do Departamento de Energia dos EUA e computadores das forças armadas norte-americanas.

Ele localizou o hacker na Alemanha. É a primeira investigação desse tipo a ocorrer no mundo.

• 1988 | Novembro

Um worm encerra temporariamente cerca de 10% dos servidores de Internet ao redor do mundo. É a primeira ocorrência de algo do tipo. Robert Tappan Morris, um estudante da Universidade de Cornell, lançou o worm. Morris é a primeira pessoa julgada e condenada sob a lei de fraude e abuso cibernético.

Deu pra ver que desde os primórdios das guerras cibernéticas, quando elas ainda nem tinham esse nome, elas já eram baseadas em crises políticas e já causavam danos a sociedade.

Crises políticas, guerras cibernéticas e o início da corrida armamentista

A corrida armamentista é o processo de um país no investimento de tecnologias e soluções que o protejam ou sirvam de ferramenta para uma guerra cibernética.

Um detalhe importante aqui, é que isso pode girar basicamente em torno de ações de espionagem (a princípio), o que já é o suficiente para iniciar um desacordo internacional.

Nesse processo, o Irã foi um dos primeiros a fazer parte, inclusive como agressor.

Em agosto de 2012, a empresa Saudi Aramco, da Arábia Saudita, uma das maiores produtoras de petróleo do mundo, foi atingida por um malware conhecido como Shamoon, que limpou 35.000 computadores da empresa.– cerca de três quartos de sua força computacional – deixando suas operações essencialmente paralisadas.

Nas telas das máquinas danificadas, algo digno de cinema: o malware deixou uma imagem de uma bandeira americana em chamas.

Um grupo autodenominado Cutting Sword of Justice reivindicou o crédito pelo ataque como uma declaração ativista, mas os analistas de segurança cibernética rapidamente suspeitaram que o Irã era o responsável final e usaram os sauditas como um alvo em retaliação ao Stuxnet.

Mas é claro que não terminou por aí…

No mês seguinte, hackers iranianos, que se autodenominavam Operação Ababil, atingiram todos os principais bancos dos EUA, desativando seus sites com rajadas de ataques apoiados em DDoS.

Novamente, os analistas de segurança cibernética identificaram a mão do governo iraniano na sofisticação do ataque, apesar da fachada “hacktivista”.

Até que, pouco mais de um ano depois, em fevereiro de 2014, hackers iranianos lançaram outro ataque direcionado ao solo americano:

Após comentários públicos do bilionário sionista Sheldon Adelson, sugerindo que os EUA usassem uma arma nuclear no Irã, hackers atacaram o cassino Las Vegas Sands, de Adelson, usando um malware destrutivo para derrubar milhares de computadores, como ocorrera em Saudi Aramco.

Mas, em 2014, o Irã não era mais o único país a explorar o potencial de ataques cibernéticos em todo o mundo.

A Coréia do Norte também se preparava para entrar com tudo na guerra cibernética. Depois de anos organizando ataques DDoS punitivos contra seu adversário favorito, a Coréia do Sul, hackers norte-coreanos arquitetaram uma operação mais ousada:

Em dezembro de 2014, eles revelaram que haviam penetrado profundamente na rede da Sony Pictures pouco antes do lançamento de The Interview, um filme de baixo custo de comédia sobre uma trama de assassinato contra o ditador norte-coreano Kim Jong-un.

O caso repercutiu ao redor do mundo na época

Os hackers norte-coreanos, que se autodenominavam Guardiões da Paz, roubaram e vazaram resmas de e-mails, além de vários filmes ainda não lançados.

Eles terminaram o ataque limpando milhares de computadores da corporação e, seguindo o exemplo dos iranianos, deixaram uma imagem ameaçadora nos computadores apagados, que mostrava um esqueleto juntamente com uma mensagem de extorsão:

Eles exigiram dinheiro e que o lançamento de The Interview fosse cancelado.

Apesar desse crime cibernético, o FBI nomeou publicamente o governo norte-coreano como o autor do ataque, baseado em parte em uma falha que revelou um endereço de IP chinês conhecido por ser usado por hackers norte-coreanos.

E a lista de potências mundiais entrando na briga da guerra cibernética cresceu desde então.

Com todo esse histórico, fica difícil não entender a relação direta entre crises políticas e guerras cibernéticas.

Quer o histórico das Guerras Cibernéticas?

A gente sabe como é importante conhecer casos reais para entender melhor o conceito de guerra cibernética, e por isso, preparamos uma linha do tempo com os alguns dos principais eventos dos últimos 10 anos.

O seu exército está preparado?

As empresas se proteger contra possíveis conflitos cibernéticos, e para isso, é necessário um conjunto de serviços e conhecimento para garantir a melhor defesa.

Conte com a assessoria da Compugraf para a proteção de sua empresa e tenha as melhores soluções disponíveis no mercado

Os efeitos da guerra cibernética podem ser devastadores e complexos para os países envolvidos.

O termo guerra cibernética pode fazer parecer com que seu conceito esteja muito mais distante dos impactos sociais do que realmente pode ser, mas isso está longe de ser verdade.

Conforme já mencionamos em nosso artigo mais completo sobre guerra cibernética, os efeitos do evento podem afetar uma sociedade por longos períodos, atingindo a economia e despertado o medo generalizado de que algo possa acontecer a qualquer momento.

Algo parecido com as tradicionais, guerras, não é mesmo?

Quer o histórico das Guerras Cibernéticas?

A gente sabe como é importante conhecer casos reais para entender melhor o conceito de guerra cibernética, e por isso, preparamos uma linha do tempo com os alguns dos principais eventos dos últimos 10 anos.

Os efeitos da guerra cibernética ao longo da história

Podemos dizer que a definição de guerra cibernética se transformou a partir de 2010.

Na verdade, é uma afirmação. Ela mudou de vez em 2010.

Quando a VirusBlokAda, empresa de segurança da Bielorrússia, encontrou um misterioso código de malware que causava um “crash” – ou falha de sistema – nos computadores que executavam seu antivírus.

No fim do mesmo ano, os pesquisadores de segurança cibernética chegaram à chocante conclusão de que o espécime de malware, apelidado de Stuxnet, era o código mais sofisticado já criado para um ataque cibernético e que fora projetado especificamente para destruir as centrífugas usadas nas instalações de enriquecimento nuclear do Irã.

Cerca de dois anos depois, o The New York Times confirmou que o Stuxnet era uma criação da NSA e da inteligência israelense, com o objetivo de impedir as tentativas do Irã de construir uma bomba nuclear.

Ao longo de 2009 e 2010, o Stuxnet destruiu mais de mil das centrífugas de alumínio de aproximadamente dois metros de altura da instalação de enriquecimento nuclear subterrâneo do Irã, em Natanz, provocando caos e confusão.

Depois de se espalhar pela rede iraniana, ele injetou comandos nos chamados controladores lógicos programáveis, ou PLCs (programmable logic controllers), responsáveis pelo funcionamento das centrífugas, fazendo com que elas acelerassem, ou ou manipulando a pressão dentro delas, até que quebrassem “sozinhas”.

O Stuxnet seria reconhecido como o primeiro ataque cibernético já projetado para danificar diretamente equipamentos físicos, e um ato de guerra cibernética que ainda não foi replicado em seus efeitos destrutivos.

Seria também o estopim de uma subsequente corrida global por armas cibernéticas.

Ao longo da história, muitos outros ataques aconteceram, e para que você conheça os mais recentes, preparamos o seguinte vídeo:

Os efeitos da Guerra Cibernética também ameaçam as empresas

Assim como a ideia de uma guerra cibernética só parecia possível em ficção científica alguns anos atrás, uma violação que comprometesse os dados de milhões de pessoas já foi o tipo de notícia de parar o mundo.

Agora, porém, violações que afetam centenas de milhões ou até mesmo bilhões de pessoas são muito comuns.

Cerca de 4 bilhões de pessoas já viram seus dados pessoais serem roubados ao longo de algumas das maiores violações deste século. Isso é quase metade da população mundial atual.

Mas mais do que comprometer sua privacidade, as violações são uma preocupante ameaça econômica.

O custo médio global de uma violação de dados é de 3,92 milhões de dólares, de acordo com o 2019 Cost of a Data Breach Report da IBM – um aumento de 1,5% em relação ao estudo de 2018.

Entre 2014 e 2019, o aumento do número gastos com prevenção ou retaliação de ataques foi de 12%, um crescimento vertiginoso em cinco anos, que parece que vai ganhar ainda mais força até meados de 2025.

Isso porque, em uma era de contínua transformação digital, os ataques cibernéticos rapidamente se tornaram a atividade criminosa que mais cresce atualmente, com uma expectativa de custar 5,2 trilhões de dólares às empresas em todo o mundo dentro dos próximos cinco anos.

Até lá, as consequências dos ataques cibernéticos continuam seguem evoluindo, com os incidentes agora custando às empresas de todos os tamanhos 200 mil dólares, em média, e encerrando as atividades de pelo menos 60% das empresas menores, seis meses após elas serem vítimas de um ciberataque.

Não se trata mais de uma guerra aos titãs. Qualquer um pode ser vítima de um ataque, a qualquer momento – inclusive empresas de pequeno porte.

A frequência com que esses ataques estão ocorrendo também está aumentando, com mais da metade de todas as pequenas empresas sofrendo uma violação, em 2018, e 4 em cada 10 sofrendo vários incidentes ao longo dos anos.

Por outro lado, de acordo com o 2019 SMB Cyberthreat Study, da Keeper Security, 66% dos executivos de pequenas empresas ainda acreditam que é improvável que sejam alvos de criminosos online. E, igualmente, 6 em cada 10 não têm nenhum plano de cibersegurança em vigor, caso sejam vítimas.

Guerra Cibernética, Cibercrime e Ciberterrorismo: Qual a diferença?

A gente já falou anteriormente sobre as diferenças entre os termos guerra cibernética, crime cibernético e terrorismo cibernético, mas porque é tão importante destacar essas diferenças?

Bem, primeiramente, quando a gente fala dos efeitos da guerra cibernética, estamos tratando de algo de uma dimensão muito maior do que ataque cibernético qualquer.

E quando falamos em ciberterrorismo, estamos falando muito de impacto, porém um pouco menos de motivações reais.

Em outras palavras, a guerra cibernética é o “pacote completo” dos conflitos digitais, podendo incluir as duas outras coisas.

E até mesmo pra evitar a diminuição dos efeitos da guerra cibernética, é importante separá-la de seus recursos e, principalmente, as suas causas.

O seu exército está preparado?

As empresas se proteger contra possíveis conflitos cibernéticos, e para isso, é necessário um conjunto de serviços e conhecimento para garantir a melhor defesa.

Conte com a assessoria da Compugraf para a proteção de sua empresa e tenha as melhores soluções disponíveis no mercado