"Violação de dados pessoais", uma violação da segurança que provoque, de modo acidental ou ilícito, a destruição, a perda, a alteração, a divulgação ou o acesso, não autorizados, a dados pessoais transmitidos, conservados ou sujeitos a qualquer outro tipo de tratamento" - Artigo 4-12 do RPDG
Depois de um 2017 repleto de incidentes graves e mediáticos de ransomware, 2018 arranca com a exposição do Meltdown e Spectre, vulnerabilidades críticas encontradas nos processadores modernos e que permitem o acesso indevido a dados que estão a ser processados pelo computador. Os fabricantes apressam-se a disponibilizar as correções, mas a urgência no desenvolvimento está a trazer problemas de desempenho e estabilidade nos sistemas e o problema está ainda por resolver na sua totalidade. O receio de uma catástrofe informática é real e a indústria está em sobressalto.
Mas à luz do RGPD um ataque de ransomware poderá ser considerado uma violação de dados pessoais? De acordo com o RGPD sim. Um ataque ransomware implica sempre o acesso não autorizado e por vezes a destruição, perda ou alteração dos dados. Logo se os dados afetados enquadrarem com a definição do regulamento para dados pessoais, estamos perante uma violação.
Com a entrada do RGPD em 25 de maio de 2018, mais motivadas estarão estas estruturas criminosas que se movem única e exclusivamente por dinheiro. Não temos grandes dúvidas que o ransomware irá continuar a evoluir e será uma das principais causas de violação de dados pessoais nas organizações. Mais preocupante ainda é a previsão de evolução destes softwares maliciosos em não só raptar os dados, encriptando-os, mas também em transferi-los de forma a poder coagir a vítima a pagar sob pena de divulgação pública dos mesmos.
Prevê-se também um grande crescimento no ransomware-as-a-service o que se pode traduzir em mais ataques “à medida” e também uma tendência para resgates longos envolvendo diversas técnicas de chantagem.
Percebemos que o caso é grave quando o ICO, a comissão de proteção de dados Inglesa, vem a propósito de Meltdown e Spectre, comunicar:
“We are aware of reports detailing potentially significant flaws in a wide range of computer processors, which could affect various operating systems. We strongly recommend that organisations with affected hardware test and apply patches from suppliers as soon as they are released.
“All organisations have a duty to keep personal information in their care secure and that involves having layered security defences in place, including procedures for applying patches and updates, to help to mitigate the risk of exploitation.”
Nigel Houlden, ICO Head of Technology
Porque para o RGPD, não basta cumprir, mas também fazer prova de que se está a cumprir. Encaramos este comunicado como um sério aviso para todas as organizações. É da responsabilidade de cada organização a segurança dos dados pessoais a seu cargo, incluindo a aplicação de medidas que ajudem a mitigar o risco de exposição. A negligencia nesta tarefa terá, no caso de uma violação de dados pessoais, sérias consequências a nível das penalizações aplicadas.
Assim, nunca é demais relembrar: começando pelos backups, como peça chave para a proteção de ataques ransomware (e não só), é também necessário encriptar os dados sensíveis e proteger as respetivas chaves de encriptação, aplicar politicas de retenção dos dados e investir em tecnologias de deteção e prevenção de malware “inteligentes” que permitam uma monitorização do comportamento dos sistemas em tempo real e “sandboxing”. Limitar os direitos de administração e reforçar a autenticação com sistemas multifator são também medidas críticas para evitar ser vítima deste tipo de ataques.