Tecnologia

| Segurança

A Apple divulgou nesta segunda-feira (13) uma atualização que corrige uma falha em seu sistema operacional que, segundo pesquisadores, foi explorada pelo spyware Pegasus de uma empresa israelense.

O Grupo NSO está no centro da tempestade após uma investigação da imprensa internacional determinar que seu software Pegasus foi usado para espionar telefones de ativistas de direitos humanos, jornalistas e até chefes de Estado.

##RECOMENDA##

Especialistas em segurança cibernética e da Apple instaram nesta segunda-feira (13) os proprietários de iPhones e outros dispositivos com sistema operacional iOS a instalarem a última atualização do software.

Pesquisadores do Citizen Lab, uma organização de vigilância cibernética no Canadá, encontraram o problema ao analisar o telefone de um ativista saudita que havia sido infectado com o spyware Pegasus do Grupo NSO.

"Determinamos que a empresa mercenária de spyware NSO Group usou a vulnerabilidade para explorar e infectar remotamente os dispositivos Apple mais recentes com spyware Pegasus", escreveu o Citizen Lab.

O laboratório acrescentou que em março examinou o telefone do ativista e determinou que havia sido hackeado com o programa de espionagem Pegasus por meio do software de mensagens de texto iMessage.

"A Apple está ciente de um relatório que afirma que esse problema pode ter sido explorado ativamente", observou a gigante da tecnologia em uma postagem sobre a atualização de segurança.

O Citizen Lab disse acreditar que o ataque foi obra do Grupo NSO.

"Vender tecnologia para governos que a usarão de forma imprudente, em violação das leis internacionais de direitos humanos, em última análise facilita a descoberta de spyware por organizações de vigilância, como nós e outros demonstramos repetidamente e como foi o caso novamente desta vez", concluiu.

Uma cidadezinha suíça admitiu nesta quarta-feira (25) ter subestimado a gravidade de um recente ataque cibernético, após tomar conhecimento pela imprensa de que os dados de todos os seus moradores foram expostos on-line.

A pitoresca localidade de Rolle, às margens do lago Genebra, admitiu na semana passada ter sido vítima de um ataque de "ransomeware" (sequestro cibernético de dados) e que a informação em alguns servidores administrativos ficou exposta.

##RECOMENDA##

O governo municipal da cidade, de 5.400 habitantes, disse inicialmente que a ação afetou apenas uma pequena quantidade de dados e que tinha backup de toda a informação.

No entanto, uma investigação publicada nesta quarta-feira pelo jornal Le Temps revelou que o ataque, detectado pela primeira vez em 30 de maio, na verdade foi "maciço".

O jornal citou um especialista não identificado em cibersegurança na darkweb que disse ter levado apenas 30 minutos para acessar milhares de documentos municipais de Rolle.

O periódico destacou que os documentos "são pessoais e extraordinariamente sensíveis".

A prefeitura admitiu na noite de quarta-feira, em um comunicado, que "subestimou a gravidade do ataque (e) os usos potenciais dos dados".

Disse que "admite com humildade certa ingenuidade em lidar com a darkweb e os ataques de malwares", e que criou um grupo de trabalho para enfrentar a situação.

Não foi informada qual tipo de informação foi exposta, mas o Le Temps publicou que seus jornalistas viram folhas de cálculo com dados de todos os moradores, incluindo nomes, endereços, datas de nascimento, números de identidade ou permissões de residência e em alguns casos, afiliação religiosa.

Embora a Lei Geral de Proteção de Dados (LGPD) esteja em vigência desde 2020, somente no mês de agosto deste ano uma de suas determinações mais importantes passou a ser válida. Trata-se dos artigos que deliberam sobre as sanções administrativas - também conhecidas como multas - a que empresas dos setores público e privado estão sujeitas em caso de infrações confirmadas pela Agência Nacional de Proteção de Dados (ANPD).

Segundo observa a advogada e professora doutora da Universidade Católica de Pernambuco (UNICAP), Paloma Saldanha, a atuação do órgão, que foi criado para, entre outras coisas, monitorar o cumprimento da Lei Geral de Proteção de Dados, não deve partir de uma premissa estritamente acusatória, mas sim, ancorada nas possibilidades de defesa e diálogo.

##RECOMENDA##

“É importante lembrar que a Agência é um órgão recém-criado da administração pública federal e toda a fiscalização, como a própria Lei estabelece, deve acontecer por meio administrativo de modo a garantir o contraditório, a ampla defesa e o direito de recurso, caso a decisão administrativa não seja o esperado pela empresa supostamente infratora”, ponderou a especialista, que também é Presidente da Comissão de Direito da Tecnologia e da Informação (CDTI) na OAB de Pernambuco.

Além dos aspectos ligados às punições, que incluem advertências, multas de até 2% do faturamento (limitadas a R$ 50 milhões), ou até o bloqueio de dados da empresa, a ANPD também é responsável por promover ações socioeducativas, visto que, o debate sobre privacidade e compartilhamento de dados ainda é considerado “novo” na sociedade brasileira.

Nesse sentido, Paloma Saldanha destaca ainda que a expectativa é de que o órgão “assuma agora o papel de orientar, educar e sanar dúvidas da sociedade civil em geral, antes de, necessariamente, iniciar o processo punitivo com multa por violação ao estabelecido na Lei”. Segundo ela, “assim como já vem acontecendo, as pessoas que se sentirem lesadas em seus direitos poderão procurar o Poder Judiciário, o Ministério Público ou o PROCON para solucionar a questão”.

Preciso implementar a LGPD na minha empresa. E agora?

O Sebrae estima que o Brasil tenha cerca de 19 milhões de empreendimentos. Destes,  6,5 milhões figuram na classificação dos micro-negócios, enquanto outros 900 mil são EPPs (empresas de pequeno porte). Diante da LGPD, é certo que todos os negócios precisam se adaptar, contudo, o processo enfrentado por empresas com pouca estrutura jurídica e tecnológica pode ser ainda mais desafiador.

No intuito de orientar sobre a “tratativa dos dados”, ou seja, assegurar que as informações dos clientes estejam protegidas de acordo com o que determina a lei, serviços de assessoria jurídica têm se multiplicado pelo país. A advogada Roberta Lôbo, especialista em LGPD no escritório Pontes e Lôbo, explica que “esses profissionais vão ajudar a entender as mudanças que a lei propõe, quais são os pontos mais relevantes para o negócio e quais consequências a lei pode gerar em cada caso”.

“Para isso, os profissionais irão acompanhar cada fase do planejamento, sugerindo mudanças e adequações. Além de alterar processos já existentes, criar novos procedimentos, emitir relatórios, criar protocolos, auditar e atuar na crise, quando ocorrer o vazamento de dados”, explicou.

Lôbo destaca ainda os seis tipos de penalidades ou multas previstas na LGPD:

Advertência:

Essa modalidade virá com um prazo para que a empresa se adeque à legislação. Caso não corrija no prazo estipulado, haverá penalidade.

Multa simples em cima do faturamento ou multa diária:

A multa pode ser de até 2% do faturamento da pessoa jurídica. O limite é de 50 milhões de reais por infração. A punição diária também será limitada a 50 milhões de reais.

Publicização da infração:

Neste caso, a infração se tornará pública e os prejuízos à imagem da empresa são incalculáveis.

Bloqueio dos dados pessoais:

A sanção administrativa impede que as empresas utilizem os dados pessoais coletados até a situação se regularizar.

Eliminação dos dados pessoais:

A sexta penalidade prevista na LGPD obriga a empresa a eliminar por completo os dados coletados em seus serviços, causando danos à operação da empresa.

Setores jurídico e de T.I precisam estar alinhados

Apenas a atuação individual de juristas especializados na legislação de dados não é o suficiente para garantir o integral cumprimento da LGPD nas empresas. Por isso, de acordo com Paloma Saldanha, é preciso que exista “uma parceria entre jurídico, negócio, e T.I [Tecnologia da Informação]”.

Os setores tecnológicos da empresa, geralmente posicionados na linha de frente no que se relaciona ao recebimento de dados dos consumidores, necessitam seguir a tendência de regulamentação. ”O não ‘cometimento de infrações’ está diretamente ligado ao comprometimento da alta gestão e dos colaboradores com o funcionamento da cultura de proteção de dados estabelecida no ambiente”, enfatiza Saldanha.

Na balança dos prejuízos ocasionados pela infração da lei, segundo ela, o fechamento de contratos pode ser ainda pior que as multas aplicadas pelo órgão responsável. A especialista também cita outro importante aspecto sobre a relação de fornecimento de dados que pode existir entre empresas parceiras.

“De nada adianta a empresa X estar em conformidade com a LGPD e legislações afins se a empresa Y, fornecedora/parceira da empresa X, estiver em desconformidade. As duas estarão automaticamente em desconformidade e isso gera perdas contratuais de todas as espécies”, ressalta.

O que prevê a LGPD

Aprovada e sancionada sob a perspectiva de evitar o vazamento de dados e garantir o respeito à privacidade e outras garantias individuais, a Lei Geral de Proteção de Dados regula as operações realizadas pelos setores público e privado com dados pessoais, a exemplo de coleta, uso e armazenamento dessas informações.

“A lei define regras, princípios e fundamentos que devem ser observados por todas as pessoas físicas ou jurídicas que optam por tratar dados pessoais, em território nacional, com finalidade econômica. Assim, a definição de diretrizes diminui a incidência de violações a direitos constitucionalmente estabelecidos, por exemplo, e empodera o(a) titular dos dados – eu e você – a partir do momento que estabelece, no corpo do texto, os direitos nos cabem e as obrigações dos agentes de tratamento em fazer cumprir esses direitos”, detalha Saldanha.

 

A Lojas Renner afirmou não ter pago resgate de qualquer espécie por dados após o ataque cibernético sofrido pela empresa no último dia 19 de agosto. Em atualização divulgada nesta terça-feira (24), a varejista diz não ter tido nenhum contato com os autores do ataque, assim como não realizou negociações com os responsáveis.

A empresa reiterou que os principais bancos de dados permanecem preservados. Além disso, informou que neste momento, todos os sistemas prioritários já estão operacionais. Segundo o comunicado, as lojas permaneceram abertas e operando durante todo o tempo desde o ataque, com indisponibilidade de apenas alguns processos por algumas horas da quinta-feira (19). A operação de e-commerce foi restabelecida nos sites na manhã do dia 21 (sábado) e, nos aplicativos, no dia 22 (domingo).

##RECOMENDA##

"As equipes permanecem mobilizadas de acordo com o plano de proteção e recuperação, com todos os seus protocolos de controle e segurança, e com um trabalho de apuração, documentação e investigação sobre o ocorrido", escreve a Lojas Renner no documento agora divulgado.

Essa é a primeira atualização da companhia sobre o tema na CVM desde sexta-feira (20) pela manhã, quando lançou um comunicado dizendo que suas equipes continuavam trabalhando para restabelecer o e-commerce após o ataque cibernético que retirou os sistemas do ar.

A Lojas Renner conseguiu colocar novamente no ar no último sábado (21) seu site de compras; já o aplicativo da rede voltou a funcionar no dia seguinte. Desde a última sexta-feira (20), quando admitiu ter sido alvo de uma invasão em seu sistema, afirmando apenas que suas equipes estavam trabalhando para restabelecer os serviços, a empresa não divulgava mais informações. Os canais de venda online da companhia ficaram pelo menos 48 horas sem operar em razão do incidente.

O caso serviu de alerta para o restante do mercado, uma vez que, segundo especialistas, há a noção de que os negócios nacionais ainda não "acordaram" o suficiente para a gravidade da questão da proteção de dados e para a ação organizada de grupos de hackers ao redor do mundo com o objetivo de roubar dados e pedir dinheiro em troca.

##RECOMENDA##

Grandes empresas brasileiras foram vítimas desse tipo de ação nos últimos meses, como o laboratório Fleury, a Protege (de segurança) e a gigante das carnes JBS, que pagou um resgate de US$ 11 milhões após ser alvo de um ataque nos EUA que afetou também as operações na Austrália e no Canadá.

De acordo com levantamento da ISH Tecnologia, a média mensal de ataques a companhias brasileiras é de 13 mil, sendo que 57% são do tipo da ransomware - que pedem resgate em dinheiro. Os resgates também estão mais caros: segundo a empresa Unit 42, os valores cobrados pelos criminosos saltaram 82% no último ano, chegando a US$ 570 mil por ocorrência. Na América Latina, o Brasil concentra quase 50% dos sequestros de dados.

O investimento do empresariado brasileiro em segurança de dados também está aquém do necessário, dizem especialistas. Segundo dados da área de riscos cibernéticos da corretora Marsh Brasil, do total de orçamento com TI das empresas só 5% são gastos em cibersegurança (em 2020, o índice era ainda mais baixo, de 3%). Uma das exceções nessa tendência é o setor financeiro, onde essas despesas sobem, ficando entre 15% e 18% dos gastos.

Na mira do Procon

Na sexta-feira, o Procon-SP disse ter notificado a Lojas Renner pedindo explicações sobre o ataque cibernético. De acordo com o órgão, a companhia deverá esclarecer quais bancos de dados foram atingidos e se informações de clientes foram afetadas pela invasão. A Renner afirmou, também na sexta, que não tinha sido notificada pelo órgão.

As informações são do jornal O Estado de S. Paulo.

Um total de 38 milhões de dados e informações pessoais, alguns dos quais oriundos de plataformas para rastrear casos de contato com o novo coronavírus, ficaram vulneráveis no começo do ano, devido à configuração de um software da Microsoft usado por várias empresas e organizações.

A empresa de segurança UpGuard divulgou nesta segunda-feira (23) o resultado de uma investigação a qual mostra que milhões de nomes, endereços, números de identificação fiscal e outras informações confidenciais ficaram expostos antes de o problema ser resolvido. No entanto, eles não foram violados.

American Airlines, Ford, J.B. Hunt e grupos como a autoridade de saúde de Maryland e o transporte público da cidade de Nova York estão entre os 47 afetados. Todos usaram o software da Microsoft Power Apps, que permite criar facilmente sites e aplicativos móveis de interação com o público.

Até junho de 2021, a configuração padrão do software não protegia de forma adequada certos dados, explicaram os investigadores da UpGuard. “Graças à nossa investigação, a Microsoft mudou os portais do Power Apps.”

"Nossas ferramentas ajudam a criar soluções em escala que atendam a uma ampla gama de necessidades. Nós levamos muito a sério a segurança e privacidade, e encorajamos nossos clientes a configurar os produtos para atenderem melhor às suas necessidades de privacidade", reagiu um porta-voz da Microsoft.

O grupo assinalou que informa sistematicamente os clientes quando são identificados potenciais riscos de vazamento, para que os mesmos possam ser minimizados. Mas segundo a UpGuard, é melhor alterar o software em função de como os clientes o utilizam, em vez de "ver a falta generalizada de privacidade dos dados como uma configuração incorreta por parte do usuário, o que perpetua o problema e coloca o público em risco".

“O número de contas em que informações sensíveis ficaram vulneráveis mostra que o risco associado a essa função não foi levado em conta adequadamente", afirmou a empresa de segurança.

A Lojas Renner conseguiu colocar novamente no ar seu site de compras no último sábado e o aplicativo da rede também voltou a funcionar no decorrer do domingo, 22. A companhia não emitiu mais comunicados desde a última sexta-feira, 20, quando informou que suas equipes continuavam trabalhando para restabelecer o e-commerce após o ataque cibernético sofrido na quinta-feira, 19, que retirou os sistemas do ar.

Ainda na sexta-feira, o Procon-SP informou que notificou a Lojas Renner pedindo explicações sobre o ataque cibernético que a empresa sofreu.

##RECOMENDA##

Segundo o órgão, a companhia deverá informar quais bancos de dados foram atingidos, qual foi o nível de exposição, por qual período o site ficou indisponível e se houve vazamento de dados pessoais de clientes e de outras informações estratégicas até a quarta-feira, 25.

A administração da Lojas Renner afirmou, na mesma sexta-feira à tarde, que não havia tido conhecimento sobre qualquer notificação formal do Procon-SP.

Em janeiro de 2021, a startup brasileira de cibersegurança PSafe identificou o maior vazamento de dados da história do País, quando 223 milhões de brasileiros (incluindo já mortos) tiveram dados expostos e vendidos na internet. Diante de uma brecha desse tamanho, Marco DeMello, presidente da PSafe, não vê a alta de casos de sequestro de dados de empresas com surpresa. Segundo ele, as companhias ainda não se deram conta do tamanho do prejuízo a que podem estar expostas ao não proteger seus sistemas de forma diligente.

O caso da Renner criou pânico, diz Mello, que recebeu ligações de empresários com medo de virarem a próxima vítima. "Mas eu pergunto: por que o pânico só agora? A ficha tinha de ter caído há muito tempo."

##RECOMENDA##

Leia, a seguir, os principais trechos da entrevista.

Como o sr. enxerga esse momento com tantos ataques? As empresas estão se precavendo?

 

A obrigação de um criminoso é o de cometer crime. O ransomware vai gerar mais de US$ 20 bilhões de receita neste ano. Virou uma indústria. Então, a obrigação e a responsabilidade das empresas é de se defender. A única solução para as empresas é a prevenção. O empresário brasileiro ainda pensa que esse tipo de problema só acontece com multinacional, mas a história está mostrando que todas são alvo.

Os empresários estão preocupados com esses ataques?

 

Recebi várias ligações de empresários em pânico após esse ataque da Renner. Mas eu pergunto: por que o pânico só agora? A ficha tinha que ter caído há muito tempo. A proteção não é por antivírus, mas com uma defesa inteligente. Os ataques podem ser nos servidores, mas 90% dos ataques começam por uma máquina vulnerável e só depois vão para os servidores.

Como ocorrem esses ataques?

 

Por meio de inteligência artificial. Temos de acabar com a imagem do hacker com um gorro na cabeça e espinha no rosto. É uma indústria. Os criminosos utilizam inteligência artificial para tomar o controle da empresa e sequestram tudo por meio da tecnologia. São criminosos muito sofisticados e que investiram muito. E a defesa das empresas não tem nada de sofisticada. A proteção precisa ser contínua e proativa.

Quais são as opções das empresas após ter os seus dados sequestrados?

 

Depois que o ataque acontece, a empresa não tem o que fazer. As opções são pagar o resgate, o que acontece na maioria das vezes, ou ter um backup de todo o servidor - dependendo da empresa, restaurar os dados pode ser até mais caro do que o resgate. Para completar, o valor do resgate não é feito de maneira aleatória: eles passam a ter acesso a todos os dados da empresa e conseguem fazer o cálculo exato do dinheiro que a empresa tem para pagar.

Por que o número de casos vem crescendo tanto?

 

A explosão aconteceu, principalmente, desde 2020. Todos os dados das empresas, por causa da pandemia, passaram a estar online, e a segurança não acompanhou. Os hackers evoluíram dez anos em dez meses e perceberam que se trata de um negócio lucrativo: ninguém é preso, ninguém é perseguido ou rastreado pelo governo e nem paga imposto, pois tudo é feito por bitcoin.

As informações são do jornal O Estado de S. Paulo.

A Lojas Renner informa que as equipes continuam trabalhando para restabelecer o e-commerce em breve após o ataque cibernético sofrido nesta quinta-feira (19), que retirou os sistemas do ar. A empresa destaca que todas as lojas físicas continuam abertas e operando, em atualização do comunicado divulgado anteriormente. Afirma ainda que os principais bancos de dados permanecem preservados.

No documento, a empresa diz que continua atuando de forma diligente para mitigar os efeitos causados. "As equipes permanecem mobilizadas, executando o plano de proteção e recuperação, com todos seus protocolos de controle e segurança e trabalhando para restabelecer todas as operações da companhia".

##RECOMENDA##

No comunicado lançado ontem, a Lojas Renner ressaltou que faz uso de tecnologias e padrões rígidos de segurança, e que continuará aprimorando sua infraestrutura para incorporar cada vez mais protocolos de proteção de dados e sistemas.

A Lojas Renner informou nesta quinta-feira, 18, que sofreu nesta data um ataque cibernético em seu sistema, o que provocou indisponibilidade em parte de seus sistemas e operação e prontamente acionou seus protocolos de controle e segurança para bloquear o ataque e minimizar eventuais impactos. "Neste momento, a companhia atua de forma diligente e com foco para mitigar os efeitos causados, com a maior parte das operações já restabelecidas e tendo sido verificado que os principais bancos de dados permanecem preservados", aponta a companhia em comunicado ao mercado.

Segundo a Renner, nenhuma loja física teve atividades interrompidas.

##RECOMENDA##

A companhia ressalta que faz uso de tecnologias e padrões rígidos de segurança, e continuará aprimorando sua infraestrutura para incorporar cada vez mais protocolos de proteção de dados e sistemas.

A operadora de telefonia T-Mobile admitiu, nesta quarta-feira (18), que os dados privados de 7,8 milhões de clientes foram roubados em um ciberataque, mas disse que os dados financeiros não foram roubados até o momento.

"Nossa análise preliminar é que as informações pessoais de aproximadamente 7,8 milhões de assinantes pagantes dos nossos serviços estão guardadas nos arquivos roubados, o que representa pouco mais de 40 milhões de arquivos de antigos ou potenciais clientes", disse o grupo em um comunicado nesta quarta-feira.

##RECOMENDA##

Entre os dados acessados pelos hackers estão o nome e sobrenome dos clientes ou possíveis clientes, as datas de nascimento, os números de CPF, carteira de motorista e o número de identidade, disse a T-Mobile.

No entanto, "nenhum número de telefone, número de conta, PIN, senha ou informação financeira foram compartilhados nesses arquivos de clientes ou potenciais clientes", disse a operadora, que confirmou a invasão de hackers em seus sistemas na segunda-feira.

Segundo as capturas de tela publicadas pelo site de segurança informática Bleeping Computer nos últimos dias, as informações pessoais de ao menos 30 milhões de pessoas foram colocadas à venda em fóruns pelo equivalente a 280.000 bitcoins (cerca de 13 bilhões de dólares).

O roubo de dados e os ataques de ransomware aumentaram nos últimos meses, dirigindo-se a várias empresas e organizações, entre elas uma operadora de oleodutos americana, o sistema informático do serviço de saúde irlandês e uma importante companhia aérea indiana.

Facebook, Yahoo e Marriott sofreram roubos de informações pessoais de mais de 100 milhões de seus usuários ou clientes nos últimos anos.

A T-Mobile sugeriu nesta quarta-feira aos seus clientes que alterem seus códigos PIN e anunciou que vai oferecer uma assinatura de dois anos para proteger seus dados privados de roubo.

Hackers roubaram mais de US$ 600 milhões em criptomoedas em um ataque cibernético contra a plataforma Poly Network, um protocolo descentralizado de finanças (DeFI, na sigla em inglês) que permite que clientes transfiram tokens entre diferentes blockchains. Segundo a empresa, o golpe representou o maior roubo desse tipo da história.

Em comunicado endereçado aos criminosos, a companhia pediu que os ativos sejam devolvidos e alertou que as autoridades em qualquer país vão considerar o furto um "grande crime econômico". "O dinheiro que você roubou pertence a dezenas de milhares de membros da comunidade cripto", destacou.

##RECOMENDA##

O blockchain é uma rede descentraliza em que as transações com criptomoedas são registradas.

O serviço oferecido pela Poly Network é promover uma comunicação entre essas diferentes plataformas.

A partir deste mês, a Lei Geral de Proteção de Dados (LGPD), que estabelece regras sobre coleta, armazenamento, tratamento e compartilhamento de dados pessoais, principalmente no ambiente digital, começa a aplicar punições no Brasil. A medida estava em vigor desde setembro de 2020, mas sem aplicar sanções.

Com o fim do período de adequação, empresas de todos os portes e segmentos são obrigadas a seguir regras com relação a informações de clientes e fornecedores. As empresas podem ser multadas de 2% do seu faturamento bruto até R$ 50 milhões por infração. 

##RECOMENDA##

Apesar do fim do prazo, a expectativa é que a Autoridade Nacional de Proteção de Dados (ANPD), ligada à Presidência da República, tenha uma postura mais educativa no início. Portanto, nesse primeiro momento as empresas irregulares devem receber apenas advertência.

Em comunicado, a ANPD destaca que a aplicação de sanções requer criteriosa apreciação e ponderação de diversas circunstâncias, dentre as quais "a gravidade e a natureza das infrações e dos direitos pessoais afetados, a condição econômica do infrator, o grau do dano, a cooperação do infrator, a adoção de política de boas práticas e governança e a pronta adoção de medidas corretivas."

A população pode fazer denúncias por meio de um canal de reclamações relacionadas ao descumprimento da LGPD. Antes de registrar a denúncia, é preciso fazer contato direto com o controlador dos dados, ou seja, a empresa responsável por armazenar ou utilizar os dados. 

A ANPD informou também que a Coordenação-Geral de Fiscalização é a unidade que vai monitorar o cumprimento da LGPD, receber denúncias e aplicar as sanções. Os cargos previstos para realização dessa atividade, três ao todo, estão preenchidos.

Confira as sanções previstas na lei: 

-  advertência, com indicação de prazo para adoção de medidas corretivas;

- multa simples, de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração;

- multa diária, observado o limite total a que se refere o inciso II;

- publicização da infração após devidamente apurada e confirmada a sua ocorrência;

- bloqueio dos dados pessoais a que se refere a infração até a sua regularização;

- eliminação dos dados pessoais a que se refere a infração;

- suspensão parcial do funcionamento do banco de dados a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período, até a regularização da atividade de tratamento pelo controlador;  

- suspensão do exercício da atividade de tratamento dos dados pessoais a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período;  

- proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.  

A empresa de videoconferência Zoom concordou em encerrar uma ação coletiva de privacidade nos Estados Unidos por US$ 85 milhões, informou a empresa neste domingo (1º).

O processo acusava o Zoom de compartilhar dados pessoais de usuários com Facebook, Google e LinkedIn, o que era uma violação da privacidade de milhões de pessoas.

##RECOMENDA##

Embora o Zoom negue ter agido de má-fé, concordou em melhorar suas práticas de segurança.

O acordo deve ser aprovado pela juíza distrital Lucy Koh em San Jose, Califórnia.

"A privacidade e a segurança de nossos usuários são as principais prioridades do Zoom, e levamos a sério a confiança que nossos usuários depositam em nós", declarou um porta-voz da empresa à AFP.

"Estamos orgulhosos dos avanços que fizemos em nossa plataforma e esperamos continuar a inovar com privacidade e segurança na vanguarda", acrescentou.

O acordo estabelecerá um "fundo de caixa irreversível de US$ 85 milhões para pagar reivindicações válidas, custos de serviço e administração, pagamentos de serviços a representantes de classe e honorários advocatícios e custas judiciais", de acordo com o texto preliminar.

Aqueles que pagaram por uma conta podem receber 15% do dinheiro creditado no Zoom para sua assinatura principal durante esse período ou US$ 25, o que for mais alto, enquanto aqueles que não pagaram por uma assinatura podem reivindicar US$ 15.

Como a pandemia do coronavírus levou ao fechamento de escritórios e negócios presenciais, o uso de plataformas de vídeo e colaboração hospedadas por empresas como Zoom, Slack, Microsoft e Google ganhou enorme popularidade. Mas o crescimento do Zoom aumentou as preocupações com a privacidade de seus usuários.

Porta-voz do Departamento de Informação do Ministério das Relações Exteriores da China, Lijian Zhao afirmou nesta quarta-feira (21) que os Estados Unidos são um "império de hackers". A declaração vem após Washington, Bruxelas e Londres acusarem Pequim de usar o sistema de e-mails Microsoft Exchange para praticar ciberespionagem.

"Os Estados Unidos são o maior 'império de hackers' do mundo. Eles reuniram aliados para fazer acusações infundadas contra a China sobre segurança cibernética", disse Lijian. "Ao distorcer os fatos, eles visam difamar e suprimir a China para servir a propósitos políticos. Rejeitamos categoricamente suas alegações", acrescentou.

##RECOMENDA##

Nas últimas semanas, as tensões entre Washington e Pequim têm crescido. Nesta quarta, o governo americano anunciou que a vice-secretária de Estado, Wendy Sherman, viajará à China nos dias 25 e 26 de julho para se reunir com o ministro de Relações Exteriores chinês, Wang Xi.

A acusação de EUA, Reino Unido e União Europeia de que a China hackeou o sistema Microsoft Exchange ocorreu nesta semana. Além disso, o governo Joe Biden alertou empresas americanas que operam em Hong Kong sobre riscos "crescentes" devido ao controle cada vez maior de Pequim sobre o território semiautônomo.

O governo chinês, por sua vez, ameaçou responder com "firmeza e vigor" a eventuais sanções impostas pelos EUA ao país asiático por conta da repressão em Hong Kong. "Os EUA há muito perderam o último resquício de credibilidade em segurança cibernética. Nada do que eles dizem pode ser confiável", declarou Lijian Zhao hoje.

A China rejeitou nesta terça-feira (20) as acusações americanas de que teria executado um grande ciberataque contra a gigante de tecnologia Microsoft em março passado, afirmando que foram "fabricadas" por Washington e seus aliados.

O secretário de Estado americano, Antony Blinken, afirmou que o ataque de março, que comprometeu dezenas de milhares de servidores de e-mail Microsoft Exchange em todo mundo, é parte de um "padrão de comportamento irresponsável, perturbador e desestabilizador no ciberespaço" na China.

##RECOMENDA##

Nesta terça-feira, o porta-voz do Ministério chinês das Relações Exteriores, Zhao Lijian, rebateu a acusação americana, declarando que "é completamente fabricada e apresenta os fatos ao contrário".

Washington responsabilizou quatro "hackers" chineses pelo ataque.

O presidente Joe Biden anunciou que os Estados Unidos vão concluir uma investigação antes de tomarem qualquer medida e traçou um paralelo com o crime cibernético que os países ocidentais atribuem à Rússia.

"O governo chinês, como o governo russo, não está fazendo isso (os ataques cibernéticos) sozinho, mas protegendo aqueles que estão fazendo isso e, talvez, até permitindo que eles façam", disse Biden a repórteres na Casa Branca.

Em uma medida que o governo Biden qualificou de inédita, os Estados Unidos coordenaram sua manifestação com seus aliados: União Europeia (UE), Reino Unido, Austrália, Canadá, Nova Zelândia, Japão e a Organização do Tratado do Atlântico Norte (Otan).

- "Campanha de descrédito" -

A porta-voz da diplomacia chinesa afirmou que a ação dos Estados Unidos e de seus aliados é parte de uma "campanha de descrédito e de pressão totalmente motivada por razões políticas".

"Jogar descrédito sobre os outros não limpa sua imagem. Os Estados Unidos são o principal país responsável por ataques cibernéticos no mundo", denunciou Zhao Lijian.

Já a embaixada da China em Wellington criticou a Nova Zelândia, especificamente, e chamou o ato de "calúnia mal-intencionada".

Em paralelo, a representação de Pequim na Austrália acusou Camberra de "repetir como um papagaio a retórica dos Estados Unidos".

"É bem conhecido que os Estados Unidos realizaram escutas telefônicas inescrupulosas, em massa e indiscriminadas em muitos países, incluindo seus aliados", lembrou a embaixada, em um comunicado, acrescentando que "é o campeão mundial dos ciberataques maliciosos".

- Declarações coordenadas -

Assim como o antecessor republicano Donald Trump, Biden aumentou a pressão sobre a China, por considerar a potência asiática a principal ameaça para os Estados Unidos no longo prazo.

Os aliados apoiaram as acusações contra a China.

"O governo chinês deve encerrar sua sabotagem cibernética sistemática e deve ser responsabilizado, se não o fizer", enfatizou o ministro britânico das Relações Exteriores, Dominic Raab.

Mais cautelosa, a Otan emitiu um comunicado, dizendo que "tomou nota" das declarações de Estados Unidos, Reino Unido e Canadá sobre a China e expressou sua "solidariedade".

Uma autoridade dos EUA disse que é a primeira vez que a Otan, a aliança militar fundada em 1949 para enfrentar a União Soviética, condena a atividade cibernética da China.

No mês passado, o bloco alertou sobre os "desafios sistêmicos" apresentados por Pequim.

A UE pediu às autoridades chinesas, por sua vez, que "tomem medidas contra as atividades cibernéticas maliciosas realizadas em seu território", sem culpar diretamente o governo chinês pelo ataque cibernético contra a Microsoft.

Embora esta seja a condenação mais ampla até agora às atividades digitais chinesas, analistas destacam que, sem o anúncio de sanções, ou de represálias, seu alcance é limitado.

- "Pedidos de resgate" -

O ataque cibernético contra a Microsoft, que explorou falhas no serviço Microsoft Exchange, afetou pelo menos 30.000 organizações dos Estados Unidos, incluindo governos locais, bem como entidades ao redor do mundo.

A gigante de tecnologia já havia acusado um grupo de "hackers" ligados a Pequim, chamado "Hafnium".

Um funcionário de alto escalão do governo Biden, que pediu para não ser identificado, falou de tentativas de extorsão e "pedidos de resgate de milhões de dólares" dirigidas a empresas privadas por "hackers" chineses.

O presidente Jair Bolsonaro editou decreto que institui a Rede Federal de Gestão de Incidentes Cibernéticos, publicado no Diário Oficial da União (DOU) desta segunda-feira (19). A rede será coordenada pelo Departamento de Segurança da Informação do Gabinete de Segurança Institucional da Presidência da República e terá participação obrigatória de todos os órgãos e das entidades da administração pública federal direta, autárquica e fundacional.

"A iniciativa foi motivada pelo fato de as ameaças cibernéticas terem crescido em escala mundial. Organizações públicas e privadas de diversos países têm reforçado suas políticas de segurança da informação e de segurança cibernética e elevado o nível de proteção dos sistemas computacionais por eles utilizados, especialmente no âmbito da gestão estatal", explicou a Secretaria-Geral da Presidência.

##RECOMENDA##

A Microsoft pediu nesta quarta-feira (7) que os usuários de computadores Windows instalem uma nova atualização para evitar que hackers explorem uma falha potencialmente séria no sistema operacional. A empresa explicou que os hackers poderiam explorar a vulnerabilidade conhecida como "PrintNightmare", que permitiria o controle do computador por meio do sistema de impressão usado em locais de trabalho com impressoras de rede.

"Um invasor que consegue explorar esta vulnerabilidade pode manipular arbitrariamente o código com privilégios de sistema", afirmou a Microsoft em uma mensagem divulgada na noite de terça-feira. “Um intruso poderia então instalar programas; visualizar, alterar ou excluir dados; ou criar novas contas com direitos totais de usuário”, completou a empresa.

##RECOMENDA##

A Microsoft pediu para que a atualização seja instalada imediatamente e indicou que todas as versões do Windows são vulneráveis, mas não há atualizações de segurança para todas elas ainda. O problema envolve o programa da impressora e foi explorado por hackers, de acordo com pesquisadores de segurança cibernética.

Um teste feito pelo Facebook com pop-ups perguntando aos usuários se eles achavam que seus amigos estavam se tornando extremistas gerou preocupação entre conservadores americanos nessa sexta-feira (2). O porta-voz da rede social, Andy Stone, explicou no Twitter que os alertas surgiram de uma iniciativa para combater o extremismo violento.

As funções da “Redirect Initiative” têm como objetivo encaminhar as pessoas que usam nas buscas termos relacionados ao ódio ou violência para outras opções, justificou o Facebook. A rede social informou que as buscas relacionadas a supremacia branca nos Estados Unidos são redirecionadas para o grupo Life After Hate, que propõe intervenções em casos de crises relacionadas a ações de ódio.

##RECOMENDA##

Imagens dos alertas compartilhadas no Twitter mostram mensagens perguntando aos usuários se eles estavam preocupados com o fato de alguém conhecido estar se tornando um extremista, ou se eles haviam sido expostos a conteúdo extremista.

O político republicano do estado da Virgínia Nicholas Freitas está entre aqueles que compartilharam uma imagem do alerta do Facebook em sua conta no Twitter. "Tenho uma séria preocupação de que alguns tecnocratas de esquerda estejam criando um ambiente orwelliano no qual as pessoas são silenciadas arbitrariamente por dizerem algo de que a 'polícia do pensamento' não gosta", expressou em sua publicação.

O Facebook e outras plataformas eletrônicas estão sob pressão para impedir a disseminação de desinformação e publicações que levem à violência, ao ódio e à discriminação. O gigante das redes sociais reforçou recentemente as ferramentas automatizadas, para ajudar os moderadores de grupos que lutam para manter intercâmbios civilizados, em uma época de visões conflitantes.

O Conselho de Segurança da ONU realiza nesta terça-feira (29) sua primeira reunião pública formal sobre segurança cibernética, uma preocupação crescente evidenciada pela recente troca de opiniões sobre o assunto entre o presidente americano, Joe Biden, e seu homólogo russo, Vladimir Putin.

Em uma cúpula em Genebra, Biden estabeleceu limites para Putin, cujo país é frequentemente acusado de estar por trás do ataques de hackers. Nesse caso, os EUA definiram 16 entidades "intocáveis", desde o setor de energia até a distribuição de água.

##RECOMENDA##

“É uma lista de infraestruturas críticas que todos os países possuem”, sublinha um embaixador europeu especializado no assunto.

“Na primeira comissão da ONU (que trata de desarmamento), já concordamos em 2015, há seis anos, em nos abster de qualquer atividade cibernética maliciosa contra as infraestruturas críticas de cada Estado membro da ONU”, acrescentou, sob condição de anonimato.

O encontro, promovido pela Estônia, que preside atualmente o Conselho de Segurança e o país líder na luta contra a pirataria de computadores, será realizada virtualmente e em nível ministerial.

O Conselho de Segurança já debateu a questão no passado, mas informalmente, em público ou a portas fechadas.

- Abordagem mais inovadora -

“Não é uma área em que possamos esconder a cabeça (sob a terra) e dizer que ela não existe”, declarou um diplomata, também sob condição de anonimato.

“É uma questão nova e no Conselho de Segurança, como sempre, é difícil” colocar uma nova questão na mesa depois de 76 anos lidando com questões tradicionais de paz e segurança, acrescentou.

O vice-secretário-Geral da ONU para o Desarmamento, Izumi Nakamitsu, fará uma apresentação para abrir a sessão.

O objetivo da videoconferência, de acordo com a Estônia, é "contribuir para uma melhor compreensão dos riscos crescentes decorrentes de atividades maliciosas no ciberespaço e seu impacto na paz e segurança internacionais".

“Como o ciberespaço é um campo de dupla utilização, nos encontramos em uma situação complexa que não se assemelha a outras questões de segurança internacional”, analisou o mesmo embaixador europeu.

"Não é um tópico comum que pode caber na arena de controle de armas. Você não pode assinar um tratado e depois apenas verificá-lo. É preciso adotar uma abordagem mais inovadora", continuou, esperando que o debate ajude a delinear os caminhos para explorar.

Várias empresas norte-americanas, como o grupo SolarWinds IT, a rede de oleodutos Colonial Pipeline e a gigante mundial de carne JBS, foram recentemente visadas por ataques de 'ransomware', um programa que criptografa sistemas de computador e exige um resgate financeiro para desbloqueá-los.

A polícia federal dos EUA atribuiu esses ataques a hackers com base na Rússia.

Páginas

Leianas redes sociaisAcompanhe-nos!

Facebook

Carregando