A GDPR na segurança cibernética e fraude online

Publicado por Eva Moya - 31/01/2018

Dentro de poucas semanas, a Europa ativará a nova lei de proteção de dados GDPR (General Data Protection Regulation), que pretende unificar o tratamento dos dados de caráter pessoal nos países membros para preservar a privacidade dos cidadãos europeus.

É importante lembrar que o alcance desta lei não é apenas territorial, já que tem como objetivo proteger os dados dos europeus onde quer que estejam armazenados. Isto significa que as empresas ou organizações que operem com estes tipos de dados também serão obrigadas a respeitar a GDPR.

A GDPR 

Para começar, vamos expor alguns dados fundamentais que devem ser levados em consideração:

  • Entrada em vigor: maio de 2018.
  • Objetivo: preservar a privacidade dos cidadãos europeus através da proteção dos dados de caráter pessoal. Para conseguir tal objetivo, será preciso tomar decisões tanto a nível organizativo como a nível técnico e tecnológico. 
  • O que é um dado pessoal? Conforme o Artigo 4º da lei, é “informação relativa a uma pessoa singular identificada ou identificável («titular dos dados»); é considerada identificável uma pessoa singular que possa ser identificada, direta ou indiretamente, em especial por referência a um identificador, como por exemplo um nome, um número de identificação, dados de localização, identificadores por via eletrónica ou a um ou mais elementos específicos da identidade física, fisiológica, genética, mental, económica, cultural ou social dessa pessoa singular;”. 
  • Alcance: todos os tipos de organizações públicas e privadas (incluindo as de cunho científico, como universidades e laboratórios). 
  • Consentimento: o consentimento do tratamento dos dados deve poder ser demonstrado; portanto, o consentimento por omissão deixa de existir. 
  • Penalização: a penalização máxima no caso de um vazamento de dados é de 4% do faturamento global ou 20 milhões de euros. 
  • Transparência: em caso de vazamento de dados, as organizações são obrigadas a comunicar, antes de 72 horas, a ocorrência do “vazamento”, quais foram os dados afetados e quais são as consequências. Também será pedido que incluam evidências sobre a forma de atuação usada para minimizá-lo. 
  • Perguntas frequentes: https://www.eugdpr.org/gdpr-faqs.html
  • Download da lei: http://eur-lex.europa.eu/legal-content/en/TXT/?uri=CELEX%3A32016R0679 

Em relação à aplicação da lei, é preciso mencionar dois atores muito relevantes que entram em jogo e que a lei define no artigo 4º como:

  • Data Processor ou encarregado do tratamento: “a pessoa singular ou coletiva, a autoridade pública, a agência ou outro organismo que, individualmente ou em conjunto com outras, determina as finalidades e os meios de tratamento de dados pessoais”. Um exemplo claro de "processador de dados" seria um provedor de serviços na nuvem ou computação em nuvem onde os dados pessoais podem ser hospedados em qualquer momento.
  • Data Controller ou responsável pelo tratamento: “a pessoa singular ou coletiva, a autoridade pública, a agência ou outro organismo que, individualmente ou em conjunto com outras, determina as finalidades e os meios de tratamento de dados pessoais”. Portanto, são todas aquelas organizações que vão dar um uso determinado a estes dados.



Como a GDPR afeta o âmbito da segurança cibernética e da fraude online?

O setor da segurança cibernética ganha um protagonismo especial devido à sua capacidade para implementar diversos tipos de medidas que evitam o impacto das diferentes ameaças que podem afetar os dados a proteger.

O setor levanta voo definitivamente em 2018, não apenas por causa da nova lei, mas também porque diferentes organismos internacionais, como o próprio World Economic Forum, já consideram a delinquência cibernética como sendo uma das ameaças mais graves a nível mundial.

gpdr-02.png

De fato, de acordo com o último relatório da ENISA , entre as 15 ameaças cibernéticas mais frequentes ocorridas durante 2017 se encontram várias relacionadas com o vazamento de dados ou com o roubo de identidades. Um exemplo são as campanhas de phishing ou spam para conseguir credenciais bancárias. Dessa forma, mesmo que o cumprimento da GDPR possa parecer complicado, representa uma grande oportunidade para as organizações.

gpdr-01.png

Qualquer roubo de dados e/ou de identidade envolve um risco. O pior cenário é quando estes dados estão relacionados com um número de conta ou de cartão de crédito, que podem facilitar o roubo de dinheiro através de seu uso fraudulento no internet banking.

Neste sentido, é relevante lembrar que, no contexto desta lei, observa-se a necessidade de que as organizações contemplem uma boa estratégia de gestão do risco que permita a aplicação de medidas apropriadas em todo o ciclo de vida das ameaças cibernéticas. Portanto, a simples aquisição de ferramentas de segurança digital não garante, por si só, o cumprimento da lei, já que, se a organização não tiver realizado uma análise profunda das ameaças, pode deixar sem proteção uma parte do processo. Por este motivo, a lei enfatiza a necessidade de duas camadas de níveis de proteção: organizacional e técnica.

É conveniente lembrar que a lei obriga a implementar todas as medidas necessárias para evitar o impacto das ameaças. Portanto, uma boa estratégia permitirá descobrir pontos cegos que talvez não tenham sido contemplados anteriormente.

Uma vez definida a estratégia, será mais fácil determinar o portfólio de serviços e ferramentas necessários para cumpri-la e o que é mais importante para proteger os nossos usuários.

É neste ponto onde as novas tecnologias, como a biometria do comportamento ou o deep learning permitem dar soluções mais eficazes e eficientes. E mais ainda para o caso da fraude no internet banking, onde são tratados dados tão sensíveis que podem terminar com o roubo do dinheiro de um cliente ou com uma multa máxima em caso de não cumprimento da GDPR.

Estas novas tecnologias surgem precisamente com a intenção de dar uma solução à nova problemática da delinquência digital e, por conseguinte, facilitam que os responsáveis pelos dados cumpram suas obrigações e/ou, pelo menos, evidenciem que foram utilizadas todas as medidas que estavam ao seu alcance para minimizar a ameaça.

Concluindo, o setor da segurança cibernética será um dos grandes afetados pela GDPR, pois será o responsável pela proteção adequada dos dados das organizações. Porém, a própria lei impulsiona uma reflexão séria sobre as medidas e ferramentas que permitirão dar uma maior proteção e oferecer um melhor serviço aos cidadãos.

Topics: gdpr


Notícias relacionadas

Malware para criptomoedas: uma mistura explosiva

read more

Top 3 países de cibercriminosos especializados em fraude online

read more

Cibercriminosos do setor financeiro: compreendendo os "malvados" que estão por trás do teclado

read more