Violação de dados: o que é, impactos e como evitar

Equipe TOTVS | 20 fevereiro, 2024

Durante o primeiro trimestre de 2023, mais de seis milhões de registros de informações foram expostos em todo o mundo por meio de violações de dados (data breach). 

Em relação a outros períodos, é possível notar um recuo no número de incidentes, mas a preocupação com a segurança da informação se mantém. Afinal, as empresas que são vítimas de data breach sofrem prejuízos financeiros e de ordem reputacional.

Para entender a gravidade do tema e aprender como evitar esses incidentes, o primeiro passo é saber o que se entende por violação de dados pessoais (e outros tipos de informações).

Neste artigo, vamos explicar o conceito, os principais mecanismos usados pelos criminosos para acessar informações confidenciais, os exemplos mais famosos, os impactos do data breach para as organizações e muito mais. Confira!

O que é violação de dados?

Violação de dados ou data breach é a exposição de informações privadas, confidenciais ou sensíveis em um ambiente não seguro e que pode ocorrer de forma acidental ou derivada de um ataque cibernético deliberado. 

Este incidente compromete o sigilo e/ou integridade das informações.

E o que é considerado uma violação de dados pessoais? Aquela que envolve informações capazes de identificar uma pessoa, como nome, CPF, endereço, e-mail, telefone, dados bancários, dados médicos, entre outros. 

Violação de dados pessoais é crime?

Sim. Os ataques cibernéticos que visam obter dados são crimes conforme consta no artigo 154-A do Código Penal. Ele diz:

“Invadir dispositivo informático de uso alheio, conectado ou não à rede de computadores, com o fim de obter, adulterar ou destruir dados ou informações sem autorização expressa ou tácita do usuário do dispositivo ou de instalar vulnerabilidades para obter vantagem ilícita: 

Pena – reclusão, de 1 (um) a 4 (quatro) anos, e multa.”

A violação de dados pessoais na LGPD (Lei Geral de Proteção de Dados) também é um tema que merece consideração.

Afinal, a lei estabelece uma série de direitos e deveres para os titulares dos dados e para as empresas e organizações que os tratam. 

Inclusive, há sanções administrativas para quem descumprir as normas da lei, que podem variar desde advertências até multas de até 2% do faturamento da empresa, limitadas a R$ 50 milhões por infração.

Quais são as violações da LGPD?

Qualquer ação ou omissão que viole os princípios previstos na lei, tais como finalidade, adequação, necessidade, livre acesso e segurança, pode ser considerada uma violação de dados pessoais pela LGPD.

Alguns exemplos são:

  • Fornecer aos titulares dados pessoais incompletos, inexatos ou desatualizados;
  • Manter os dados por mais tempo do que o necessário para a finalidade do tratamento;
  • Usar os dados pessoais para finalidades diferentes daquelas informadas ao titular ou compatíveis com o consentimento dado;
  • Coletar dados pessoais ou compartilhá-los com terceiros sem o consentimento do titular ou sem uma base legal prevista na lei;
  • Deixar de adotar medidas técnicas e administrativas adequadas para proteger os dados pessoais contra acessos não autorizados, perda, destruição ou alteração.

Mecanismos usados por criminosos para violar dados

Os criminosos cibernéticos utilizam diversos mecanismos para violar os dados das empresas e das pessoas. Alguns dos mais comuns são:

Ataque cibernético

Um ataque cibernético é uma ação maliciosa que visa comprometer a integridade, a confidencialidade ou a disponibilidade de um sistema de informação. 

O phishing é um ótimo exemplo. Conforme dados da Statista, foi o crime cibernético mais comumente relatado em todo o mundo em 2022.

No mesmo ano, 85% das organizações mundiais pesquisadas relataram ter encontrado ataques de phishing em massa.

Mas existem vários outros tipos de ciberataques, como:

  • Força bruta;
  • Ransomware;
  • SQL injection;
  • Ataque de negação de serviço (DoS);
  • Ataque distribuído de negação de serviço (DDoS).

Vulnerabilidade de softwares

Uma vulnerabilidade de software é uma falha ou uma brecha na programação ou no design de um software que pode ser explorada por um invasor para comprometer a segurança do sistema. 

Ele pode, por exemplo, executar códigos maliciosos, alterar os dados, ganhar privilégios ou contornar as medidas de proteção.

Esse mecanismo pode ser causado por erros humanos, falta de atualização, falta de testes ou falta de padronização. 

Vulnerabilidade de redes

Uma vulnerabilidade de rede é uma brecha ou falha na configuração ou no funcionamento de uma rede. O responsável pelo ataque pode comprometer a segurança dos dados que trafegam por ela, interceptando-os, modificando-os ou redirecionando-os. 

O invasor ainda pode realizar o chamado ataque man-in-the-middle (MITM) ou man-in-the-browser (MITB) e ganhar acesso à rede interna.

Roubo de dispositivos

O roubo de dispositivos é uma forma física de data breach que consiste em subtrair um dispositivo que contenha informações confidenciais, como um computador, um smartphone, um tablet, um pendrive ou um HD externo. 

Falha humana

A falha humana é uma forma involuntária ou negligente que consiste em expor informações confidenciais por erro ou descuido. 

Muitos casos de data breach são frutos de falha humana, que pode ocorrer por diversos motivos, como:

  • Clicar em links suspeitos ou abrir anexos maliciosos;
  • Compartilhar as credenciais de acesso com terceiros;
  • Enviar um e-mail com dados sensíveis para o destinatário errado;
  • Perder ou esquecer um dispositivo que contenha informações confidenciais, e outros.

Violações internas

As violações internas são uma forma intencional que consiste em expor informações confidenciais por parte de funcionários, colaboradores ou parceiros da organização. 

Insatisfação, vingança, corrupção, suborno, espionagem e concorrência desleal são algumas motivações para a ocorrência desse mecanismo.

Exemplos de casos de violação de dados pessoais

A violação de dados pessoais é crime e um problema sério que pode ocorrer com pessoas físicas e jurídicas. Os exemplos são inúmeros, veja:

  • Em maio de 2011, um hacker invadiu o computador pessoal da atriz Carolina Dieckmann e acessou fotos pessoais de cunho íntimo. Esse caso motivou a criação da Lei nº 12.737/2012, que tipificou os crimes cibernéticos.
  • Em 2014, a Cambridge Analytica usou informações básicas e preferências políticas de 50 milhões usuários do Facebook para realizar testes comportamentais não autorizados, que foram usados na campanha presidencial do ex-presidente dos EUA Donald Trump e na votação do Brexit.
  • Em junho de 2021, um vazamento expôs os dados pessoais e financeiros vinculados a chaves PIX que estavam sob a guarda e a responsabilidade da empresa Acesso Soluções de Pagamento. Os dados incluíam CPF, nome completo, e-mail, telefone e número da conta bancária. A empresa foi multada pela ANPD.

Esses são apenas alguns exemplos dos inúmeros casos de violação de dados pessoais que ocorrem todos os anos no mundo todo. 

Esses casos mostram a importância da proteção dos dados pessoais e dos direitos dos titulares dos dados, bem como o impacto do data breach para as empresas.

Os impactos do data breach para as organizações

Em 2022, o custo médio de uma violação de dados atingiu um recorde de US$4,35 milhões, de acordo com o relatório da IBM conduzido pelo Ponemon Institute. No Brasil, o valor chegou a US$1,38 milhões.

Para além do prejuízo financeiro, o data breach pode trazer outros impactos negativos para as organizações que tratam os dados pessoais:

  • Roubo de propriedade industrial e intelectual: as informações de negócio da empresa podem ser violadas em um incidente, o que pode causar ainda usos indevidos e plágios.
  • Responsabilização civil e administrativa: uma violação de dados pode gerar o dever de indenizar os danos causados aos titulares dos dados, seja por via judicial ou extrajudicial. A LGPD, por exemplo, prevê diversas sanções.
  • Interrupção das atividades: a violação de dados pode comprometer o funcionamento normal das atividades da organização, causando atrasos, paralisações ou indisponibilidades dos serviços ou dos sistemas. 
  • Danos à reputação e perda da confiança dos stakeholders: os incidentes afetam a reputação e a credibilidade da organização perante o público, gerando desconfiança e insatisfação. Isso pode levar à perda de clientes e à redução do faturamento.
  • Custos com investigação e remediação: diante da violação, a empresa deve contratar serviços especializados para investigar as causas e as consequências do incidente, além de adotar medidas de remediação, como notificação aos titulares dos dados, reforço da segurança, recuperação dos dados e monitoramento dos riscos.

Setores mais afetados pelo data breach

Todos os setores da economia estão sujeitos a sofrer uma violação de dados, mas alguns são mais visados pelos criminosos cibernéticos por possuírem dados mais valiosos ou sensíveis. 

A IBM, em seu relatório, apontou que os setores mais afetados pelo data breach foram:

  • Saúde: custo médio total aumentou de US$ 9,23 milhões (2021) para US$10,10 milhões em  2022.
  • Financeiro: aumento de US$ 5,72 milhões (2021) para US$ 5,97 milhões em 2022.
  • Farmacêutico: houve diminuição do custo médio de US$ 5,01 milhões para US$ 5,04 milhões.
  • Tecnologia: apresentou custo médio de US$ 4,97 milhões.
  • Energia: apresentou custo médio de US$ 4,72 milhões.

Esses setores lidam com dados pessoais que podem ser usados para fins ilícitos, como fraudes, extorsões, chantagens ou espionagem. 

Por isso, as indústrias devem adotar medidas rigorosas de segurança da informação para proteger os dados dos seus clientes e dos seus usuários.

O que fazer em caso de violação de dados?

Imagine que seu sistema enviou uma notificação de violação de dados ao setor de TI. O que fazer diante do incidente?

É  importante agir rapidamente para contê-lo e minimizar os danos. 

Caso se trate de casos de violação de dados pessoais (LGPD), a empresa deve saber como comunicar o incidente. Um breve passo a passo seria:

  1. Avaliar internamente o incidente (categoria, natureza e quantidade de titulares e de dados afetados, dentre outros aspectos);
  2. Comunicar o encarregado de dados e o controlador, caso a empresa seja a operadora;
  3. Comunicar a ANPD e os titulares, caso haja risco ou dano relevante;
  4. Elaborar uma documentação com toda a avaliação interna do incidente, a análise de risco e as medidas tomadas.

Além disso, há outras ações recomendadas, como identificar e isolar a fonte da violação, bem como adotar medidas corretivas e preventivas para reparar os danos causados e evitar que o incidente se repita. 

Entendeu o que fazer em caso de violação de dados? O ideal, porém, é saber como evitá-las!

Como evitar a violação de dados na empresa?

A melhor forma de evitar este incidente na empresa é adotar uma cultura de proteção de dados que envolva todos os níveis da organização. 

Isso passa por seguir todos os princípios previstos na LGPD, como obter o consentimento dos titulares, utilizar os dados apenas para as finalidades informadas, dentre outras ações. 

É preciso, ainda, adotar medidas preventivas de segurança da informação, como:

  • Treinar os colaboradores;
  • Adotar a criptografia em sites e dados;
  • Realizar um controle de acesso eficiente;
  • Manter hardwares e softwares atualizados;
  • Preparar um plano de resposta para o caso de incidentes;
  • Implementar soluções de segurança da web e segurança de rede;
  • Adotar tecnologias com alto grau de segurança na hora de automatizar processos, como o TOTVS Assinatura Eletrônica.

TOTVS Assinatura Eletrônica

O TOTVS Assinatura Eletrônica é uma plataforma centralizada para gestão e execução de assinaturas eletrônicas que oferece total segurança e 100% de validade jurídica aos documentos.

Com criptografia de alto padrão (SHA 256), os usuários podem ficar tranquilos quanto à garantia de segurança no processo de assinatura dos documentos empresariais. 

Além disso, podem gerenciar a confirmação e a validação das assinaturas com documentos e protocolos armazenados em segurança na nuvem.

É uma plataforma simples, intuitiva, com tecnologia mobile e em conformidade à LGPD. 

Não perca tempo e experimente grátis o TOTVS Assinatura Eletrônica por 30 dias!

Nova call to action

Conclusão

A violação de dados é um problema grave que pode afetar a privacidade, a segurança e os direitos dos titulares dos dados, bem como a reputação, a credibilidade e o faturamento das organizações que tratam essas informações. 

Ela pode ocorrer por diversos motivos, como vulnerabilidade de redes e softwares, roubo de dispositivos, falha humana e violações internas.

Por isso, é fundamental adotar boas práticas de segurança da informação, além das medidas de proteção de dados que estejam em conformidade com a LGPD. Confira 10 dicas de proteção de dados para aplicar na empresa!

Artigos Relacionados

Deixe aqui seu comentário

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *


Usamos cookies para fornecer os recursos e serviços oferecidos em nosso site para melhorar a experência do usuário. Ao continuar navegando neste site, você concorda com o uso destes cookies. Leia nossa Política de Cookies para saber mais.