Relatórios de violação de dados caem 45% no Reino Unido
As organizações estão falhando em detectar violações ou relatá-las, conforme exigido pelo GDPR?
O número de incidentes de cibersegurança relatados à vigilância da privacidade de dados do Reino Unido continuou a diminuir, recentemente despencando em quase 40%. Mas a quantidade real de violações de dados experimentadas pelas organizações está diminuindo ou elas podem não estar detectando mais violações ou, potencialmente, até mesmo cobrindo-as?
Essas são algumas das questões pendentes levantadas pelo último lançamento de tendências de incidentes de segurança de dados publicadas pelo Information Commissioner’s Office, que aplica as leis de proteção de dados e privacidade da Grã-Bretanha.”Esses números são baseados no número de relatórios enviados pelo controlador de dados, não necessariamente o número de incidentes.”
“Esses números são baseados no número de relatórios de violações de dados pessoais recebidos pela ICO durante o primeiro trimestre de 2020-21”, diz o relatório, referindo-se ao período de abril a junho. (O ano fiscal do governo britânico começa em 1º de abril). “Esses números são baseados no número de relatórios enviados pelo controlador de dados, não necessariamente no número de incidentes.”
Gráfico: ISMG (Dados: ICO)
As leis aplicáveis no Reino Unido – incluindo o Regulamento Geral de Proteção de Dados da UE – exigem que os provedores de serviços, incluindo processadores de dados, notifiquem a ICO sempre que ocorrer uma “violação de dados pessoais”, referindo-se a “uma violação de segurança que leve à destruição acidental ou ilegal, perda, alteração, divulgação não autorizada ou acesso a dados pessoais transmitidos, armazenados ou de outra forma processados em conexão com a prestação de um serviço público de comunicações eletrônicas “, de acordo com a OIC.
“Eles também devem notificar os clientes se a violação pode afetar adversamente a privacidade dos clientes e manter um registro de violação”, diz o documento.
Incidentes de cibersegurança diminuem em 37%
Comparando o período de abril a junho com o trimestre anterior, o número total de incidentes de segurança cibernética relatados à OIC diminuiu 37% – de 653 para 412 – enquanto o número de incidentes relatados não relacionados à segurança cibernética diminuiu 48%, de 1.976 para 1.034.
Gráfico: ISMG (Dados: ICO)
Comparando ainda mais os dois trimestres, aqui estão algumas das mudanças nas causas das violações relatadas:
- Os incidentes de phishing caíram 34%.
- Os incidentes causados por acesso não autorizado diminuíram 50%.
- A configuração incorreta de hardware / software como causa diminuiu em 80%.
- O número relatado de incidentes de ransomware aumentou de 60 para 61.
- Os incidentes atribuídos a ataques de força bruta aumentaram 38%, de 13 para 18.
O que pode ser responsável pela diminuição contínua, e recentemente substancial, dos incidentes relatados? A OIC não respondeu imediatamente ao meu pedido de comentário.
Alguns outros reguladores de privacidade da UE, no entanto, continuaram a receber um número cada vez maior de relatórios de segurança. Muitos especialistas em segurança também disseram que o ritmo dos ataques e incidentes não parece ter diminuído.
“Não vimos uma diminuição no número de violações”, disse Brian Honan, CEO da BH Consulting com sede em Dublin, cujo comentário é baseado em clientes com os quais sua empresa trabalha (consulte: Impacto pandêmico: como as violações de dados evoluirão? ) .
No mínimo, diz ele, o número geral de violações pode estar aumentando. Mas durante a pandemia, as violações físicas parecem estar diminuindo – compreensível, uma vez que os funcionários não estão deixando laptops nos ônibus ou trabalhando com arquivos físicos. “No entanto, estamos vendo um aumento nas violações de dados envolvendo sistemas baseados em nuvem, em particular, provedores de email baseados em nuvem e plataformas de compartilhamento de arquivos”, disse ele.
Relatórios de violação na era COVID-19
Como muitos funcionários começaram a trabalhar remotamente na primavera, devido à pandemia do COVID-19, os invasores também se reorganizaram para tentar tirar proveito dessa mudança. Os especialistas em segurança têm relatado um aumento acentuado nos ataques de phishing usando iscas com o tema coronavírus, bem como ataques de ransomware aparentemente ininterruptos (consulte: FBI: COVID-19-Themed Phishing Spreads Netwalker Ransomware ).
Rick Goud, CEO da Zivver, empresa de comunicação de segurança com sede em Amsterdã, diz que o crescente volume de ataques online durante a pandemia, juntamente com uma redução nos relatórios de violação recebidos pela ICO, é motivo de suspeita de conformidade com o GDPR.
“Em um período de aumento das ameaças cibernéticas, uma grande mudança para trabalhar em casa, com mais comunicação digital e mais mudança de comportamento dos funcionários – levando inevitavelmente a mais vazamentos de dados – isso sugere que as organizações do Reino Unido não veem a necessidade de cumprir o GDPR em termos de comunicação de vazamentos de dados, porque as consequências do não cumprimento são consideradas menos onerosas do que a alternativa ”, conta.
Múltiplas explicações possíveis
“Na pressa para fazer as empresas trabalharem remotamente, a visibilidade que as equipes de segurança e proteção de dados teriam sobre as atividades – e potencialmente violações – pode ser severamente reduzida. E com as equipes de TI trabalhando remotamente, elas podem não ter acesso ao monitoramento de segurança apropriado ferramentas para detectar uma violação “, diz Brian Honan.
Mas pode haver várias explicações para o motivo pelo qual os relatórios de violação no Reino Unido continuaram diminuindo desde que o GDPR entrou em vigor em maio de 2018 – e não apenas devido à falha em relatar violações.
“Outra influência poderia ser as empresas se tornando mais familiarizadas com o GDPR e entendendo melhor os limites de violação de dados que acionam a exigência de notificar a ICO e, como resultado, estão relatando apenas as violações que devem ser relatadas – em vez de relatar todas as violações, apenas para estar no ‘lado seguro’ “, disse-me Honan.
O efeito da pandemia no processamento de dados nos locais de trabalho também foi pronunciado. “Muitas empresas fecharam temporária ou permanentemente nos últimos seis meses; outras empresas podem ter dispensado ou liberado funcionários, ou as atividades de processamento de dados pessoais podem ter sido interrompidas, o que pode levar a menos violações”, disse ele.
Desafios de detecção
Mas a pandemia certamente também dificultou a vida das equipes de TI. Como resultado, mais violações podem não ser detectadas.
“Na pressa para fazer as empresas trabalharem remotamente, a visibilidade que as equipes de segurança e proteção de dados teriam sobre as atividades – e potencialmente as violações – pode ser severamente reduzida”, diz Honan. “Com as equipes de TI trabalhando remotamente, eles podem não ter acesso às suas ferramentas de monitoramento de segurança adequadas para detectar uma violação.”
Potencialmente, as equipes de segurança também estão se relacionando menos com as equipes jurídicas. “Também pode haver uma falta de compreensão de quando uma violação de segurança cibernética se torna uma violação de dados – por exemplo, uma conta de e-mail online sequestrada por um criminoso pode expor dados pessoais mantidos em anexos de e-mails armazenados na conta de e-mail comprometida”, diz ele . “Algumas empresas podem considerar isso simplesmente uma violação de uma conta de email – e não uma violação potencial de dados – devido ao tipo de informação que é armazenada nessa caixa de correio”.
Com os relatórios de violação continuando a diminuir, os gerentes de segurança fariam bem em revisar suas políticas, práticas e procedimentos e garantir que não estão deixando violações passarem despercebidas ou deixando de relatar violações válidas aos reguladores.
Fonte: https://www.govinfosecurity.com/blogs/data-breach-reports-fall-45-in-uk-p-2935
