IBRASPD - Instituto Brasileiro de Segurança, Proteção e Privacidade de Dados

A Advocacia-Geral da União (AGU) enviou nesta sexta-feira (10/1) à Meta, proprietária das plataformas digitais Facebook, Instagram e Threads, notificação extrajudicial solicitando esclarecimentos sobre o encerramento do programa de checagens de fatos nas redes sociais da empresa. A notificação estabelece o prazo de 72 horas para que a empresa atenda a notificação do governo. O prazo se encerra na segunda-feira (13/1) à tarde. Na notificação, a AGU solicita à Meta informações sobre as "providências que vêm sendo adotadas a respeito do dever de cuidado com relação à coibição de violência de gênero, proteção de crianças e adolescentes, prevenção contra racismo, homofobia, prevenção contra suicídio, óbices e discursos de ódio e outros temas de direito fundamental". E requer que seja esclarecido se haverá divulgação de relatório de transparência sobre a checagem de desinformação realizadas por notas da comunidade, método recentemente adotado pela rede social X. Alterações Os advogados da União citam algumas das alterações realizadas na política de moderação, anunciadas pelo CEO da Meta, Mark Zuckerberg. Entre elas a permissão de associações de pessoas LGBTQIAPN+ com transtornos mentais, autorizando "alegações de doença mental ou anormalidade quando baseadas em gênero ou orientação sexual, considerando discursos políticos e religiosos sobre transgenerismo e homossexualidade, bem como o uso comum e não literal de termos como 'esquisito'". A AGU refere-se ainda às alterações em trechos anteriores das diretrizes relativos a discurso de ódio, debate sobre restrição de acesso a espaços em razão de gênero ou sexo, defesa de limitações profissionais baseadas em gênero e à eliminação de trecho que proibia a desumanização de mulheres. Respeito à lei Em sua argumentação, a AGU afirma que "manifestações em plataformas digitais não podem ser realizadas para gerar desinformação sobre políticas públicas nem minar a legitimidade das instituições democráticas, nem causar pânico na população". Os advogados da União alegam que a informação falsa, a desinformação e o discurso de ódio enfraquecem a confiança nas instituições democráticas. "As grandes empresas de tecnologia, a exemplo da META, devem assumir suas responsabilidades com o ambiente informacional íntegro", afirma a AGU na peça. Em relação à atuação da empresa no Brasil, diz a AGU que as novas diretrizes da Meta demonstram a possibilidade de violações a direitos fundamentais no ambiente digital, com desrespeito à legislação do País, e reafirma a necessidade de respeito à Constituição Federal e à legislação brasileira. Fonte: tiinside #cibersegurança #ibraspd #META

Custo crescente de ataques cibernéticos reforça a importância de medidas preventivas No Brasil, o custo médio de uma violação de dados em 2024 chegou a US$ 1,36 milhão, segundo o relatório da IBM. Setores como saúde, tecnologia e serviços financeiros lideram a lista dos mais impactados, enquanto empresas menores, muitas vezes percebidas como menos vulneráveis, continuam sendo alvos frequentes de ataques. Com a crescente complexidade do cenário digital, proteger dados e operações deixou de ser uma preocupação apenas das grandes corporações: esse é um tema que deve ser olhado por todos os setores e negócios do pequeno ao grande porte. Novas tecnologias são absorvidas pelas empresas no mesmo ritmo em que elas surgem, facilitando processos e otimizando operações. No entanto, essa mesma velocidade aumenta a exposição ao risco, especialmente em ambientes onde dados estão distribuídos entre servidores locais, nuvens públicas e privadas. Segundo dados recentes, cerca de 40% das violações envolvem informações espalhadas por múltiplos ambientes, e ataques direcionados a nuvens públicas elevam o custo médio das violações para mais de US$ 5 milhões. Grandes empresas, em geral, contam com departamentos estruturados e diretrizes claras para incorporar essas ferramentas e mitigar os riscos associados. Porém, a preocupação com a exposição ao risco deve ser universal, uma vez que os impactos podem atingir negócios de todos os tamanhos. Como reduzir os riscos? Embora os desafios sejam muitos, empresas podem adotar práticas preventivas que fazem toda a diferença na mitigação de riscos e na redução de custos associados a violações. Algumas ações práticas são: Mapear e proteger os dados: manter um inventário atualizado de onde estão armazenadas as informações, é muito importante. Ferramentas de Gerenciamento de Postura de Segurança de Dados (DSPM) ajudam na tarefa, independentemente do ambiente onde estão. Investir em treinamento contínuo: capacitar equipes para identificar ameaças como phishing e ransomware fortalece a segurança interna. Simulações de crises e treinamentos regulares preparam os colaboradores para reagir com eficiência a incidentes. Automação e IA como aliados: adotar tecnologias que monitoram e respondem a ameaças em tempo real pode reduzir custos de incidentes em até US$ 2,2 milhões. Soluções automatizadas também aumentam a eficiência na detecção e prevenção de ataques. Planejar a resposta a incidentes: um plano de ação claro, com playbooks detalhados, garante uma resposta rápida e eficaz a violações, preservando a continuidade do negócio e a reputação da empresa. Fonte: segs.com.br #cibersegurança #ibraspd #segurançacibernética #ataquescibernéticos

Várias organizações da infraestrutura crítica do Brasil – a maioria do governo – foram atingidas por ataques de ransomware nos últimos cinco anos. A informação está num banco de dados que a Temple University, dos EUA, compartilhou com a redação do CISO Advisor. O trabalho foi desenvolvido pelo CARE Lab, que registrou mais de dois mil ataques de ransomware contra infraestruturas vitais nos últimos dez anos. Em 16 incidentes registrados no Brasil, nove ocorreram contra organizações governamentais. A pesquisa, que foi iniciada em 2019, já contabilizou 900 desses ataques ocorrendo apenas nos últimos três anos. Esses incidentes foram registrados em uma base de dados chamada Critical Infrastructure  Ransomware Attacks (CIRA), que pode ser acessada para fins de pesquisa e treinamento. A base de dados inclui detalhes sobre os ataques, como o nome da vítima, a data do incidente, o grupo responsável, a duração do ataque e, quando disponível, o valor do resgate pago. Esses dados, que cobrem o período de novembro de 2013 a dezembro de 2024, são coletados a partir de reportagens da mídia e relatórios de segurança. De acordo com o gerente do projeto, Aunshul Rege, os ataques estão se tornando mais dispendiosos, com valores de resgates chegando a milhões de dólares. A pesquisa destaca a crescente ameaça representada pelos cibercriminosos, que exigem quantias cada vez maiores para a devolução de dados roubados. Embora o banco de dados seja acessível para fins de pesquisa, o CARE Lab não atenderá solicitações feitas por endereços de e-mail pessoais. Fonte: cisoadvisor #cibersegurança #ibraspd #cibercriminosos #ransomware

A fiscalização da ANPD surge como uma oportunidade para que as organizações reforcem seu compromisso com a proteção de dados A fiscalização realizada pela Autoridade Nacional de Proteção de Dados (ANPD) nas últimas semanas, com foco em 20 empresas por falta de encarregado de dados e de canal de comunicação adequado, é um reflexo do amadurecimento do cenário regulatório no Brasil. Para Ana Carolina Teles, especialista em Inteligência Artificial e Governança, Risco e Compliance (GRC) na Palqee, esse movimento é esperado e fundamental para garantir a efetividade da Lei Geral de Proteção de Dados (LGPD). “A fiscalização da ANPD é um movimento previsto para aqueles que acompanham as Agendas Regulatórias publicadas regularmente pela Autoridade. Essa ação é primordial porque demonstra que a Autoridade não se limita a medidas repressivas – embora, quando necessário, atuará dessa forma. Considerando o contexto do Brasil e o nível de maturidade da sociedade em relação à proteção de dados e privacidade, eles vêm agindo de maneira educativa e preventiva. Esse equilíbrio é importante para promover a conformidade de forma sustentável e consciente”, afirma Teles. Embora as penalidades previstas no artigo 52 da LGPD estejam em vigor desde agosto de 2021, Ana Carolina observa que a eficácia na implementação dos processos de proteção de dados nas empresas ainda é questionável. Para ela, isso reforça a necessidade de uma cultura sólida de conformidade, que vá além de uma simples adequação formal à legislação. “Ainda que se trate de grandes empresas, a realidade é que muitos negócios não estão completamente preparados para implementar processos adequados de proteção de dados pessoais. A conformidade com a LGPD deve ser encarada como uma prática contínua e integrada à cultura da organização, e não como uma medida pontual ou reativa”, explica a especialista, destacando que esse cenário ganha ainda mais relevância diante dos resultados da investigação. A apuração revelou dois pontos críticos: a falta de indicação de um Encarregado de Dados (DPO) e a ausência de um canal adequado para atendimento aos titulares de dados. Para Ana Carolina, a segunda questão é especialmente relevante, pois está diretamente relacionada ao Código de Defesa do Consumidor (CDC), que exige atendimento eficaz e transparente aos consumidores. Assim como no CDC, a LGPD garante aos titulares de dados pessoais – frequentemente também consumidores – o direito de acessar, corrigir ou excluir seus dados de forma simples e rápida. “Muitas empresas acreditam que disponibilizar um número de telefone, e-mail ou formulário é suficiente para atender a essas exigências. No entanto, isso não é adequado. É necessário implementar processos internos eficientes, centralizando o recebimento das solicitações e estruturando procedimentos claros de atendimento. (continua abaixo nos comentários)

De acordo com informações publicadas em um portal na dark web no último dia 22 de dezembro, o Sicoob teria sido pela segunda vez vítima de um ataque ransomware. Segundo as informações divulgadas pelo grupo 8base, foram exfiltrados dados confidenciais da instituição, incluindo informações pessoais de clientes e funcionários, documentos estratégicos e acessos internos. Em informações publicadas no portal RedPacket Security, o vazamento revelou que arquivos confidenciais foram comprometidos, com alta probabilidade de acesso por terceiros não autorizados. Essa falha de segurança pode acarretar graves consequências para as vítimas cujos dados foram roubados, incluindo risco de fraude. "A declaração indica que a organização está sob uma ameaça significativa devido aos dados que estão sendo expostos, ressaltando a seriedade da situação. Embora não houvesse links de download presentes, a menção de arquivos confidenciais carregados levanta alarme sobre o potencial uso indevido de dados e os riscos gerais de segurança que as vítimas podem enfrentar.", informou o portal. Segundo ataque de 2024 Em julho de 2024 posts divulgados na rede social X alegaram que o grupo RansomHub teria invadido os sistemas da empresa. Horas depois o Sicoob garantiu que nenhum dado sensível foi comprometido. De acordo com informações da empresa, na época, apenas uma de suas cooperativas fora atingida, e os sistemas financeiros e operacionais não foram comprometidos, além de todas as medidas de segurança serem adotadas. O Sicoob se pronunciou com relação ao ocorrido com a seguinte nota enviada à TI Inside: O Sicoob informa que identificou um incidente cibernético no ambiente local de uma das cooperativas que integram o Sistema. Imediatamente acionou os protocolos de segurança para investigar o evento e tomou as medidas necessárias para conter a situação e minimizar quaisquer riscos associados ao caso. A instituição comunicou prontamente às autoridades competentes e iniciou uma investigação com o apoio de especialistas para determinar a extensão do incidente. As informações e movimentações financeiras de todas as cooperativas e dos cooperados do Sicoob são processadas em estrutura apartada da afetada pelo incidente e estão com a sua integridade preservada. A instituição ressalta que todas as cooperativas do Sistema seguem operando normalmente tanto com o atendimento presencial quanto pelos seus canais digitais. O Sicoob reforça seu compromisso com a segurança da informação e continuará investindo em medidas para proteger seus sistemas e dados. Além disso, segue empenhado em garantir a integridade e a confiança em todos os seus serviços". Fonte: tiinside #ibraspd #ataquehacker #cibersegurança #incidentecibernético #hacker

Durante uma hora na noite da última sexta-feira, o site do Coritiba Foot Ball Club exibiu em sua home page um post anunciando a contratação do atacante Neymar Jr., atualmente no time do Al Hilal, da Arábia Saudita, onde seu contrato é de cerca de 100 milhões de euros por ano (equivalentes a R$ 601,63 milhões). O hacker preparou um comunicado completo, com declarações atribuídas ao CEO do Coritiba, Gabriel Lima. O texto informava que Neymar se juntaria ao clube após o fim do seu contrato com o Al-Hilal, da Arábia Saudita, em maio de 2025. O Coritiba rapidamente informou que seu site havia sido hackeado e que não iria contratar o jogador. A publicação no site alegava que Neymar havia concordado em se juntar ao Al-Hilal, mas que ao final de seu contrato teria como objetivo retornar para o futebol brasileiro. Logo após a postagem falsa ser carregada no site do clube, a equipe de TI do Coritiba fechou o site e voltou a controlá-lo, com a postagem deletada. Neymar foi ligado a uma mudança de volta para o Brasil após seu contrato com o clube da Arábia Saudita expirar, embora seja mais provável que ele se mude para seu clube de infância, o Santos. A temporada do brasileiro em Riad tem sido um desastre, com lesões limitando seu tempo de jogo drasticamente. O Coritiba não é o primeiro clube a sofrer com um incidente de hacking. Em maio de 2024, o Fluminense anunciou em seu site que havia contratado o astro norueguês do Manchester City, Erling Haaland, após “negociações intensas e um grande esforço da nossa diretoria”. Fonte: cisoadvisor #hacker #cibersegurança #segurançacibernética #ibraspd #ciberataque #proteçãodedados

O Relatório de avaliação do senador Esperidião Amin (PP-SC) aponta prioridades para setor que levanta preocupações devido a crescentes ataques cibernéticos. Transcrição O RELATÓRIO DE AVALIAÇÃO DA POLÍTICA NACIONAL DE CIBERSEGURANÇA APONTA NECESSIDADE DE ESTABELECER UMA AUTORIDADE DE CIBERSEGURANÇA PARA O PAÍS. A AGÊNCIA DEVE TER SEU FUNCIONAMENTO PREVISTO EM PROJETO DE LEI ENVIADO PELO GOVERNO FEDERAL PARA VOTAÇÃO NO CONGRESSO. REPÓRTER JANAÍNA ARAÚJO. Além de votar novas leis para o país, uma das outras importantes tarefas do Poder Legislativo é avaliar as políticas públicas adotadas pelo Executivo. E foi essa uma das atividades da Comissão de Relações Exteriores do Senado em 2024 em relação à Política Nacional sobre Defesa Cibernética. O relator da avaliação feita pelo colegiado foi o senador Esperidião Amin, do Progressistas de Santa Catarina, que criticou a edição de decreto no fim de 2023 para criação da Política Nacional de Cibersegurança. O senador defendeu uma política pública criada por meio de projeto de lei enviado ao Congresso Nacional pelo governo federal. O relatório aponta como prioridade conhecer e avaliar o diálogo institucional entre segurança e defesa cibernética. Esperidião Amin afirma que é preciso definir modelo mais adequado de uma autoridade de cibersegurança, uma agência, para o Brasil. Esperidião Amin - Sugerimos que o Executivo encaminhe, com maior brevidade possível, um projeto de lei que estabeleça a forma de funcionamento dessa autoridade, que, sem dúvida alguma, é uma necessidade para o conjunto do que se chama segurança pública no Brasil, especialmente compatível com as exigências da modernidade. Segundo dados apresentados no relatório, o Brasil foi o segundo país mais atingido da América Latina e Caribe em 2022, com cerca de 103 bilhões de tentativas de ataques cibernéticos. O senador observou que o cenário de crescente preocupação com os crimes e as ameaças cibernéticas levou à criação da Subcomissão Permanente de Defesa Cibernética, em funcionamento desde maio de 2024. Ele contou sobre o trabalho feito pelos senadores. Esperidião Amin - Procuramos desenvolver, na Subcomissão Permanente de Defesa Cibernética, inclusive demandando em outros países, a busca de informações, comparando situações e recomendações adotadas em outras nações. Outra prioridade recomendada pelo relator na avaliação da Política Nacional de Cibersegurança é a participação do Brasil junto aos países da América Latina em esforços de investigação colaborativa. Da Rádio Senado, Janaína Araújo. Fonte: senado.leg.br #cibersegurança #ibraspd #ataquescibernéticos #segurançacibernética #defesacibernética #senado

Os contributos servem para melhorar o regime jurídico que visa alargar o conjunto de entidades abrangidas, priorizando, por um lado, a generalização da prevenção dos riscos de cibersegurança. A consulta pública do novo regime de cibersegurança, que transpõe a diretiva NIS2 e terminou em 31 de dezembro, recebeu 149 contributos, disse esta quinta-feira à Lusa fonte oficial do gabinete do ministro da Presidência. “A consulta pública do novo regime jurídico da cibersegurança encerrou a 31 de dezembro com 149 contributos de dezenas de cidadãos, associações, empresas e outras entidades, o que reflete o elevado interesse em participar por parte de vários setores da sociedade portuguesa”, afirmou a mesma fonte. De acordo com o gabinete do ministro da Presidência, “assim que for concluída a análise dos contributos submetidos através da consulta pública, o Governo irá submeter à Assembleia da República a proposta de Lei de autorização legislativa, no início do ano, para que Portugal possa ser um dos primeiros Estados-membros da União Europeia a concretizar a transposição da diretiva sobre a Segurança das Redes e da Informação 2, destinada a garantir um elevado nível comum de cibersegurança em toda a UE”. Em 10 de dezembro eram 20 os contributos recebidos, tendo a consulta pública sido prorrogada até ao final do ano passado. O novo regime jurídico de cibersegurança, que transpõe a diretiva NIS2, alarga o conjunto de entidades abrangidas, priorizando, por um lado, a generalização da prevenção dos riscos de cibersegurança, mas graduando a exigência regulatória em função da dimensão da entidade e da importância da sua atividade, bem como privilegiando a proporcionalidade das medidas aplicáveis. De acordo com o artigo 18.º, “o membro do Governo responsável pela área da cibersegurança pode determinar a aplicação de restrições provisórias à utilização, a cessação de utilização ou exclusão de equipamentos, componentes ou serviços de tecnologias de informação e comunicação, utilizados em redes e sistemas de informação públicos ou privados, considerados de elevado risco para a segurança do ciberespaço de interesse nacional, mediante proposta da Comissão de Avaliação de Segurança do Ciberespaço”. A avaliação de segurança “deve ter em conta os riscos técnicos dos equipamentos, componentes ou serviços, o seu contexto de utilização e a exposição dos seus fabricantes ou fornecedores à influência indevida de países terceiros, incluindo informação relevante emitida pelas entidades competentes nacionais e da União Europeia ou constante das avaliações nacionais ou europeias de risco para a segurança das redes e sistemas de informação, bem como outros riscos securitários relevantes”, lê-se no documento. Entre outras medidas, o regime diferencia o tratamento a dar às entidades essenciais e às importantes em função dos riscos e prevê coimas até 10 milhões de euros em caso de contraordenações muito graves para as primeiras. Fonte: observador #ibraspd #cibersegurança

A transformação digital enfrenta o desafio do aumento de ataques cibernéticos, dos quais os sistemas de impressão e gerenciamento de documentos não estão isentos. É por isso que tanto os usuários quanto as plataformas empresariais devem tomar as medidas mais adequadas para se protegerem eficientemente dessa realidade que pode afetar qualquer empreendimento ou negócio. Nesse contexto. A América Latina é a terceira região mais atacada do mundo e, nesta região, os 5 principais países com mais ameaças detectadas são: Peru, seguido por México, Equador, Brasil e Argentina, de acordo com a empresa de segurança ESET. Ao mesmo tempo, a adoção da Inteligência Artificial está evoluindo mais rápido do que outros avanços tecnológicos semelhantes. O mundo levou aproximadamente 23 anos para que a Internet chegasse a um bilhão de usuários. A tecnologia móvel levou apenas 16 anos. E no ritmo atual, a IA atingirá a marca de um bilhão de usuários em cerca de sete anos. De acordo com especialistas em segurança cibernética da Unidade 42 da Palo Alto Networks, grupos criminosos estão trabalhando arduamente com IA para montar ataques mais sofisticados, rápidos e em larga escala. Esta unidade estima que, nos próximos cinco a sete anos, muitos novos aplicativos serão criados com a IA em mente desde o início, o que significa que as empresas precisam se proteger com sistemas de segurança que integrem a IA desde o design inicial. "Como especialistas em soluções de negócios, sabemos que a melhor proteção é a prevenção com conscientização e treinamento dos usuários para que eles mantenham o principal ativo de suas empresas, que é a informação, seguro", afirma Ricardo Karbage, gerente geral do Brasil e líder de negócios corporativos da Xerox na América Latina, que acrescenta: "A segurança cibernética deixou de ser uma questão corporativa para se tornar o cotidiano de todos os usuários, por isso é preciso ter processos, políticas e dispositivos protegidos, seja para acessar a internet, imprimir ou digitalizar um documento ou fazer um gerenciamento completo de informações em grandes bancos de dados." Sob este princípio, em soluções de gerenciamento de documentos, físicos ou digitais, são colocados em prática diversos mecanismos para garantir a proteção dos dados, de modo que as empresas possam evitar ameaças de acesso não autorizado como primeira medida para evitar divulgação não autorizada de informações, roubo ou extorsão. Ficar à frente das ameaças à segurança cibernética Ao combinar tecnologia com processos de trabalho, você obtém uma abordagem abrangente que inclui sistemas de gerenciamento de conteúdo, equipamentos atualizados e protegidos e conscientização do usuário. Ao combinar hardware, software e processos, a Xerox oferece suporte a iniciativas de Zero Trust por meio de práticas recomendadas e das seguintes recomendações para se preparar para uma vulnerabilidade de segurança cibernética: (continua abaixo nos comentários)

O estudante de cibersegurança George de Freitas Souza, aluno do programa Hackers do Bem, descobriu e informou aos gestores do programa duas falhas graves, que poderiam comprometer a confiabilidade e a segurança do sistema que atende os alunos. Num relatório que foi enviado à RNP e ao programa, Souza descreveu uma falha que permitia a exposição de dados do programa e uma que permitia alteração não autorizada de credenciais. Residente na cidade de Tauá, Ceará, explicou ter seguido “os princípios da divulgação responsável, não realizando testes invasivos ou que comprometessem os sistemas do programa Hackers do Bem”. Após corrigir as falhas, a RNP autorizou Souza a divulgar o relatório, que foi compartilhado com a redação do CISO Advisor. Descrevendo a primeira falha, Souza explica ter descoberto que “o ranking de competição entre os alunos, que não deveria ser público, poderia ser acessado por falha do próprio código do site do programa Hackers do Bem”. Já a segunda “permitia que um invasor alterasse o CPF e o e-mail vinculado às contas dos alunos. Essa brecha poderia possibilitar acesso às contas dos usuários, com potencial para ações como exclusão e troca de perfis, manipulação de posições no ranking, bem como emissão de certificados de conclusão das fases do curso de forma fraudulenta”. Ao CISO Advisor, Souza declarou que primeira falha seria grave, “isso porque o programa hackers do bem garantia a privacidade do ranking e dados dos competidores. Principalmente, quando a irregular divulgação poderia comprometer a classificação e competição, bem como se pode ver o real número total de inscritos e se realmente os inscritos são legítimos. Os números de ID (irregularmente divulgados) do ranking e usuários também poderiam ser usados junto da segunda falha)”. Já a segunda falha é crítica, segundo ele, “pois se pode trocar o perfil dos dados dos usuários (CPF e e-mail vinculados as contas), bem como invadir outras contas e também emitir certificados do curso para terceiros não autorizados. Manipulando, assim, o ranking e o próprio objetivo do programa Hackers do bem”. Souza fez as duas descobertas analisando o código do portal dos alunos. Segundo ele, através da exploração de diretórios (Forced Browsing/Directory Traversal) era possível visualizar o ranking completo, incluindo outros dados de participantes. A falha mais grave, que permitia a alteração de credenciais por meio de alterações em campos do formulário do site e manipulação de URLs. Segundo o especialista, “um invasor poderia modificar credenciais críticas. Essa vulnerabilidade foi explorada em POC (Prova de Conceito), demonstrando cenários onde, inicialmente, se poderiam fazer outros ataques”. Como consequência, afirma Souza no relatório, alterações dos dados de usuários poderiam permitir, entre outras consequências, a geração de certificados do curso em nome de terceiros. Fonte: cisoadvisor #cibersegurança #hacker #ibraspd #hackersdobem