ICO: – “RGPD numa fase critica”

Qual a principal fonte de inconformidade RGPD?

Quer o caso da violação de dados do Yahoo, quer o caso do Facebook, demonstram bem falhas organizativas que sustentam a tese da presidente da ICO.

Segundo a ICO estamos a entrar numa fase critica de afirmação do RGPD que requer um novo foco na proteção holística de dados, incorporando uma sólida governança dos dados pessoais em todos os processos da atividade da organização.

No passado dia 8 de Abril, Elizabeth Denham, presidente da ICO (a autoridade para a proteção de dados pessoais do Reino Unido) na conferência Data Protection Practitioners 2019 (aqui) afirmou, perante mais de 800 pessoas, a absoluta necessidade de considerar adequadamente o principio da accountability (responsabilidade ou responsabilidade demonstrada).

We find ourselves at a critical stage. For me, the crucial, crucial change the law brought was around accountability. Accountability encapsulates everything the GDPR is about.”

Elizabeth Denham, Information Commissioner (ICO)

Este é, de resto, um tema recorrente deste blog como se pode ver aqui, aqui e aqui, entre outros.

Mas qual a relação da afirmação de Elizabeth Denham com os casos do Yahoo e do Facebook?

Continue reading “ICO: – “RGPD numa fase critica””

Riscos Globais em 2019

O relatório do Global Risks Perception Survey 2019 faz das tecnologias o actor principal.

De um catálogo de 30 riscos globais, o inquérito 2019, atribuiu, em termos de probabilidade o 4º lugar ao roubo e fraude de dados e o 6º lugar aos ciberataques. Em termos de impacto o roubo e fraude de dados ficaram em 16º risco e os ciberataques ficaram em 6º.

Nove em cada dez entrevistados esperam, para 2019, um agravamento dos confrontos económicos e políticos entre as grandes potências e num horizonte de dez anos, os eventos climáticos extremos e as mudanças climáticas são vistos como as ameaças mais graves.

O relatório apresenta os resultados da mais recente Pesquisa de Perceção de Riscos Globais, na qual um milhar de decisores do setor público, setor privado, académico e sociedade civil avaliam os riscos que o mundo enfrenta.

Entende-se como “risco global” um evento ou condição incerta que, se ocorrer, pode causar impacto negativo significativo e que não é influenciado por um país ou governo.

The Global Risk Report 2019 (aqui) faz alguns comentários à avaliação realizada que se sintetizam da forma seguinte.

Continue reading “Riscos Globais em 2019”

As toupeiras

A segurança da informação está no topo das preocupações dos CEOs. Em Portugal a preocupação será menor porque, somos um país de otimistas. E, como todos muito bem sabemos, a gestão de risco, em Portugal, pauta-se pelos otimismos e pessimismos.

Em Portugal sucedem-se os casos de toupeiras. São as toupeiras do Benfica, do Departamento de Investigação e Acção Penal (DIAP), da Inspeção Geral de Finanças (aqui) e agora, ao que parece, poderá haver mais um caso de toupeiras na Câmara Municipal de Ovar.

Até no caso da Sociedade de Advogados PLMJ, em que foi tornado publico mais de 4GB de informação, há dúvidas sobre a participação interna. Há uma linha de investigação sobre um eventual apoio de pessoas que conheciam o sistema de informação da PLMJ (aqui). Há, assim, a suspeita de que o ataque à PLMJ tenha resultado de uma ação combinada, com uma atuação externa mas, conjugada com outra interna.

Certo é dizer-se que a maior ameaça é a interna e, mais especificamente, a que está por detrás de um teclado. Sobretudo através dos dispositivos pessoais, designadamente computadores portáteis e telemóveis (aqui) que são alvos fáceis de malware e que, de forma geral, beneficiam de ligações às redes das organizações como se fossem dispositivos internos.

Os especialistas de segurança de informação lá vão alertando para o facto de que a maior ameaça à segurança ter origem interna e que as toupeiras são uma praga com tendência a alastrar-se. Mas, no tradicional clima de irresponsabilidade generalizada que em português suave se designa, por vezes, de otimismo, os alertas não passam de pessimismo e alarmismo. É a gestão de risco que temos.

O mais engraçado é que muitas vezes consegue-se falar dos efeitos das toupeiras calando o tema das toupeiras. O acesso aos dados da Câmara de Ovar é um desses casos que parece ser obra de toupeira, mas que dificilmente será comentado na perspetiva da segurança da informação e das ameaças internas.

O caso que chamo ser da Câmara de Ovar é colocado na imprensa como sendo o caso do Lexus LS500h (setenta e muitos mil euros de carro) do presidente da Câmara de Ovar, Vice do PSD, Salvador Malheiro.

Continue reading “As toupeiras”

O erro mais frequente em 2018

Evitemos os erros de 2018, façamos melhor em 2019. Os guias e as compilações de melhores práticas não têm evitado uma falha quase que generalizada no registo das atividades de tratamento de dados imposto pelo RGPD. Esperemos que 2019 traga melhores registos.

Creio que o motivo da falha recorrente no registo das atividades de tratamento de dados pessoais (RATDP) reside no facto de se confundir a orientação dada pelo artigo 30º do RGPD (registo das atividades de tratamento) com o que é mais correto do ponto de vista operacional e o que é mais indicado para apresentação a uma autoridade de controlo, CNPD ou outra qualquer. Isto é, pede-se mais que uma leitura estritamente jurídica, exige-se um entendimento mais operacional e de gestão.

Antes de desenvolver esta ideia, importa salientar a relevância do RATDP para se ter uma correta perceção do impacto deste erro. O deficiente registo das atividades de tratamento de dados pessoais é, não só frequente, como compromete de forma muito significativa todo o esforço de conformidade RGPD.

Atendamos a que:

  • O RATDP é a trave mestre da conformidade RGPD, é onde o DPO concentra a maior parte do seu esforço
  • O RATDP é o ponto de referência da administração da organização responsável pelo tratamento dos dados
  • O RATDP é o ponto de entrada utilizado pela entidade de controlo (CNPD)

Em termos de auditoria a constatação de um RATDP deficientemente organizado não corresponde de forma linear a um parecer adverso ou negativo (declaração expressa de não demonstração de conformidade), ou a um parecer de abstenção de opinião (impossibilidade do auditor obter todas as evidências comprobatórias), ou a um parecer com ressalvas (adoção de procedimentos não considerados adequados ou geralmente aceites nas circunstâncias). É um facto que o cumprimento do artigo 30º, de forma estrita, permite, à partida, passar a avaliação inicial do RATDP, mas o aprofundamento do tema da conformidade com essa base é operacionalmente deficiente e não facilita o trabalho da atividade de controlo. Um RATDP deficiente não impossibilita a conformidade, mas é um mau começo e, na prática, indicia uma conformidade insuficiente.

Comecemos por identificar o erro para depois expormos a forma correta de realizar o RATDP.

Continue reading “O erro mais frequente em 2018”

Alemanha tenta justificar-se

Em Setembro de 2018 foi anunciado que 1,8 milhões de registos foram roubados da Knuddels. O resultado final foi uma coima de 20.000 euros e um investimento em segurança de 6 dígitos.

O Knuddels.de é um serviço online baseado na Web que consiste numa plataforma de flirty chat para pessoas com mais de 14 anos de idade. Knuddels serve, sobretudo, uma comunidade de jovens adultos de língua alemã.

No comunicado de imprensa da autoridade de controlo alemã do Estado (Bundesländer) Baden-Wuerttemberg (LfDI) (aqui) percebe-se bem a necessidade de justificação da coima ser incompreensivelmente baixa o que deixa uma grande interrogação sobre a desejável uniformidade de critérios das várias autoridades de controlo da União Europeia.

Em julho deste ano, a plataforma de flirty chat  sofreu uma violação de dados e as informações roubadas dos seus servidores foram publicadas on-line. Um membro da equipe disse, na altura, que o incidente afetou todos os utilizadores que tinham uma conta na plataforma em 20 de julho de 2018 o que corresponde a 808.000 emails e 1,8 milhões de nomes de utilizadores e passwords.

Continue reading “Alemanha tenta justificar-se”

Formjacking

Mais de 250 mil ataques de formjacking desde meados de Agosto 2018. Qualquer empresa, em qualquer lugar do mundo, que receba pagamentos on-line, é uma possível vítima desta ameaça.

Formjacking designa o uso malicioso de código JavaScript para roubar dados de cartão de crédito e outras informações de formulários de pagamento nas páginas de sites de comércio eletrónico. Não é uma técnica nova, mas as ocorrências recentes são interessantes porque de grande impacto, sofisticadas e aumentaram dramaticamente o nível de ameaça desde meados de Agosto de 2018.

A Ticketmaster teve 40.000 registos de clientes comprometidos em Junho 2018, e a British Airways foi atacada em Setembro 2018, quando cerca de 400.000 clientes foram vitimas de roubo dos dados relativos ao cartão crédito. Acredita-se que a Magecart (grupo de hackers especializado em  cartões de crédito) esteja por trás deste enorme aumento do número de ataques de formjacking, que, segundo a Symantec, são mais de 250 mil desde meados de Agosto 2018.

Se o número de ataques concretizados é impressionante, é ainda mais incrível o número de tentativas de ataques bloqueados por dispositivos de segurança. Conforme gráfico acima só a  Symantec, através do Intrusion Prevention System (IPS), alega ter bloqueado, nos últimos 3 meses,  mais de 1 milhão de tentativas de ataques a mais de 10.000 websites. Nesse post de 5 de Dezembro 2018 (que pode aceder aqui), a Symantec examina alguns aspectos técnicos do formjacking.

De notar que os hacks da BA e da Ticketmaster evidenciam uma pratica especializada com adaptação de técnicas para o website alvo do ataque, fazendo trabalho específico  no que se pode chamar de “boutique malware”.