A primeira coima dinamarquesa

Deficiente pseudonimização pode vir a custar 2,8% da faturação.

A autoridade dinamarquesa de controlo dos dados pessoais (DPA) solicitou a imposição de uma coima de 1,2 milhões de coroas dinamarquesas (€160.751) à empresa de táxis TAXA 4×53, por deficiente pseudonimização e minimização de dados.

A notícia pode ser lida aqui.

A centenária empresa de táxis dinamarquesa com mais de 800 táxis em Copenhaga é líder de mercado e mantém uma base de dados com um histórico de nove milhões de viagens.  

Embora a aplicação da coima esteja reservada ao tribunal, verifica-se que de uma forma geral os tribunais tendem a estar alinhados com as penalidades propostas pelos reguladores. À medida que for sendo criada jurisprudência a DPA dinamarquesa poderá vir a aplicar coimas, mas como este ainda é o primeiro caso, tudo terá que ser resolvido em tribunal.

Continue reading “A primeira coima dinamarquesa”

Riscos Globais em 2019

O relatório do Global Risks Perception Survey 2019 faz das tecnologias o actor principal.

De um catálogo de 30 riscos globais, o inquérito 2019, atribuiu, em termos de probabilidade o 4º lugar ao roubo e fraude de dados e o 6º lugar aos ciberataques. Em termos de impacto o roubo e fraude de dados ficaram em 16º risco e os ciberataques ficaram em 6º.

Nove em cada dez entrevistados esperam, para 2019, um agravamento dos confrontos económicos e políticos entre as grandes potências e num horizonte de dez anos, os eventos climáticos extremos e as mudanças climáticas são vistos como as ameaças mais graves.

O relatório apresenta os resultados da mais recente Pesquisa de Perceção de Riscos Globais, na qual um milhar de decisores do setor público, setor privado, académico e sociedade civil avaliam os riscos que o mundo enfrenta.

Entende-se como “risco global” um evento ou condição incerta que, se ocorrer, pode causar impacto negativo significativo e que não é influenciado por um país ou governo.

The Global Risk Report 2019 (aqui) faz alguns comentários à avaliação realizada que se sintetizam da forma seguinte.

Continue reading “Riscos Globais em 2019”

BIA – Business Impact Analysis

A análise do impacto é um processo central para a definição do risco, para a definição das prioridades, para as medidas de mitigação do risco, para os planos de DRP (Disaster and Recovery Plans) e para os BCP (Business Continuity Plans).

O profissional de proteção de dados não pode limitar-se às Avaliações de Impacto sobre Proteção de Dados. Pelo menos, no que respeita à segurança da informação, tem que lidar com o conceito mais alargado de BIA – Business Impact Analysis, isto é, com a análise de impacto que não diz diretamente respeito à proteção de dados. Mas, o planeamento e gestão da comunicação associados à resposta a uma violação de dados também pode beneficiar de uma análise de impacto.

As BlAs são usadas para avaliar os processos críticos (e as soluções informáticas que os apoiam) e são a base para determinar prazos, prioridades, recursos e interdependências. As auditorias à Proteção de Dados não podem deixar de proceder a uma adequada avaliação dos BIAs, concretamente os que dizem respeito à segurança da informação em geral e, em particular, os que se referem aos planos de disaster-recovey e aos planos de continuidade de negócios.

O auditor de proteção de dados tem que saber quais as questões fundamentais a considerar na elaboração de um BIA e procurar evidências de que um determinado BIA foi conduzido de forma apropriada.

Os incidentes e as crises têm uma natureza dinâmica. Alteram-se ao longo do tempo e conforme as circunstâncias, evoluindo, por vezes, de forma rápida e imprevisível. Também por isso, a sua gestão deve ser dinâmica, proativa e bem documentada.  

Este caracter dinâmico dos incidentes e das crises dificultam a utilização de soluções padronizadas pelo que deve ser colocado um grande esforço no método e nos instrumentos dessa metodologia. A BIA é um desses instrumentos.

Uma BIA criteriosa e rigorosa é um elemento crucial para toda a Gestão de Incidentes e Resposta a Incidentes, nas suas diversas fases: Planeamento e preparação; Deteção; Inicio; Registo/documentação (Recording); Avaliação; Contenção (limitar o alcance do incidente); Erradicação; Escalada; Resposta; Restauração; Fecho; Reporting; Revisão pós-incidente; Lições aprendidas. Mas, também é importante, que a Gestão de Incidentes e a Resposta aos Incidentes gerem informação e alimentem a base de conhecimento que melhor de forma continua as BIAs.

Todas estas fases, para serem devidamente executadas, pressupõem trabalho prévio e orientações claras por parte da organização. Um correto planeamento e preparação deve permitir que o incidente encaixe nas classificações estabelecidas e que por essa via seja fácil responder a perguntas como “Quem resolve?”, “Qual o impacto e urgência”? “Qual a prioridade”? “Quais os SLAs?”, “Quais os protocolos, quais os procedimentos a usar?”.

Para cada tipo de incidente (que pode agrupar ameaças, vulnerabilidades e riscos) teremos que realizar uma BIA especifica que poderá ter fases de resposta a incidentes próprias ou genéricas.

Continue reading “BIA – Business Impact Analysis”

Simplificar a avaliação de risco das PMEs

As pequenas e médias organizações nem sempre precisam de ferramentas sofisticadas para realizarem uma adequada avaliação de riscos. Tudo o que precisam é de um Excel, bons catálogos de vulnerabilidades e ameaças e uma boa metodologia de avaliação de risco que sobreleve a accountability.

O problema das soluções mais complexas é que, geralmente, exigem muito mais tempo, esforço e dinheiro. É preciso que esse adicional seja compensador.

Compreenda-se que simplificar não é diminuir. A avaliação de risco e a gestão do risco são a base quer da proteção de dados quer da segurança da informação / ISO 27001, mas isso não significa que a gestão do risco tenha que ser complexa e complicada. Nem sempre a utilização de uma aplicação de gestão de risco é a melhor solução. Em alguns casos, pode realizar-se uma avaliação do risco de forma simples, com a vantagem adicional de facilitar a compreensão e, por essa via, contribuir para uma maior adesão das pessoas envolvidas.

Não esquecer o objetivo

O propósito da avaliação de risco é identificar o risco e descobrir que controles são necessários para mitigar o risco. O processo de tratamento de risco consiste na seleção dos controles. Na ISO 27001 os controlos são escolhidos a partir do Anexo A que especifica 114 controles. Para a Proteção de Dados podemos recorrer aos controlos resultantes da BS 10012:2017.

Entenda-se que uma vulnerabilidade é uma debilidade num ativo, processo, controle, etc., que pode ser explorada por uma ameaça. Uma ameaça é qualquer ação que possa causar danos a um sistema ou organização. Um exemplo de vulnerabilidade é a não utilização de software antivírus; a respetiva ameaça consiste na existência de vírus.

A imagem em baixo (aqui) ilustra uma pratica orientada pela avaliação de risco, tal como recomendada pelo RGPD.

O processo é simples

Sigam-se os seguintes passos:

Continue reading “Simplificar a avaliação de risco das PMEs”

O caso PLMJ

Que tal a Ordem dos advogados recomendar que as sociedades de advogados sejam assistidas por um Conselho Consultivo de Segurança da Informação?

A Ordem dos Advogados manifestou o maior repúdio e considerou absolutamente inaceitável o ataque informático de que foi alvo a sociedade de advogados PLMJ. A Ordem “esqueceu-se” de comentar as obrigações que as sociedades de advogados têm no que respeita à segurança da informação. É fácil concordar que o hacker é o vilão da história, mas será que a PLMJ pode demonstrar que não é o segundo vilão?

A noticia da violação de dados ocorrida na sociedade de advogados PLMJ foi amplamente referida nos meios de comunicação social e pode ser lida, entre outros locais, aqui.

A Ordem dos Advogados, em comunicado assinado pelo bastonário, afirma que “uma advocacia sem medo e sem que os cidadãos tenham medo de a ela recorrer é essencial para a vida em democracia e para a proteção dos direitos de todos, pelo que procurar condicioná-la, seja de que forma for, tem de merecer, da sociedade, o maior repúdio e censura. Trata-se de um inaceitável atentado ao Estado de Direito e de um atentado de que todos, advogados e não só, são vítimas e em que todos estão na mira”.

Não se vê no comunicado da Ordem dos Advogados, nenhuma referência a algum código de conduta ou práticas de segurança da informação que obriguem, em particular, as sociedades de advogados. É bem claro que o vilão da história é o hacker, que ao que se diz é o mesmo do caso emails do Benfica, mas poderá haver um segundo vilão. Quem não protege a informação que lhe está confiada é, também, um vilão. É um vilão de outro teor, mas um vilão.

Parece evidente que uma sociedade de advogados que não dê prioridade à segurança das informações dos clientes e à defesa dos seus interesses e direitos constitui-se no segundo vilão da história. Dar prioridade significa, desde logo, afetar meios humanos, tecnológicos e, portanto, financeiros a esse objetivo. Essa prioridade tem que ser demonstrada, a sociedade de advogados tem que respeitar o princípio da accountability, tem que ser capaz de demonstrar responsabilidade. E se não for capaz de demonstrar responsabilidade, a meu ver, constitui-se como o segundo vilão da história. A Ordem dos Advogados deve dar indicações precisas de como essa demonstração de responsabilidade deve ser realizada, até porque, a natureza da informação à guarda de uma sociedade de advogados pode ser de máxima confidencialidade.

É óbvio que as sociedades de advogados não devem nem podem vir para a praça publica divulgar as medidas de segurança que as protegem, mas certamente que podem ser certificadas ISO 27001 e/ou terem um Conselho Consultivo para a Segurança da Informação recheado com nomes sonantes. Qualquer uma destas práticas, só por si, daria uma imagem publica de demonstração de responsabilidade.

Mas para o caso de sociedades de advogados do tipo da PLMJ, o que se recomenda é a aplicação conjunta das duas mediadas, Certificação ISO 27001 e Conselho Consultivo para a Segurança da Informação.

Lamentável é que a Ordem dos Advogados não vincule as sociedades de advogados a determinadas práticas que consagrem a demonstração de responsabilidade.

É evidente o papel da certificação ISO 27001 na demonstração da responsabilidade, mas já não é tão óbvio o papel de um Conselho Consultivo para a Segurança da Informação, ainda que em meu entender, o Conselho Consultivo possa ser um instrumento prático de muito maior alcance e eficiência que a certificação ISO 27001.

Então mas o DPO, o encarregado de proteção de dados (EPD), não é suficiente?

Note-se que não estamos a referir a necessidade de um Conselho Consultivo para a proteção de dados pessoais (ou privacidade) como por exemplo o da seguradora AXA (aqui) porque há vastas competências nessa área dentro de uma sociedade de advogados como a PLMJ. O que se alerta é para o problema da segurança da informação e a necessidade de um respetivo Conselho Consultivo, numa área que não é da especialidade de uma sociedade de advogados.

Vejamos a adequabilidade, vantagens e desvantagens do Conselho Consultivo para a Segurança da Informação como forma de proteção e de demonstração da responsabilidade. Neste sentido, comecemos por caracterizar a natureza de um Conselho Consultivo.

Continue reading “O caso PLMJ”

Detetabilidade

Como costuma tratar a questão da detetabilidade? A detetabilidade ilustra bem a máxima de que “qualquer framework é melhor que nenhuma”, no sentido em que demonstra a necessidade de tratar as várias dimensões de um problema com método e racionalidade que estejam devidamente reconhecidos e validados pela experiência.

A extrema vulnerabilidade durante 54 zero-day por ano, isto é, mais de um dia por semana, e os 205 dias que decorrem, em média, entre a violação de dados e a sua descoberta são motivos mais que suficientes para a questão da detetabilidade ser um fator crucial na gestão do risco. O desafio é: Como considerar a questão da detetabilidade?

A detetabilidade é particularmente bem considerada na framework FMEA (Failure Mode and Effects Analysis – Análise dos Modos de Falha e seus Efeitos), mas esta é uma metodologia pouco utilizada na proteção de dados pessoais. A avaliação de impacto na proteção de dados, de uma forma geral, segue a ISO 31000 (Gestão do Risco), mas esta não aborda diretamente a questão da detetabilidade.

Como articular a detetabilidade e a proteção de dados pessoais é a questão que vamos responder.

Continue reading “Detetabilidade”

O erro mais frequente em 2018

Evitemos os erros de 2018, façamos melhor em 2019. Os guias e as compilações de melhores práticas não têm evitado uma falha quase que generalizada no registo das atividades de tratamento de dados imposto pelo RGPD. Esperemos que 2019 traga melhores registos.

Creio que o motivo da falha recorrente no registo das atividades de tratamento de dados pessoais (RATDP) reside no facto de se confundir a orientação dada pelo artigo 30º do RGPD (registo das atividades de tratamento) com o que é mais correto do ponto de vista operacional e o que é mais indicado para apresentação a uma autoridade de controlo, CNPD ou outra qualquer. Isto é, pede-se mais que uma leitura estritamente jurídica, exige-se um entendimento mais operacional e de gestão.

Antes de desenvolver esta ideia, importa salientar a relevância do RATDP para se ter uma correta perceção do impacto deste erro. O deficiente registo das atividades de tratamento de dados pessoais é, não só frequente, como compromete de forma muito significativa todo o esforço de conformidade RGPD.

Atendamos a que:

  • O RATDP é a trave mestre da conformidade RGPD, é onde o DPO concentra a maior parte do seu esforço
  • O RATDP é o ponto de referência da administração da organização responsável pelo tratamento dos dados
  • O RATDP é o ponto de entrada utilizado pela entidade de controlo (CNPD)

Em termos de auditoria a constatação de um RATDP deficientemente organizado não corresponde de forma linear a um parecer adverso ou negativo (declaração expressa de não demonstração de conformidade), ou a um parecer de abstenção de opinião (impossibilidade do auditor obter todas as evidências comprobatórias), ou a um parecer com ressalvas (adoção de procedimentos não considerados adequados ou geralmente aceites nas circunstâncias). É um facto que o cumprimento do artigo 30º, de forma estrita, permite, à partida, passar a avaliação inicial do RATDP, mas o aprofundamento do tema da conformidade com essa base é operacionalmente deficiente e não facilita o trabalho da atividade de controlo. Um RATDP deficiente não impossibilita a conformidade, mas é um mau começo e, na prática, indicia uma conformidade insuficiente.

Comecemos por identificar o erro para depois expormos a forma correta de realizar o RATDP.

Continue reading “O erro mais frequente em 2018”

Formjacking

Mais de 250 mil ataques de formjacking desde meados de Agosto 2018. Qualquer empresa, em qualquer lugar do mundo, que receba pagamentos on-line, é uma possível vítima desta ameaça.

Formjacking designa o uso malicioso de código JavaScript para roubar dados de cartão de crédito e outras informações de formulários de pagamento nas páginas de sites de comércio eletrónico. Não é uma técnica nova, mas as ocorrências recentes são interessantes porque de grande impacto, sofisticadas e aumentaram dramaticamente o nível de ameaça desde meados de Agosto de 2018.

A Ticketmaster teve 40.000 registos de clientes comprometidos em Junho 2018, e a British Airways foi atacada em Setembro 2018, quando cerca de 400.000 clientes foram vitimas de roubo dos dados relativos ao cartão crédito. Acredita-se que a Magecart (grupo de hackers especializado em  cartões de crédito) esteja por trás deste enorme aumento do número de ataques de formjacking, que, segundo a Symantec, são mais de 250 mil desde meados de Agosto 2018.

Se o número de ataques concretizados é impressionante, é ainda mais incrível o número de tentativas de ataques bloqueados por dispositivos de segurança. Conforme gráfico acima só a  Symantec, através do Intrusion Prevention System (IPS), alega ter bloqueado, nos últimos 3 meses,  mais de 1 milhão de tentativas de ataques a mais de 10.000 websites. Nesse post de 5 de Dezembro 2018 (que pode aceder aqui), a Symantec examina alguns aspectos técnicos do formjacking.

De notar que os hacks da BA e da Ticketmaster evidenciam uma pratica especializada com adaptação de técnicas para o website alvo do ataque, fazendo trabalho específico  no que se pode chamar de “boutique malware”.