Expandindo os requisitos do GDPR para melhor proteger as PII

Sharon Lee, 12 de Março de 2019

A Regulação Geral de Proteção de Dados (GDPR) entrou em vigor em toda a União Europeia em maio de 2018 com o objetivo de aumentar a privacidade e estender os direitos de dados para indivíduos na UE, mas nunca foi concebido para nos manter livres de todas as formas de ameaças cibernéticas. Exige apenas que as organizações que tocam nossos dados pessoais envidem seus melhores esforços para proteger esses dados. No caso de violações de dados, eles devem se reportar às autoridades e informar as vítimas dentro do prazo exigido.

Pessoalmente, saúdo muito o regulamento do GDPR. Os prestadores de serviços e os fabricantes de produtos devem ser obrigados a manipular nossos dados pessoais com cuidado e ética. Quando foi apresentado, senti-me confiante de que o GDPR forneceria aos indivíduos a proteção de que precisam. Até um dia, minhas próprias informações pessoais vazaram. A violação de dados logo levou a uma série de ataques à minha conta bancária pessoal. Embora eu queira dar crédito ao meu banco por detectar e bloquear algumas das transações fraudulentas antecipadas, eles não foram capazes de identificá-los todos, nem me notificaram voluntariamente sobre os ataques. Como resultado, levei três semanas para descobrir que havia sido atacado.

Se você observar os diferentes fatores envolvidos em uma violação de dados, os requisitos do GDPR não vão longe o suficiente para proteger e informar os usuários. A violação do Ticketmaster é um bom exemplo. Ilustra as deficiências nos processos de resposta e notificação das empresas. Neste blog, compartilharei minha lista de desejos de proteções de segurança que vão além do GDPR para abordar melhor as vulnerabilidades críticas com base em minhas experiências pessoais como vítima de uma violação de dados e fraude bancária.

Requisitos GDPR, violação do Ticketmaster e respostas lentas a dados roubados

No contexto de violações de dados, o objetivo de um ataque é encontrar apenas um único ponto fraco em um sistema. Uma vez encontrado, o invasor pode obter silenciosamente acesso a informações confidenciais. Portanto, é do interesse de um invasor maximizar seus retornos pelo maior período de tempo possível, para que eles ocultem seus golpes e os tornem difíceis de descobrir. Pode levar meses, se não anos, para que um provedor de serviços identifique uma violação.

Um exemplo recente é o Violação do Ticketmaster. O invasor conseguiu roubar informações pessoais do Ticketmaster, incluindo nomes de clientes, endereços, e-mails, números de telefone, detalhes do cartão de pagamento e credenciais de login do Ticketmaster. Embora o ataque tenha ocorrido em fevereiro de 2018, a Ticketmaster não divulgou publicamente a violação de dados até o final de junho - mais de quatro meses após o início do vazamento. Isso nos diz que, mesmo sob a proteção do GDPR, nós, como consumidores, ainda somos os últimos a saber quando nossos dados pessoais são roubados. Naquele momento, o dano já estava feito.

Habilitando o monitoramento de fraudes em conformidade à PSD2 com Análise de Risco OneSpan
RELATÓRIO BRANCO

Habilitando o monitoramento de fraudes em conformidade à PSD2 com Análise de Risco OneSpan

Os novos requisitos do PSD2 exigem que as organizações de serviços financeiros realizem o monitoramento de transações. Aprenda os requisitos específicos e como o OneSpan Risk Analytics pode mantê-lo em conformidade neste white paper.

Baixar Agora

Instituições financeiras são geralmente as primeiras a saber

Transações fraudulentas acontece todos os dias e os bancos são constantemente alvo de cibercriminosos. Portanto, é provável que o banco seja o primeiro a detectar e identificar se um cliente é vítima de uma violação de dados.

Antes da Ticketmaster divulgar publicamente o incidente no final de junho, as agências do Reino Unido Monzo Bank detectou sinais de violação de dados em 2 de abril de 2018. O banco recebeu relatórios de aproximadamente 50 clientes e substituiu rapidamente seus cartões. Nos próximos dias, Monzo compartilhou essa descoberta com a Ticketmaster e o Serviço Secreto dos EUA. Em meados de abril, Monzo enviou 6.000 cartões de substituição para clientes que haviam pago com seus cartões Monzo na Ticketmaster.

Estou realmente impressionado com a tecnologia da Monzo e seu compromisso em elevar a proteção do cliente para o próximo nível. No entanto, essa história expõe a inadequação dos sistemas e regulamentos atuais.

Precisamos de um novo ecossistema: GDPR 2.0

No caso da Ticketmaster, Monzo salvaguardou seus clientes antes de mais ninguém. Outras instituições financeiras adotaram medidas semelhantes. Em outubro de 2018, o Lloyds Bank, Halifax e Bank of Scotland anunciaram que estavam emitindo dezenas de milhares de novos cartões de crédito para clientes depois que suas informações de pagamento foram comprometidas pela violação de dados da Ticketmaster. Observe, no entanto, que levou mais de seis meses para esses grandes bancos para confirmar e implementar ações de acompanhamento em resposta à violação.

O mercado é ineficaz em tomar medidas holísticas para remediar os danos causados por violações maciças de dados. As empresas sempre têm suas preocupações legais e financeiras adiando qualquer nova ação ou medida - e revisar e identificar todos os problemas de segurança em seus complexos sistemas de TI não é uma tarefa trivial. Esses sistemas provavelmente estão sob carga pesada e sempre há pontos cegos que os desenvolvedores podem ter esquecido.

Precisamos de novos regulamentos e autoridade para motivar e ajudar as empresas a fazer um trabalho melhor na proteção de nossos dados pessoais. É necessário um novo ecossistema para que todas as partes trabalhem juntas para reduzir ao mínimo os danos causados pela violação de dados.

Como pessoa física, gostaria de ser informado pelo meu banco sobre qualquer tentativa de transação fraudulenta na minha conta bancária pessoal o mais rápido possível. Fraude, como sequestro de conta , é uma forte evidência de uma violação de dados pessoais e, uma vez descoberto, eu agiria proativamente para me proteger como consumidor.

Lista de desejos para expandir os requisitos do GDPR

  1. Implemente novos regulamentos para motivar melhor as empresas a acompanhar ativa e completamente uma violação de dados e aconselhar as vítimas em potencial.
     
  2. Estabeleça uma autoridade com o poder de acompanhar suspeitas de violações de dados. As empresas que se acredita terem sido violadas devem fazer uma auditoria de segurança interna adequada. Em seguida, uma autoridade de segurança externa pode executar uma segunda auditoria para confirmar suas conclusões.
     
  3. Instale um mecanismo para garantir instituições financeiras compartilhem suas descobertas assim que uma violação de dados for identificada. Isso permitiria que todas as instituições financeiras tomassem precauções o mais cedo possível.
     
  4. Ofereça aos consumidores a capacidade de ativar uma função de notificação que os informará se sua instituição financeira bloquear qualquer pagamento ou atividade financeira. Isso incentivará o cliente a revisar seu histórico de transações e sinalizar transações fraudulentas em sua conta o mais rápido possível. Também ajudará as instituições financeiras a rastrear e recuperar o dinheiro perdido.
     
  5. Reconheça que os consumidores devem ter o direito de solicitar um novo cartão gratuitamente, se suspeitarem que suas informações pessoais ou de pagamento foram comprometidas. Idealmente, esse seria um cartão reprogramável que pode ser atualizado instantaneamente.

Com essas proteções adicionadas ao regulamento GDPR existente, as instituições financeiras e os provedores de serviços poderiam identificar violações de dados em seus sistemas mais rapidamente. Os clientes também se beneficiariam. Eles aprenderiam sobre uma violação ou comportamento suspeito mais rapidamente e estariam melhor posicionados para proteger suas finanças com medidas proativas. No final, essas etapas ajudariam bastante a atenuar os danos causados por uma violação de dados.

Nossas vidas e dinheiro estão cada vez mais ligados ao mundo cibernético, e isso continuará a atrair criminosos cibernéticos altamente qualificados, promovendo violações de dados mais sofisticadas. Ninguém - nem mesmo um especialista em segurança cibernética - está imune a uma violação de dados. Agora temos o GDPR que pune as empresas por não conformidade, mas e as organizações que continuam usando senhas estáticas? As senhas estáticas facilitam que os maus atores assumam as contas das pessoas, devido a todas as informações pessoais vazadas pelas violações de dados. Informações pessoais e senhas não são mais secretas. As empresas, especialmente as instituições financeiras, devem revisar e atualizar seus sistemas para elevar sua segurança ao próximo nível. Em vez de usar senhas ou informações pessoais para proteger uma conta, existem muitas outras opções de autenticação mais fortes, como biometria , Tokens 2FA e Autenticação FIDO . Com a autenticação multifatorial, se os dados pessoais de um usuário forem expostos a uma violação, um agente mal-intencionado não poderá adquirir facilmente credenciais para acessar suas contas.

O GDPR é apenas o começo, e espero que um dia o GDPR 2.0 e mais regulamentações estejam em vigor para proteger todos, para que os consumidores não vivenciem mais a ansiedade e os aborrecimentos das vítimas de violação de dados de hoje.

 

Sharon é gerente de pesquisa e inovação no OneSpan Innovation Centre, Cambridge, Reino Unido. Sharon recebeu seu PhD em engenharia na Universidade de Cambridge e M.Phil e B.Eng em engenharia eletrônica na Chinese University of Hong Kong.