[Segurança] Engenharia Social

A "Engenharia Social" é um dos ataques mais antigos, mais comuns e eficientes entre os fraudadores e criminosos em todo o mundo. Esse é o nome dado a vários tipos de ataques, fraudes e golpes em que uma pessoa mal intencionada se aproxima de uma vítima de forma a enganar de manipular seus sentimentos e emoções (como medo, ansiedade, empatia, etc.) com o objetivo de moldar o seu comportamento e forçá-la a fazer algo de interesse do criminoso. Ela representa a arte de trapacear, enganar ou ganhar a confiança das pessoas.

No jargão popular, esse é o famoso "171", uma alusão ao artigo de mesmo número no Código Penal Brasileiro, que define o crime de estelionato ("Obter, para si ou para outrem, vantagem ilícita, em prejuízo alheio, induzindo ou mantendo alguém em erro, mediante artifício, ardil, ou qualquer outro meio fraudulento").

Embora seja uma técnica antiga e muito comum entre fraudadores e criminosos tradicionais, na comunidade de segurança da informação esse tipo de ataque ficou muito popular graças as ações do hacker Kevin Mitnick nos anos 90, que escreveu alguns livros excelentes sobre o assunto.

O principal objetivo dos ataques de engenharia social é subverter o fator humano da segurança, através de técnicas de manipulação com o uso de fatores psicológicos e comportamentais. Assim, o criminoso consegue explorar as pessoas para viabilizar golpes contra indivíduos e empresas.

Várias fraudes que nós já conhecemos no nosso dia-a-dia são casos típicos de engenharia social. Por exemplo:

• Golpe do falso sequestro: um criminoso liga para um número aleatório e, quando a pessoa atende, ele fala que sequestrou o filho da pessoa do outro lado. Ao fundo, você pode ouvir muito barulho, gritos e o choro da possível vítima. Assustada, a vítima começa a conversar com o criminoso, acaba inclusive dando o nome do possível parente sequestrado ("Você sequestrou o Joãozinho? Ele está bem?"). Isso tudo para exigir o pagamento de um resgate - de alguém que nunca foi sequestrado e provavelmente está bem e seguro em casa, assistindo novela.
• Roubo de conta do Whatsapp: O criminoso liga para a vítima, dizendo ser de alguma empresa (ex: OLX, Mercado Livre) e diz que vai mandar um código de segurança para aprovar o anúncio, que na verdade é o código de segurança do WhatsApp. Se a vítima for convencida, o criminoso usa esse código para roubar a conta do Whstaspp e começa a pedir dinheiro emprestado para seus amigos e parentes (outro golpe de engenharia social na sequência!)
• Golpe do falso atendente do banco: O criminoso liga para o correntista, dizendo ser do banco em que tem conta, e avisa que o cliente foi vítima de uma fraude (que não é verdade). Para estornar a suposta transação fraudulenta, o falso atendente precisa que o cliente forneça a sua senha.
• O falso atendente nas redes sociais: Parecido com o exemplo anterior, nesse caso os criminosos criam perfis falsos em nome do banco ou da instituição, ou dizendo ser do time de suporte. Através das redes sociais, entram em contato com clientes e fazem se passar por atendentes do banco para conseguir descobrir a senha da conta da vítima.
• A ligação do diretor: o criminoso liga para o suporte técnico da empresa, fala que é o diretor e que está em uma reunião importante, mas sua senha na rede não está funcionando. Assim, o criminoso convence o funcionário a trocar a senha do diretor por uma senha conhecida pelo criminoso. Assim, ele conseguirá invadir a rede da empresa.
• Phishing: Os criminosos mandam mensagens por e-mail, SMS e redes sociais com alguma mensagem para que a vítima clique em um link malicioso. Pode ser uma mensagem compartilhando as fotos da festa da turma, ou com um pedido para você atualizar o token de segurança do seu banco, etc.

Normalmente o foco dos engenheiros sociais é atuar em pessoas físicas para realizar roubo de dados pessoais e bancários, fraudes financeiras e golpes, enquanto no lado empresarial eles buscam o vazamento de informações e fraudes financeiras. No mundo corporativo, qualquer funcionário pode ser alvo de um ataque de engenharia social a qualquer momento, independentemente do cargo que ocupa dentro da empresa.

O "engenheiro social" geralmente é uma pessoa com habilidades de comunicação, bom papo e empatia, e bom domínio das técnicas de persuasão. Normalmente a vítima nem percebe que foi enganada.

Muitos criminosos são especializados nessa arte de convencer e enganar as suas vítimas, e existem várias técnicas para manipulá-las. Veja, por exemplo, a lista abaixo com os ataques de engenharia social mais comuns:

• "Pretexting" (personificação): O fraudador se passa por pessoas ou empresas de confiança da vítima, ​​para esconder o verdadeiro propósito ou lógica por trás de suas ações. Esse ataque é muito usado pois, quando a vítima, acredita que está em contato com alguém de confiança, ela fornece mais facilmente os dados para o engenheiro social, sem perceber que se trata de um golpe;
• Intimidação: O criminoso se faz passar por uma figura de autoridade para coagir suas vítimas;
  
  
  
• Empatia: Ao contrário da intimidação, muitas vezes o fraudador pode ganhar a confiança da vítima tentando se aproximar dela de forma amigável, apelando ara o lado sentimental, elogiando para fomentar o ego da vítima, ou oferecendo ajuda para ganhar sua confiança;
  
  
  
• "Baiting" (ou isca): Usado para seduzir a vitima com promessas de oferecer algo de valor, ou oferecendo um presente para conquistar a sua confiança. O criminoso pode, também, deixar em um local do escritório um pen-drive (ou um brinde com interface USB) com um malware pré-implantado, com objetivo de infectar o computador da vítima;
• "Quid Pro Quo": Prometendo algo à vitima em troca de sua ajuda. É o "toma lá, dá cá";
• "Blackmailing" (ou chantagem): O criminoso pede algo e ameaça revelar alguma coisa que a vítima deseja manter em segredo, ou que causaria dano a ela;
• "Shoulder surfing": Aproveitando a distração, o criminoso olha o que a vítima faz no computador, "por cima dos ombros", como acessar informações ou enquanto digita uma senha;
• "Dumpster diving": O invasor meche no lixo da sua empresa, buscando informações que podem ter sido descartadas, como documentos, anotações em papel ou post-its, etc;
• "Tailgating": Técnica de conseguir acesso físico ao escritório da empresa, quando indivíduos não autorizados seguem algum funcionário e "pega carona" no seu acesso, como quando a pessoa segura a porta para a suposta colega de trabalho;
• Roubo de identidade: Nesse processo, após roubar as informações pessoais da vítima, em seguida o engenheiro social utiliza essas informações para fazer se passar por outra pessoa e cometer fraudes e atos ilícitos;
• Phishing: Um exemplo clássico de engenharia social por meios tecnológicos. Um cibercriminoso cria uma mensagem (e-mail, SMS ou redes sociais) com conteúdo atrativo para a vítima, que acredita estar diante de um e-mail legítimo e, assim, clica no link malicioso ou baixa o arquivo anexo a mensagem;
• Vishing: É o nome dado ao ataque de "phishing" realizado por ligação telefônica. O criminoso liga para a vítima se fazendo passar pela central de atendimento do banco, da empresa de telefonia ou qualquer outra empresa já utilizada pela vítima, com objetivo de enganá-la e aplicar golpes. É o caso do golpe da "falsa central de atendimento". Golpes mais sofisticados incluem o uso de ferramentas que simulam o atendimento automatizado de centrais telefônicas, com mensagens pré-gravadas e opção do cliente fornecer a sua senha digitando no teclado do telefone;
• Spoofing: quando o criminoso consegue esconder a real origem de seu acesso, seja mascarando o seu endereço IP ou trocando a identificação de seu número telefônico em uma chamada ou mensagem de SMS.

Os engenheiros sociais tentam explorar os sentimentos e as emoções da vítima para forçar que ela se distraia e seja convencida a ajudar o criminoso. Alguns exemplos de emoções que podem ser exploradas inclui o ego, a empatia, a curiosidade, preguiça, medo, ansiedade, a intimidação ou a boa intenção de ajudar o próximo.

Alguns fatores psicológicos favorecem o criminoso especializado em engenharia social, tais como:

• Falta de atenção
• Medo de punição ou dano
• Sentimento de empatia com o criminoso
• Vontade de ajudar ao próximo
• Possibilidade ganhos

Para evitar os golpes de engenharia social, as empresas devem ter uma política de segurança adequada e treinamentos constantes, educando seus usuários sobre alguns cuidados básicos a serem tomados, tais como:

• Sempre desconfie e seja vigilante;
• Sempre siga os processos existentes, mesmo que pareçam burocráticos;
• Verifique a identidade da pessoa, se ela é quem ela reivindica ser, se é um funcionário atual e se a pessoa está autorizada a fazer uma solicitação;
• Desconfie quando seu interlocutor te pede muitas informações;
• Não compartilhe informações pessoais e corporativas com outras pessoas e tenha cuidado dobrado quando pedirem informações confidenciais;
• Mantenha sempre a calma e evite distrações;
• Resista a pressão (por exemplo, "a sua conte será encerrada" ou "vou avisar o seu chefe que você não colaborou");
• Questione as solicitações que receber, independente do cargo, importância ou urgência que a outra pessoa alega ter;
• Não dê acesso ao escritório para pessoas não identificadas, e denuncie quando encontrar alguém estranho no ambiente;
• Mantenha documentos em gavetas e armários trancados, além de exercer uma política de "mesa limpa";
• Sempre tenha cuidado com o manuseio e o descarte de documentos, e nunca deixe expostos documentos com informações confidenciais;.
• Quando não estiver usando, minimize as janelas dos aplicativos e browsers em seu computador., para que não vejam as suas telas;
• Ao sair da mesa, sempre bloqueie o acesso ao equipamento.

Para saber mais:

• Assista o excelente filme "Prenda-me se for capaz", de 2002, que conta a história do fraudador americano Frank Abagnale Jr., que praticou diversos golpes nos anos 60, incluindo fraudes contra a companhia aérea Pan Am, aonde fingiu ser piloto e fraudava cheques para receber salário da empresa. Os gifs animados desse post foram tirados desse filme;
• Artigo na The Hack, em parceria com a Compugraf: "Engenharia social: o guia definitivo sobre a ameaça que assola a segurança da informação"
• Segurança da informação vs. Engenharia Social - Como se proteger para não ser mais uma vítima
• Como se proteger dos ataques de engenharia social?
• Ataques de Engenharia Social: tudo que você precisa saber!
• Engenharia Social: O que é? Conceitos, técnicas e como se proteger.
• Guia Completo da Engenharia Social (Compugraf)
• Veja esse vídeo curtinho da Compugraf:

• Fique atento para não ser uma vítima de Phishing, Smishing ou Vishing (adicionado em 03/07)

PS: Post atualizado em 03/07.

15 anos de Blog!

Juro que a data quase passou desapercebida! Mas há 15 anos atrás, mais precisamente em 08 de junho de 2005, eu escrevia o primeiro artigo desse blog!

Após 15 anos e mais de 1.700 artigos publicados, esse blog continua sendo um hobby para mim, uma forma que eu encontrei para compartilhar livremente o conhecimento e minhas opiniões sobre segurança, tecnologia, o universo e tudo mais.

Embora eu tenha a sensação de que hoje em dia os blogs estão fora de moda, eu continuo aqui firme e forte, tentando manter uma frequência de publicação de artigos. A minha meta, que tento seguir há alguns anos, é de ter uma média de 10 artigos publicados por mês (alguns mais curtos, outros mais longos). E assunto não falta: atualmente tenho 90 artigos como "rascunho", que comecei a escrever e ainda não terminei.

[Segurança] Uma fraude de 35 milhões de reais

Hoje saiu uma notícia de que o Ministério Público do Rio Grande do Sul (MP-RS) está investigando um esquema de fraude suspeito de conseguir desviar R$ 30 milhões da Gerdau e 5 milhões de outra empresa, de seus recursos na Bolsa de Valores. Essas fraudes foram possíveis pois o grupo descobriu uma falha que permitiu burlar a segurança do Internet Banking do banco Santander.

A operação, batizada de Operação Criptoshow, ocorreu na manhã desta quinta-feira, 25 de junho.

Segundo as poucas informações disponíveis sobre a investigação, o grupo criminoso conseguiu desviar R$ 30 milhões da conta bancária da Gerdau através de 11 TEDs feitas para seis empresas localizadas em Porto Alegre, São Paulo, Porto Velho e Cachoeirinha (RS). Outros R$ 5 milhões foram movimentados da conta de outra empresa na Bolsa de Valores. Parte desse dinheiro, pelo menos R$ 18 milhões, foi transferido para exchanges e convertido em Bitcoins, para lavar e ocultar o dinheiro roubado. Na cotação atual, isso é equivalente a pouco mais de 700 BTC.

Para conseguir desviar o dinheiro através do Internet Banking do Santander, as notícias são um pouco vagas, descrevendo que os fraudadores inicialmente programaram as TEDs em uma conta corrente de propriedade deles (ligados em uma conta PJ em nome de uma empresa em Cachoeirinha) e, depois que as TEDs estavam agendadas, de alguma forma eles conseguiram adulterar o sistema do internet banking do Santander, de forma fraudulenta, de modo que a conta de origem das TEDs foi manipulada para ser a conta da vítima, da Gerdau, e o dinheiro acabou sendo debitado deles.

Esse vídeo, criado pelo pessoal do MP,  descreve um pouquinho como foi realizada a fraude:

Vale a pena lembrar que, normalmente, a plataforma de Internet Banking dos bancos para pessoa jurídica (empresas) é diferente da plataforma para pessoas físicas. Logo, essa falha que os criminosos identificaram não necessariamente poderia ser explorada para as contas de pessoas físicas.

Para saber mais:

• MPRS cumpre mandados de busca e apreensão em investigação de desvio de R$ 35 milhões de grandes empresas e lavagem de dinheiro com bitcoins
• MP investiga fraude de R$ 35 mi em empresas e na Bolsa para comprar bitcoin (UOL)
• Internet banking é invadido em fraude de R$ 30 milhões (Baguete)
• Grupo frauda internet banking do Santander, rouba R$ 35 milhões e compra Bitcoin

PS (adicionado em 26/06): As informações publicadas pelo MPRS sobre a Operação Criptoshow não identificam qual foi empresa e o banco explorados por essa fraude, mas a reportagem do UOL sobre esse caso indicou que se tratava de uma conta da Gerdau no Santander.

[Segurança] O maior ataque DDoS de todos os tempos bate nas nuvens!

Eu um relatório recente da Amazon Web Services (AWS), dentre vários assuntos interessantes destaca-se que no inicio deste ano a AWS foi atingida por um ataque DDoS que atingiu o volume recorde (até agora), de...

2,3 Tbps

O ataque durou 3 dias em Fevereiro deste ano. Segundo a AWS, foi realizado um ataque de reflexão e amplificação explorando o protocolo Connection-less Lightweight Directory Access Protocol (CLDAP), que representou um ataque 44% maior do que qualquer ataque recebido anteriormente pela empresa. Desde o segunto trimestre de 2018 até então, o maior ataque DDoS não tinha ultrapassado a marca de 1 Tbps.

O relatório da AWS destaca que o tipo mais comum de ataque DDoS que eles observaram são os ataques de reflexão baseado em UDP, seguido pelos ataques de SYN Flood.

Esse incidente também representa o maior ataque de DDoS conhecido até o momento, uma vez que o recorde anterior era de um ataque de 1,7 Tbps registrado pela Arbor. Isso sem considerar o suposto mega-ataque de 45 Tbps reportado pelo banco russo Sherbank.

Para saber mais:

• AWS Hit With a Record 2.3 Tbps DDoS Attack
• Relatório "AWS Shield Threat Landscape Report – Q1 2020"
• CLDAP Reflection DDoS
• AWS and Akamai fend off two record DDoS attacks

Atualização em 17/07: A Akamai e a Cloudflare também divulgaram algumas estatísticas sobre ataques de DDoS que sofreram recentemente:

• Em 21 de Junho, a Cloudflare sofreu um ataque DDoS que atingiu a marca recorde de 754 milhões de pacotes por segundo, embora tenha representado uma volumetria de "apenas" 250 Gbps. Esse ataque durou 4 dias e partiu de mais de 316 mil endereços IP diferentes (notícia);
• No mesmo dia, 21 de Junho a Akamai mitigou um ataque de 809 milhões de pacotes por segundo, que também foi o volume recorde observado por eles. O ataque, contra um banco europeu, durou 10 minutos e atingiu um volume de 418 Gbps (notícia).

[Segurança] Regulamentações sobre Conscientização e Treinamento em Segurança

Várias normas e regulamentações sobre gestão de segurança da informação prevêem a realização de ações de conscientização e treinamento dos usuários, devido a importância do fator humano na segurança.

Vale a pena relembrar quais são essas normas, caso algum dia você precise "dar uma carteirada" naquele funcionário ou gestor que insiste em faltar nos treinamentos.

OBS: As normas ISO/IEC 27001 e 27002 estão listadas, nesse post, nas versões nacionais (publicadas pela ABNT como Norma Brasileira - NBR), mas o mesmo controle também vale para a norma internacional correspondente.

Padrões e Regulamentações Internacionais

NIST Cybersecurity Framework Version 1.1 (PDF)

Awareness and Training (PR.AT): The organization’s personnel and partners are provided cybersecurity awareness education and are trained to perform their cybersecurity-related duties and responsibilities consistent with related policies, procedures, and agreements.

PR.AT-1: All users are informed and trained
PR.AT-2: Privileged users understand their roles and responsibilities
PR.AT-3: Third-party stakeholders (e.g., suppliers, customers, partners) understand their roles and responsibilities
PR.AT-4: Senior executives understand their roles and responsibilities
PR.AT-5: Physical and cybersecurity personnel understand their roles and responsibilities

Center for Internet Security (CIS) Controls

• CIS Control 17: Implement a Security Awareness and Training Program

Perform a skills gap analysis to understand the skills and behaviors workforce members are not adhering to, using this information to build a baseline education roadmap.
Train the workforce on how to identify different forms of social engineering attacks, such as phishing, phone scams and impersonation calls.

17.1 Perform a Skills Gap Analysis: Perform a skills gap analysis to understand the skills and behaviors workforce members are not adhering to, using this information to build a baseline education roadmap.
17.2 Deliver Training to Fill the Skills Gap: Deliver training to address the skills gap identified to positively impact workforce members' security behavior.
17.3 Implement a Security Awareness Program: Create a security awareness program for all workforce members to complete on a regular basis to ensure they understand and exhibit the necessary behaviors and skills to help ensure the security of the organization. The organization's security awareness program should be communicated in a continuous and engaging manner.
17.4 Update Awareness Content Frequently: Ensure that the organization's security awareness program is updated frequently (at least annually) to address new technologies, threats, standards, and business requirements.
17.5 Train Workforce on Secure Authentication: Train workforce members on the importance of enabling and utilizing secure authentication.
17.6 Train Workforce on Identifying Social Engineering Attacks: Train the workforce on how to identify different forms of social engineering attacks, such as phishing, phone scams, and impersonation calls.
17.7 Train Workforce on Sensitive Data Handling: Train workforce members on how to identify and properly store, transfer, archive, and destroy sensitive information.
17.8 Train Workforce on Causes of Unintentional Data Exposure: Train workforce members to be aware of causes for unintentional data exposures, such as losing their mobile devices or emailing the wrong person due to autocomplete in email.
17.9 Train Workforce Members on Identifying and Reporting Incidents: Train workforce members to be able to identify the most common indicators of an incident and be able to report such an incident.

Payment Card Industry Data Security Standard (PCI DSS)

• Requerimento 12.6

12.6 Implement a formal security awareness program to make all personnel aware of the importance of cardholder data security.
12.6.1 Educate personnel upon hire and at least annually. Note: Methods can vary depending on the role of the personnel and their level of access to the cardholder data
12.6.2 Require personnel to acknowledge at least annually that they have read and understood the security policy and procedures.

Normas e Regulamentações Brasileiras

ABNT NBR ISO/IEC 27001:2013 - Tecnologia da informação — Técnicas de segurança — Sistemas de gestão da segurança da informação — Requisitos

7.3 Conscientização

ABNT NBR ISO/IEC 27002:2013 Tecnologia da informação — Técnicas de segurança — Código de prática para controles de segurança da informação

7.2.2 Conscientização, educação e treinamento em segurança da informação

Lei Geral de Proteção de Dados Pessoais (LGPD) (Lei nº 13.709 de 14 de Agosto de 2018)

Art. 50. Os controladores e operadores, no âmbito de suas competências, pelo tratamento de dados pessoais, individualmente ou por meio de associações, poderão formular regras de boas práticas e de governança que estabeleçam as condições de organização, o regime de funcionamento, os procedimentos, incluindo reclamações e petições de titulares, as normas de segurança, os padrões técnicos, as obrigações específicas para os diversos envolvidos no tratamento, as ações educativas, os mecanismos internos de supervisão e de mitigação de riscos e outros aspectos relacionados ao tratamento de dados pessoais.

Gabinete de Segurança Institucional da Presidência da República - Estratégia Nacional de Segurança Cibernética (E-Ciber) (Decreto Nº 10.222, de 5 de Fevereiro de 2020)

2.4. Educação
(...)
Dessa forma, recomenda-se desenvolver uma cultura de segurança cibernética, por meio da educação, que alcance todos os setores da sociedade e níveis de ensino, a fim de prevenir incidentes e proporcionar o uso responsável das tecnologias, por ser um dos fatores chaves para o desenvolvimento do País.
A educação em segurança cibernética é concebida em três formas de atuação, em grau crescente de especialização de conteúdo, e em grau decrescente de abrangência da sociedade, conforme o que segue:

• Capacitação - profissionais da área ou com funções que requerem competências na área;
• Formação - parcela da sociedade que se encontra nos bancos escolares; e
• Conscientização - sociedade e seus setores.
  A conscientização é obtida por meio de ações direcionadas a sensibilizar setores específicos da sociedade, ou esta como um todo. Num foco mais restrito, a formação abrange o ensino de segurança cibernética direcionado à parcela da sociedade que se encontra na educação infantil, no ensino fundamental, no ensino médio e no ensino superior. Por fim, a capacitação engloba a educação, na modalidade profissional e tecnológica, destinada ao ensino continuado para profissionais da área, ou para aqueles cujo cargo ou função requeira conhecimentos técnicos mais profundos e especializados de segurança cibernética. A capacitação é a forma de atuação mais especializada e pode ser realizada por intermédio de treinamentos de curta duração, certificações de segurança, dentre outros meios.
  No que diz respeito à implementação dessas três vertentes de educação em segurança cibernética, a responsabilidade deve ser compartilhada entre órgãos de Estado, setor educacional, serviços sociais do comércio e da indústria, e sistemas nacionais de aprendizagem. Cabe ressaltar que, para isso, há uma série de recursos educacionais disponíveis, conforme vê-se a seguir:
  • Capacitação - os Planos de Capacitação para professores, gestores e especialistas e os Bancos de Talentos;
  • Formação - a Criação de cursos e a Inserção do tema nos currículos escolares;
  • Conscientização - os Planos de Conscientização nas escolas e instituições, os Portais de boas práticas e as Campanhas educativas.
  No contexto da conscientização, incentiva-se a concepção de políticas públicas, que levem à consciência situacional ante o atual cenário de ameaças cibernéticas, e estimulem o comportamento responsável e seguro por parte dos usuários da internet.
  As ações de conscientização tornaram-se ferramenta essencial para mudanças de comportamento relativas ao ambiente cibernético, e são relevantes, à medida que levam os indivíduos a perceber, em sua rotina pessoal ou profissional, quais atitudes precisam ser corrigidas no mundo digital.
  Como exemplo, tem-se a realização, em todo mês de outubro, do National Cybersecurity Awareness Month - Mês Nacional de Conscientização em Segurança Cibernética, que é um esforço colaborativo entre o Governo dos Estados Unidos da América e a indústria para aumentar a conscientização sobre a importância da segurança cibernética e garantir que todos os norte-americanos tenham os recursos necessários para estarem mais seguros online.
  A conscientização deve atingir amplas audiências, dentre usuários individuais e corporativos, de crianças a idosos. Deve ainda ser contínua, criativa e motivadora, a fim de concentrar a atenção do público-alvo, para mudança de comportamento favorável ao ambiente cibernético, sendo importante a promoção de ações periódicas, junto à sociedade, com o objetivo do uso seguro e responsável dos recursos de tecnologia da informação e comunicação, e à proteção contra riscos típicos no espaço cibernético.
  Um programa de conscientização pode incluir as seguintes tarefas:
  • definir o alvo da campanha de conscientização;
  • desenvolver mecanismos para alcançar esse público-alvo;
  • identificar problemas comportamentais comuns que afetam o público-alvo ou que ele deve conhecer;
  • aprimorar o conteúdo de sites governamentais, principalmente os mais acessados, com material relacionado à segurança cibernética; e
  • considerar a tradução do material para outros idiomas.
  Orienta-se fortalecer programas de treinamento e de educação em segurança cibernética. Tal sugestão constitui uma demanda atual por parte de organizações públicas e privadas. (...).

Política Nacional de Cibersegurança e o Comitê Nacional de Cibersegurança (PNCiber) (Decreto Nº 11.856, de 26 de Dezembro de 2023)

Art. 2º São princípios da PNCiber:

(...)

V - a educação e o desenvolvimento tecnológico em segurança cibernética;

Art. 3º São objetivos da PNCiber: 

(...)

VII - desenvolver a educação e a capacitação técnico-profissional em segurança cibernética na sociedade;

Setor de Seguros

Superintendência de Seguros Privados (SUSEP) - Circular SUSEP nº 638/2021 de 27 de Julho de 2021 - "Dispõe sobre requisitos de segurança cibernética a serem observados pelas sociedades seguradoras, entidades abertas de previdência complementar (EAPCs), sociedades de capitalização e resseguradores locais."

Art. 3º A segurança cibernética inserir-se-á no contexto geral do Sistema de Controles Internos (SCI) e da Estrutura de Gestão de Riscos (EGR), conforme disposto na regulamentação que os define, devendo a supervisionada, complementarmente:

(...)
II - promover ações voltadas à disseminação da cultura de segurança cibernética, incluindo programa de capacitação contínua de colaboradores, com base na sensibilidade das informações por eles manipuladas.

Setor Financeiro

Resolução n° 4.557, de 23/2/2017 (BACEN / BCB) - "Dispõe sobre a estrutura de gerenciamento de riscos e a estrutura de gerenciamento de capital."

Art. 8o Devem ser disseminados ao pessoal da instituição, em seus diversos níveis, inclusive aos prestadores de serviços terceirizados relevantes, com linguagem e grau de informação compatíveis com sua área de atuação:

(...)
III - as políticas, as estratégias, os processos e os limites previstos na estrutura de gerenciamento de riscos.

Art. 36. A instituição deve se assegurar da adequada capacitação sobre risco operacional de todos os empregados e dos prestadores de serviços terceirizados relevantes.

Circular nº 3.909, de 16/8/2018 (BACEN / BCB)

Art. 3o A política de segurança cibernética deve contemplar, no mínimo:

VI - os mecanismos para disseminação da cultura de segurança cibernética na instituição de pagamento, incluindo:

a) a implementação de programas de capacitação e de avaliação periódica de pessoal;
b) a prestação de informações a usuários finais sobre precauções na utilização de produtos e serviços oferecidos; e
c) o comprometimento da alta administração com a melhoria contínua dos procedimentos relacionados com a segurança cibernética;

Art. 4o A política de segurança cibernética deve ser divulgada aos funcionários da instituição de pagamento e às empresas prestadoras de serviços a terceiros, mediante linguagem clara, acessível e em nível de detalhamento compatível com as funções desempenhadas e com a sensibilidade das informações.
Art. 5o As instituições de pagamento devem divulgar ao público resumo contendo as linhas gerais da política de segurança cibernética.

Resolução nº 4.658, de 26/4/2018 (BACEN / BCB)

Resolução nº 4.893, de 26/02/2021 (BACEN / BCB)

Art. 3o A política de segurança cibernética deve contemplar, no mínimo: 

VI - os mecanismos para disseminação da cultura de segurança cibernética na instituição, incluindo:

a) a implementação de programas de capacitação e de avaliação periódica de pessoal;
b) a prestação de informações a clientes e usuários sobre precauções na utilização de produtos e serviços financeiros; e
c) o comprometimento da alta administração com a melhoria contínua dos procedimentos relacionados com a segurança cibernética;

Art. 4o A política de segurança cibernética deve ser divulgada aos funcionários da instituição e às empresas prestadoras de serviços a terceiros, mediante linguagem clara, acessível e em nível de detalhamento compatível com as funções desempenhadas e com a sensibilidade das informações.
Art. 5o As instituições devem divulgar ao público resumo contendo as linhas gerais da política de segurança cibernética.

Brasil Bolsa Balcão (B3) - Roteiro básico de conformidade do Programa de Qualificação Operacional (PQO) (pdf)

Item 130. (...) Para manter a Segurança Cibernética, o Participante deve, no mínimo, manter controles para:

130.1.2. programas de conscientização e treinamento aos colaboradores e Prepostos sobre segurança das informações;

Instrução CVM 505, de 27/09/2011 - mega atualizada pela Instrução CVM 612, de 21/08/2019

Art. 35-D. O intermediário deve desenvolver política de segurança da informação abrangendo:

§ 2o A política de segurança da informação deve:

III – prever a periodicidade com que funcionários, prepostos e prestadores de serviços serão treinados quanto aos procedimentos previstos nos arts. 35-E e 35-F e quanto ao programa de segurança cibernética.

§ 3o O intermediário pode:

I – restringir o treinamento quanto aos procedimentos previstos nos arts. 35-E e 35-F apenas aos funcionários, prepostos e prestadores de serviços que tenham acesso a dados e informações sensíveis; e
II – deixar de aplicar treinamento quanto aos procedimentos previstos nos arts. 35-E e 35-F aos prestadores de serviço que tenham acesso a dados e informações sensíveis, caso conclua que o prestador de serviço possui procedimentos de segurança da informação e de treinamento adequados e compatíveis com suas políticas.

Art. 35-G. O intermediário deve manter em sua página na rede mundial de computadores orientações para seus clientes sobre suas principais práticas de segurança das informações, abordando, no mínimo:

I – práticas adotadas pelo intermediário quanto: a) aos controles de acesso lógico aplicados aos clientes; e b) à proteção da confidencialidade dos dados cadastrais, operações e posição de custódia de seus clientes; e
II – cuidados a serem tomados pelos clientes com a segurança cibernética no acesso aos sistemas providos pelo intermediário.
Parágrafo único. A divulgação de que trata o caput deve ser feita de forma resumida, em linguagem clara e acessível, e com nível de detalhamento compatível com a sensibilidade das informações.

Instrução CVM 558, de 26/03/2015

Art. 21. O administrador de carteiras de valores mobiliários, pessoa jurídica, deve estabelecer mecanismos para:

III – implantar e manter programa de treinamento de administradores, empregados e colaboradores que tenham acesso a informações confidenciais, participem de processo de decisão de investimento ou participem de processo de distribuição de cotas de fundos de investimento.

BSM - Roteiro de Testes da Auditoria Operacional de 2020 - Tecnologia da Informação

1.3) Divulgação da PSI

Por meio da relação de colaboradores (itens 1 e 3) e tendo como base o processo de divulgação da PSI definido pelo Participante, obter evidência da difusão da PSI entre os colaboradores e prepostos. Caso seja aplicável, selecionar amostra e avaliar se os funcionários, estagiários e prepostos estão aderentes ao controle que garante a ciência e cumprimento da PSI (item 18).

1.4) Programa de Conscientização

O Participante deve elaborar programa de conscientização e/ou capacitação com treinamentos que envolvam aspectos de segurança das informações aos colaboradores e prestadores de serviços. Fazem parte desse programa de conscientização os mecanismos para disseminação da cultura de segurança das informações no Participante, mencionados no item 1.2 desse roteiro de testes.

1.5.1) Avaliação do Programa de Conscientização
Obter do Participante o Programa de Conscientização de Segurança das informações (Políticas e Procedimentos – item 80) e avaliar:

a) Abrangência: Avaliar se o programa abrange colaboradores, prepostos e prestadores de serviços;
b) Frequência: Avaliar se o programa possui frequência mínima anual.
c) Aplicação: Avaliar se o programa contempla treinamentos e/ou testes sobre o cumprimento da política de segurança das informações, de que são exemplos: palestras, workshop, teste de phishing, quiz.
d) A aplicação de treinamentos por meio phishing (tentativa de adquirir informações disfarçando-se de uma fonte confiável em uma comunicação eletrônica), spam (envio de mensagens não solicitadas em massa) e e-mails fraudulentos (mensagens solicitando informações pessoais ou de responsabilidade do Participante) são exemplos de testes para determinar o nível de conscientização, no entanto, devem ser aplicados e geridos de forma controlada pelo Participante para não causar problemas de privacidade em caso de gestão inadequada.
e) Medição da aderência: Avaliar se o programa possui processo para avaliação dos resultados sobre a aderência ao programa aplicado aos colaboradores, prepostos e prestadores de serviços, contendo planos de ação para os resultados obtidos. São exemplos dessa medição: Resultado das provas ou questionários aplicados para medir a conscientização ao final dos treinamentos e plano de ação para colaboradores/prepostos que não atingiram o nível de conscientização mínima esperada.

Associação Brasileira das Entidades dos Mercados Financeiro e de Capitais (ANBIMA) - Guia de Cibersegurança (06/12/2017) (versão em inglês)

5 – Reciclagem e revisão

3. As instituições devem promover e disseminar a cultura de segurança com a criação de canais de comunicação internos que sejam eficientes para divulgar o programa de segurança cibernética, assim como conscientizar sobre os riscos e as práticas de segurança, dar treinamentos e repassar novas orientações.
4. Iniciativas como a definição e manutenção de indicadores de desempenho (key performance indicators) podem corroborar a conscientização e o envolvimento da alta administração e dos demais órgãos da instituição.
5. Como parte dos mecanismos para conscientização sobre o assunto, é importante a criação de uma política de uso adequado da estrutura tecnológica da instituição, de forma independente ou como parte de um documento mais abrangente.
Deve-se orientar usuários a ter atenção especial antes de clicar em links recebidos, mesmo vindos de pessoas conhecidas. Este é um dos principais vetores atuais de invasão.

FEBRABAN - Normativo SARB 25 (20/12/2021)

SEÇÃO IV - Ações educativas dos quadros funcionais
Art. 14 As Signatárias disponibilizarão treinamento, instrução ou capacitação a seus colaboradores e administradores, a respeito da proteção dos Dados Pessoais e privacidade, de acordo com o risco envolvido em suas atividades.

Parágrafo único. As Signatárias podem utilizar treinamento que eventualmente venha a ser desenvolvido pela FEBRABAN ou por terceiros que contenha, no mínimo, os principais aspectos previstos na LGPD.

Eu esqueci de alguma regulamentação relevante? Comente aí.

PS: Post atualizado em 23/06 e também em 27/04/2021. Atualizado em 12/08/2021, 10/02/2022 e 21/10/2022. Atualizado em 18/03/2024.

[Cidadania] Diversidade na tecnologia

Junho é o mês da diversidade, e por isso, é importante lembrarmos que a cultura e a comunidade hacker deveriam ser, pelo menos em teoria, inclusivas.

Um dos principais pilares da cultura hacker é o conhecimento, não importando quem você seja: homem ou mulher, branco ou negro, gordo ou magro, jovem ou velho, etc. Por tabela, outro pilar fundamental é a sua capacidade e disponibilidade de compartilhar o conhecimento.

Por ser uma comunidade meritocrática, ou seja, a pessoa é mais valorizada pelo seu conhecimento, fatores como cor, sexo, raça não deveriam ser considerados relevantes na aceitação e respeito aos participantes da comunidade.

De fato, o famoso Manifesto Hacker publicado pelo The Mentor na Phrack em 1986, e que é um documento tão fundamental na história e na construção da identidade da nossa comunidade, diz que...

We seek after knowledge... and you call us criminals. We exist without skin color, without nationality, without religious bias... and you call us criminals.
(...)
My crime is that of judging people by what they say and think, not what they look like.

Sim, na comunidade hacker, o conhecimento é o que importa!

Infelizmente, a teoria não é suficiente para sobrepujar a realidade de uma sociedade machista em que vivemos, e é comum ouvirmos relatos de pessoas sendo desrespeitadas e não se sentindo acolhidas na comunidade. Uma estimativa do ISC2, que eu pessoalmente considero muito otimista, aponta que as mulheres representam apenas 1/4 (24%) dos profissionais de segurança, e certamente são a grande minoria nos eventos da área.

Basta olhar para os seus colegas de profissão, e facilmente você notará que a maioria é formada por homens brancos.

Já passou da hora de tirar os ideais de meritocracia do papel e praticarmos a diversidade no mundo real, acolhendo e respeitando todas pessoas independente de quem sejam. Mulheres, negros, gays, trans e pessoas de todas as classes merecem o seu lugar na comunidade.

É importante que todos nós apoiemos as diversas iniciativas e comunidades que fomentam a inclusão e a diversidade no mercado de tecnologia.

[Cidadania] Dia da Empatia

Hoje, 12 de junho, é o Dia da Empatia, ou seja, um dia para refletirmos como ter relações melhores com as pessoas à nossa volta. Mas, na prática, o que precisamos fazer para ser mais empáticos?

A empatia é uma habilidade emocional (soft skill) que nos exercita sobre a capacidade de nos colocarmos no lugar do outro e compreendê-lo. É muito importante destacar seus benefícios e como exercitá-la, ainda mais porque a empatia é o sentimento contrário ao individualismo, um comportamento tão comum atualmente.

A habilidade de entender o ponto de vista da outra pessoa pressupõe que existem diferentes visões válidas sobre o mesmo ponto. Antes de tentar impor nossa visão, precisamos refletir que ele não é uma “verdade absoluta” e, assim, conseguimos chegar mais facilmente ao concenso e numa posição de respeito com o próximo.

Alguns cuidados são essenciais, porém, no desenvolvimento da empatia. Veja alguns passos para praticar a empatia:

1. Lembre-se de que cada pessoa é única;
2. Aceite que aquilo que é verdade para você não necessariamente é para o outro, e. pessoas podem ter opiniões diferentes;
3. Tenha em mente o sentimento, a realidade e os valores da outra pessoa;
4. Pratique a escuta ativa, prestando atenção no que o outro está falando e sem julgamento prévio;
5. É importante dar a atenção plena a outra pessoa, prestando atenção no que ela diz, sem distrações e sem interrupções;
6. Aceite que nem sempre você terá o que falar, precisará falar ou que, as vezes, a pessoa não quer escutar;
7. Não julgue ninguém pelas ações e procure enxergar as necessidades e as intenções positivas por trás do comportamento do outro;
8. Preste atenção à linguagem corporal;
9. Mesmo que você discorde da outra pessoa, busque algo que ambos concordem. E respeite o direito de discordar;
10. Cuide de você antes de cuidar de alguém;
11. Pratique a empatia;
12. Pratique a empatia com todos, até mesmo com quem te irrita!

Essa palestra da Anita Nowak no TEDxUWCT é interessante para ver como /e importante levar em conta a empatia no desenvolvimento de novas tecnologias e da inteligência artificial.



Veja também:

• Empatia no dia-a-dia
• Vamos desmistificar a empatia?
• Há três tipos de empatia. Você tem algum deles?
• 10 passos para praticar a empatia que farão bem para você e para o outro
• Falta de empatia: por que tem gente que age como se a pandemia não estivesse acontecendo?

PS: Hoje também é o dia dos namorados, então aproveito para desejar muito amor a todos <3

[Segurança] Relatório de Impacto a Proteção de Dados Pessoais

Uma das exigências da LGPD é que as empresas forneçam um relatório de impacto de dados, o "Relatório de Impacto à Proteção de Dados Pessoais". Conforme definido no Art. 5º, essa é uma documentação que descreve os processos de tratamento de dados pessoais que podem gerar riscos, além das medidas, salvaguardas e mecanismos de mitigação de risco estabelecidos pela empresa.

Segundo o §3º do Art. 10, a Autoridade Nacional de Proteção de Dados (ANPD) poderá solicitar o relatório de impacto à proteção de dados pessoais e de dados sensíveis. O Parágrafo único do Art. 38 menciona que o relatório deverá conter, no mínimo, a descrição dos tipos de dados coletados, a metodologia utilizada para a coleta e para a garantia da segurança das informações e a análise do controlador com relação a medidas, salvaguardas e mecanismos de mitigação de risco adotados.

Entretanto, muita gente tá com a pulga atrás da orelha pois não existe um modelo ou detalhamento de que informação deve constar nesse relatório, uma vez que esse modelo deveria ser informado pela ANPD - que ainda não está em operação.

Para nossa sorte, a GDPR possui uma exigência semelhante, o "Data Protection Impact Assessment" (DPIA), definido no artigo 35, como parte do princípio de  “protection by design”:

Where a type of processing in particular using new technologies, and taking into account the nature, scope, context and purposes of the processing, is likely to result in a high risk to the rights and freedoms of natural persons, the controller shall, prior to the processing, carry out an assessment of the impact of the envisaged processing operations on the protection of personal data.

O melhor de tudo é que podemos encontrar um template para o DPIA!!! No site GDPR.EU, tem um artigo que fala sobre o assunto e oferece um template em PDF para o documento.

Para saber mais:

• How to conduct a Data Protection Impact Assessment (template included)
• Template da GDPR.EU (em PDF)

[Segurança] A responsabilidade compartilhada na nuvem

Um aspecto muito importante, quando discutimos a segurança em ambientes de computação em nuvem, é que os cuidados de gestão, conformidade e de segurança são compartilhados entre o cliente e o provedor de serviços em nuvem. Mas esse compartilhamento de responsabilidades varia dependendo do tipo de serviço em nuvem contratado: quanto mais recursos você tem no ambiente, maior a sua responsabilidade.

Como diz a AWS, "normalmente essa diferenciação da responsabilidade é mencionada como segurança da nuvem vs. segurança na nuvem."

De uma forma geral, o provedor de serviços em nuvem é responsável pela proteção da infraestrutura que oferece suporte à nuvem e os serviços prestados, enquanto os clientes são responsáveis por tudo aquilo que colocam na nuvem ou conectam ao seu ambiente em nuvem. 

Um documento da NSA, sobre mitigação de vulnerabilidades na nuvem, tem um diagrama que representa muito bem como funciona a responsabilidade compartilhada entre o cliente e o provedor de serviços em Nuvem:

Ou seja, quanto maior a abstração do serviço, ou seja, quanto mais recursos o provedor de nuvem oferece, maior é a sua responsabilidade. Ao mesmo tempo, quanto mais abstrato, menor a possibilidade do cliente customizar a segurança do seu serviço em nuvem.

Esse modelo compartilhado pode ajudar a reduzir a carga operacional do cliente, uma vez que tira dele parte da responsabilidade por cuidar da segurança - algo muito importante se o cliente não tem essa expertise internamente (ou se não tem condições de manter profissionais dedicados ao tema).

Para saber mais:

• "Mitigating Cloud Vulnerabilities" da NSA
• "Modelo de responsabilidade compartilhada" da AWS
• Whitepaper "Cloud Security and the Shared Responsibility Model" do Center for Internet Security (CIS)
• Whitepaper "Navegando em conformidade com a LGPD na AWS"

PS: Última atualização em 15/06.

[Segurança] Na dúvida, não compartilhe!

O Tribunal Superior Eleitoral (TSE) e a Justiça Eleitoral criaram uma campanha muito legal para combater as Fake News, com alguns vídeos educativos que tem sido divulgados nos canais de televisão. Você provavelmente já viu alguns desses vídeos!

Os sete vídeos da campanha "Minuto da Checagem" também estão disponíveis no Youtube. São vídeos curtos, em geral com 1 minuto de duração.

Veja também:

• A página "Fato ou Boato?" tem várias dicas e informações sobre fake news, além de vídeos e imagens para conscientização.

• A Justiça Eleitoral tem diversos vídeos curtos sobre fake news e desinformação em seu canal no YouTube. Veja alguns exemplos abaixo.

[Cidadania] #BlackoutTuesday