A crescente incidência de violações para extrair credenciais de contas de usuários e os requisitos mais rigorosos de notificação de violações colocam as empresas em uma situação difícil. Elas estão sujeitas à lógica cruel de que uma violação de um provedor pode resultar no comprometimento de contas de clientes em outro devido à reutilização de senhas de usuários — com regulamentações se tornando mais rigorosas para reduzir a janela de oportunidade para que essa lógica cruel se concretize.
Mas, como ilustrado por violações recentes, as empresas geralmente descobrem quais contas foram expostas quando os invasores colocam à venda informações sobre credenciais de usuários. Esses cenários não apenas acionam o modo de pânico, como as empresas são obrigadas a emitir uma notificação geral de violação para todos os clientes — prejudicando ainda mais a confiança do cliente. Em alguns casos, quem recebe as notificações pode nem ser cliente atual. E, como demonstra a atividade recente do Twitter, as empresas podem ter que passar pelo equivalente a uma notificação de violação, mesmo na ausência de uma violação.
Prevendo uma violação e credenciais de usuários chegando aos mercados de hackers para serem vendidas, as empresas precisam adotar uma postura proativa e ter um plano de resposta em vigor — em vez de serem pegas de surpresa por catalisadores externos. Mapeando identidades de clientes aos seus dados pessoais onde quer que eles estejam, e manter uma visão centralizada de quais dados pertencem a quem é a base para um plano de notificação de violação sensato — e pode ajudar a evitar a necessidade de emitir notificações gerais.
Minimizando o impacto de violações por meio de notificações oportunas
A maioria das empresas responsáveis já está no caminho da centralização dos dados dos usuários e da codificação de senhas com hash e sal. Mas contas de usuários podem ser comprometidas sem que invasores invadam os repositórios de dados dos usuários. Os invasores podem postular nomes de usuários e senhas correlacionando dados de outras violações e, em seguida, lançar ataques automatizados para descobrir quais combinações funcionam. É exatamente por isso que o Twitter recentemente aconselhou os usuários a redefinirem suas senhas — mesmo que seus próprios sistemas não tenham sido invadidos, mas que os cibercriminosos tenham disponibilizado para venda perfis e credenciais do Twitter.
Para complicar ainda mais a situação para muitas empresas, elas não conseguem mapear consistentemente quais contas de usuários foram expostas ou, pior ainda, quais contas provavelmente foram comprometidas. Em vez disso, para cumprir as regras de notificação de violações, elas precisam alertar todos os clientes que possam ter sido potencialmente afetados.
Ao mesmo tempo, as leis de notificação de violação que estão em vigor há algum tempo, especialmente no setor de assistência médica, por exemplo, estão se tornando mais explícitas e rigorosas porque os reguladores veem essa tendência minando a integridade sistêmica dos negócios digitais — não apenas das empresas afetadas.
De fato, existem leis em tramitação em estados como Califórnia e Nova York que exigiriam medidas de segurança específicas para proteger as informações de senha — além de estabelecer multas caso as empresas não divulguem a violação com a devida rapidez. Além disso, a legislação proposta sobre violações adota uma visão mais ampla do que constitui informação pessoal, incluindo dados médicos, de seguros ou biométricos. Illinois juntou-se recentemente à Califórnia, Flórida e Nebraska na aprovação de legislações que exigirão que os indivíduos sejam notificados se seu nome de usuário, em combinação com uma senha ou pergunta e resposta de segurança que permitiriam acesso a uma conta online, forem adquiridos sem autorização.
Do outro lado do oceano, o Regulamento Geral de Proteção de Dados da UE agora exige que uma autoridade supervisora de proteção de dados seja notificada de uma violação de dados pessoais “sem demora injustificada e, quando possível, no máximo 72 horas após ter tomado conhecimento dela”.
Centralize o conhecimento dos dados do cliente, não os dados do cliente
Os procedimentos de notificação de violação não são apenas demorados e caros, mas também minam a confiança do cliente e criam riscos à reputação, especialmente para empresas que querem ser vistas como guardiãs vigilantes dos dados de seus clientes.
Em vez de desistir de que uma violação é o custo de fazer negócios ou transferir a responsabilidade de gerenciar suas senhas para os usuários, as empresas precisam de ferramentas para limitar ativamente o escopo dos requisitos de notificação de violação e garantir que haja um plano em vigor para responder caso as contas dos usuários sejam comprometidas.
Centralizar os dados dos usuários apresenta seus próprios desafios — e, em muitos casos, pode não ser tecnicamente viável ou consistente com as estruturas regulatórias. Em vez disso, o que é necessário é uma visão centralizada das identidades dos clientes e seus dados.
Fragmentos de dados pessoais estão espalhados por aplicativos, bancos de dados, diretórios e repositórios de big data sem uma visão centralizada de quais dados pertencem a quem. Entender quem são seus usuários e construir uma visão de onde seus dados residem fornece uma base para uma visão mais granular de risco de exposição à violação. Com uma visão clara das identidades que as empresas desejam proteger, elas podem trabalhar para limitar o escopo de dados pessoais cobertos pelos requisitos de notificação de violação e identificar quais usuários correm mais risco quando ocorrem violações de terceiros.
Autor
