Governança e monitoramento de dados teriam minimizado danos do caso Equifax

Nas
últimas semanas, uma violação de dados na agência de crédito americana
Equifax expôs dados pessoais de mais de 143 milhões de americanos,
incluindo números do seguro social, endereços, licenças de motorista,
dados de cartões de crédito de 209 mil consumidores americanos e
documentos contendo informações pessoais identificáveis de cerca de 182
mil clientes, além da possibilidade de alguns residentes do Canadá e do
Reino Unido também terem sido afetados.

Ainda
não está claro se o responsável pelo ataque tinha a intenção de vender
esses dados na dark web. A empresa também não deu muitos detalhes de
como a violação de dados ocorreu, porém, afirmou que os hackers
invadiram os sistemas da empresa por meio da exploração de uma
vulnerabilidade de aplicação web para ganhar acesso a certos arquivos.

Apesar
de não ter explicado qual aplicação ou qual vulnerabilidade foi a fonte
do problema, é possível que os hackers tenham conseguido entrar por
meio de alguma vulnerabilidade no website. Em seguida, é provável que os
cibercriminosos tenham obtido privilégios e passado semanas (ou meses)
despercebidos, comportando-se como um usuário interno comum – algo que
podia ter sido minimizado se a empresa contasse com uma estratégia de
governança de dados que garantisse o monitoramento de informações de
alto valor.

É impossível flagrar o que não se vê
O
ataque contra a Equifax mostrou que a empresa sofre com um problema
comum em diversas organizações do mundo, incluindo o Brasil: poucas
monitoram o acesso a seus dados sensíveis. Ou seja, quando um hacker
consegue ultrapassar a barreira do perímetro, pode fazer o que quiser
durante longos períodos de tempo sem ser notado. O principal problema
está em não saber onde estão suas informações de maior valor e quem pode
acessá-las.

Segundo
a Equifax, os hackers tiveram acesso a dados específicos entre os meses
de maio e julho – cerca de dois meses e meio de acesso. É como se um
indivíduo entrasse em um banco disfarçado de atendente, fingindo
trabalhar lá, e a gerência demorasse dois meses para notar que há um
estranho andando pelos corredores e saindo de lá com dinheiro todos os
dias.

Uma
estratégia focada na base de dados, mas não nos dados do site e nos
arquivos, por exemplo, pode deixar as empresas vulneráveis e
praticamente cegas em relação ao que acontece com suas informações de
maior valor. A Equifax, como uma série de outras empresas, tinha pouca
ideia de onde estavam seus dados mais sensíveis e, provavelmente, não
estava monitorando o que seus usuários estavam fazendo.

É
impossível flagrar o que não se vê, e quando se está cego em relação a
quem está acessando quais informações, uma violação de dados é
praticamente inevitável.

Vulnerabilidades e violações sempre vão acontecer
Não
importa o quanto você se esforce para manter suas aplicações
atualizadas ou o número de sistemas que você usa para manter os hackers
fora da rede. Existem dezenas de milhares de pessoas buscando novas
maneiras de atacar todos os dias. Por isso, o monitoramento das
informações de valor é mais importante do que nunca.

Uma
estratégia de governança de dados que identifique e monitore os dados
sensíveis é essencial para detectar precocemente ataques como o relatado
pela Equifax e minimizar suas dimensões.

Quanto
mais tempo uma empresa demora para identificar uma violação de dados e
reagir, maiores são as consequências para o negócio, incluindo os custos
de remediação e os danos à reputação. Dados como os da Equifax, quando
expostos, podem arruinar vidas e negócios inteiros. É possível que a
marca nunca se recupere totalmente.

(*) Carlos Rodrigues é vice-presidente da Varonis para a América Latina