Bom dia   ,

Bem-vindo(a) à newsletter n.º 77 da DPO Consulting, o nosso meio informativo sobre o mundo da Privacidade, Proteção de Dados e Segurança da Informação.

Notícias revelam que nas semanas anteriores à invasão do território ucraniano pela Rússia, os primeiros “tiros” da guerra cibernética já haviam sido disparados.

Peritos em cibersegurança do ESET Research Labs afirmaram ter detetado novos softwares maliciosos de exfiltração de dados em centenas de máquinas na Ucrânia, mesmo antes da invasão física dos seus territórios.

Ainda que não seja conhecida uma lista exaustiva dos alvos afetados, a investigação revelou que grandes organizações haviam sido alvo de ataques bem-sucedidos, entre elas instituições financeiras ucranianas, bem como contratantes do governo ucraniano na Letónia e na Lituânia, cujos dados foram eliminados. Em alguns casos, foi ainda possível determinar que o time stamp do malware detetado indicaria que este foi criado em finais de dezembro. Simultaneamente, os websites dos ministérios da defesa e dos negócios estrangeiros da Ucrânia, do Conselho de Ministros e do PrivatBank, o maior banco comercial do país, ficaram indisponíveis, após um ataque distribuído de negação de serviço (DDoS).

O governo ucraniano tem vindo a atribuir a autoria dos repetidos ataques à Rússia, ainda que esta não os reivindique. Os ataques cibernéticos têm, aliás, sido uma ferramenta chave da agressão russa na Ucrânia desde antes de 2014, aquando da anexação da Crimeia pelo Kremlin, altura em que hackers tentaram impedir as eleições.

Segundo a autoridade ucraniana de proteção de dados, “os ataques de phishing às autoridades públicas e infraestruturas críticas, a disseminação de software malicioso, bem como as tentativas de penetrar nas redes dos setores privado e público e outras ações destrutivas intensificaram-se".

Também os EUA se encontram em alerta para a prevenção e mitigação de ataques cibernéticos, ainda que não tenham sido detetados quaisquer sinais de ataque. É, portanto, notória a ameaça sob a qual as organizações, em particular, as europeias, se encontram.

Assim, cabe-nos reiterar os nossos alertas para que as organizações assegurem e robusteçam o seu compromisso para com a proteção de dados e a segurança da informação, sobretudo se tivermos em conta que, ainda que alguns tipos de ataques sejam desenvolvidos com o objetivo de constituir uma mostra de poder, outros visarão a debilitação das instituições e infraestruturas críticas e essenciais, como estratégia de guerra, o que poderá trazer efeitos nocivos e verdadeiramente catastróficos para as nações.

A Comissão Europeia propôs, durante a passada semana, o Data Act, como instrumento regulador da utilização e acesso a dados não pessoais e a alguns tipos de dados pessoais em dispositivos conectados gerados na UE, em todos os setores económicos. A proposta contém disposições sobre partilha de dados, condições de acesso por organismos públicos, transferências internacionais de dados, comutação de nuvens e interoperabilidade.

O Data Act estabelece medidas para permitir aos utilizadores de dispositivos conectados o acesso aos dados por eles gerados, que muitas vezes são exclusivamente recolhidos pelos fabricantes; para reequilibrar o poder de negociação das PMEs, evitando o abuso de desequilíbrios contratuais nos contratos de partilha de dados; e medidas para os organismos públicos acederem e utilizarem os dados na posse do setor privado que sejam necessários para circunstâncias excecionais, particularmente em caso de emergência pública.

A Vice-Presidente Executiva da Comissão Europeia Margrethe Vestager afirmou que a lei visa "dar aos consumidores e às empresas ainda mais controlo sobre o que pode ser feito com os seus dados, esclarecendo quem pode aceder aos dados e em que termos".

O banco Credit Suisse, um dos maiores bancos privados do mundo, foi alvo de uma violação de dados que levou à divulgação de informação relativa a mais de 30.000 contas.

Este incidente expôs a riqueza oculta de diversos clientes, incluindo alguns suspeitos de envolvimento em tráfico de droga, branqueamento de capitais, corrupção e outros crimes, o que revela falhas generalizadas de due diligence por parte do Credit Suisse, apesar das repetidas promessas ao longo de décadas de eliminação de clientes duvidosos e fundos ilícitos.

Partilhe, querendo, a newsletter da DPO Consulting.

Ficamos ao dispor para qualquer esclarecimento que haja por conveniente e voltamos ao contacto na próxima newsletter, com mais novidades e informações de relevo.

Com os melhores cumprimentos,

Elsa Veloso
CEO da DPO Consulting

Siga-nos nas redes sociais:

DPO Consulting

Contacte-nos

A DPO Consulting tratará os seus dados pessoais,
nos termos da sua Política de Privacidade,
cuja leitura recomendamos.