“Segue anexado nosso DPA. Por favor, tenha este documento assinado por um signatário autorizado e envie o acordo completo de volta para nós em […]”
Essas duas frases faziam parte de um e-mail legítimo dirigido à equipe de privacidade da Cylance, mas algo relacionado a elas me deixou em uma situação desconfortavelmente familiar. O senso de urgência e a suposta obrigação de abrir o documento são táticas que eu já vi muitas vezes antes. Então eu postei um pensamento rápido no LinkedIn sobre o uso do Regulamento Geral de Proteção de Dados (GDPR) como um novo meio para ataques baseados em e-mail envolvendo solicitações, para que as empresas completassem adendos de processamento de dados (DPA). Escrevi isso para não esquecer o acontecimento e defini-lo como uma questão para o universo, como algo que merecia um pouco mais de atenção depois.
Como vice-CISO, sei que o GDPR tem sido um trabalho em andamento há mais de um ano. Trabalhando com meus colegas da equipe de Compliance e com o nosso Chief Privacy Officer, tenho conhecimento da obrigação e das consequências já há algum tempo.
Antes do GDPR, tínhamos a Diretriz de Proteção de Dados de 1995, que estabelecia os padrões mínimos para o processamento de dados na UE e aplicava-se a organizações que coletam, processam ou armazenam as informações pessoais de residentes da UE. O GDPR estabelece penalidades consideravelmente maiores do que antes, no caso de uma violação – 20 milhões de euros (aproximadamente R$ 92 milhões) ou até 4% do faturamento global anual. As empresas britânicas e todas as empresas estrangeiras que oferecem bens ou serviços para a UE são obrigadas a estar em dia com o GDPR desde 25 de maio.
São as consequências da não conformidade que tornam o GDPR um canal ideal para ser usado por pessoas com intenções maliciosas. Se você examinar a infinidade de artigos e os medos e incertezas sobre o tópico amplamente apontados pelos fornecedores, fica claro que esse é um assunto perfeito para os invasores utilizarem. O palco está preparado para todos os tipos de ataques, incluindo o e-mail como principal meio: envolve senso de urgência (o GDPR acaba de entrar em vigor), expectativa de que os documentos DPA relacionados à privacidade serão enviados por e-mail e consequências significativas se tais e-mails forem ignorados.
Desmembrando as solicitações do GDPR
Então, como lidamos com isso? Para as empresas envolvidas, a primeira etapa lógica seria construir um canal para onde todas as solicitações envolvendo o GDPR fossem canalizadas, incluindo nesse pipeline as pessoas, os processos e as tecnologias certas para ajudar a atenuar esse risco.
Essa abordagem não é de modo algum perfeita e eu a sugiro meramente como um ponto de partida que pode ser melhorado, definindo e refinando ainda mais as partes envolvidas na construção de tal processo.
Vamos analisar o passo a passo da situação:
– Identifique as pessoas certas para lidar com cada uma das solicitações.
– Estabeleça procedimentos para o fluxo de trabalho, desde a recepção até o processamento de solicitações de DPA.
– Introduza controles técnicos no fluxo de trabalho para detectar e impedir possíveis ataques.
– Comunique a solução a todas as partes interessadas e funcionários.
Vamos dividir isso em Pessoas, Processos e Tecnologia
Etapa 1: Pessoas
Quando se trata de pessoas, você tem alguns grupos a considerar:
– Seus clientes: quem vai pedir sua participação no preenchimento de um DPA.
– Seus funcionários: quem pode receber tais solicitações, seja seu trabalho responder ou não.
– Sua equipe de segurança – ou funcionários responsáveis por analisar anexos potencialmente mal-intencionados (manualmente ou direcionando as tecnologias usadas para aumentar essa tarefa).
– Sua equipe de TI – ou outras pessoas que podem controlar o fluxo de e-mail para sua empresa, incluindo as pessoas que têm direitos de administrador para configurar caixas de correio ou listas de distribuição para encaminhar tais solicitações.
– Sua equipe da Web – ou outras pessoas que possam publicar nas páginas da Web informações que direcionem seus clientes a seguirem um processo ou a consultas para um endereço de e-mail ou caixa de correio interno específico.
– Sua equipe de suporte ao cliente: quem pode publicar instruções em qualquer portal de clientes que você gerencia.
– Sua equipe jurídica: se você pretende defender o uso de seu próprio DPA como um método mais rápido de cumprir as obrigações legais.
– Sua equipe de privacidade: quem realmente conclui o trabalho do DPA, que deve (em teoria) receber apenas documentos confiáveis para processar.
Etapa 2: Processos
Este é o canal por meio do qual você vai canalizar todas as solicitações relacionadas à conclusão do documento do DPA:
– Geração DPA: trabalhe com sua equipe jurídica para gerar o documento DPA ideal para sua empresa. Nem todos os seus clientes aceitarão, mas aqueles que o fizerem ajudarão a reduzir a sobrecarga para todas as partes envolvidas. Uma vez que o Jurídico tenha criado o documento, você pode decidir seu nível de classificação de dados e onde/como você deseja torná-lo disponíveis externamente (via web, portal de suporte ao cliente, um link onde os clientes podem baixá-lo, etc.).
– Influxo: idealmente, esse processo pode começar com filtragem e marcação automática de e-mail, antes mesmo de ser visto por um humano (veja mais sobre essa tecnologia abaixo). O processo também envolve o roteamento de todas as solicitações de um DPA para uma determinada caixa de correio genérica, lista de distribuição ou outro método automatizado para revisão/análise adicional. Mesmo que a solicitação seja enviada aos destinatários corretos, ela deve seguir o processo e ser encaminhada adequadamente.
– Aplicabilidade: algumas empresas podem querer introduzir uma etapa que verifique se a parte solicitante é alguém que deve se envolver nessa solicitação.
– Análise: todas as solicitações de entrada podem e devem ser analisadas. Isso poderia, por exemplo, envolver a análise de anexos ou hyperlinks onde esses documentos devem ser acessados. (Novamente, dependendo de seus recursos, isso pode ser uma combinação de análise manual, uso de mecanismos de análise de documentos de código aberto ou de automatizar todo o processo.)
– Conclusão: nesse ponto, o conteúdo dos testes pode ser considerado seguro e enviado para a caixa de correio ou para a lista de distribuição das pessoas que realmente processarão a solicitação.
– Conscientização/Treinamento: depois de colocar tudo em prática, você precisará instruir seus usuários sobre os riscos que está tentando diminuir e as etapas que devem seguir para responder a esses e-mails.
– Comunicação: depois de estabelecer esse fluxo de trabalho, você precisará comunicá-lo a seus clientes e parceiros. Publicá-lo em seu site público, em seu portal de clientes, compartilhá-lo por meio de um boletim informativo são algumas das opções que você deve considerar. O grau em que você deseja anunciar isso é uma decisão de negócios que só você pode fazer.
Etapa 3: Tecnologia
A tecnologia que você usará e da qual dependerá para cada uma dessas etapas não deve ser negligenciada. Por exemplo:
– Infraestrutura: para criar o canal mencionado acima, você precisará estabelecer caixas de correio ou listas de distribuição para padronizar o fluxo de trabalho de uma perspectiva externa. Como benefício adicional, isso também pode reduzir alguns dos riscos de spear phishing.
– Marcação de e-mail: os e-mails sobre o GDPR e as solicitações de DPAs incluirão essas cadeias para apresentar as marcações de pré-entrega no e-mail. Dependendo da sua solução de e-mail, você pode adicionar um aviso em texto simples ao corpo do e-mail, incluindo instruções sobre como os funcionários devem processar essas solicitações.
– Análise de anexos: se a sua solução de e-mail permitir que você adote esses passos, você definitivamente deve se aproveitar disso, mesmo que ela esteja focada apenas no conteúdo que passa pelos sistemas de e-mail que você identificou para esse esforço.
– Scanners e análise de documentos: existem várias tecnologias que executam algum grau de análise de documentos. Mecanismos internos de análise de malware e ferramentas de detonação como o Cuckoo são perfeitos para esse processo. Há também vários sites públicos aos quais você pode recorrer, se não tiver esses sistemas na empresa.
– Automação: existem várias abordagens e oportunidades que você pode usar para automatizar esse recurso. Por exemplo, as soluções SOAR podem reduzir significativamente a carga de sua equipe ao manifestar esse processo em um playbook, analisando anexos, respondendo automaticamente a consultas de e-mail, verificando links e encaminhando conteúdo confiável para os destinatários corretos.
– Prevenção: é sempre bom lembrar que, mesmo com todas essas opções, algumas coisas podem passar. Ter uma solução de prevenção com inteligência artificial em seus terminais como parte de sua estratégia de defesa pode reduzir drasticamente o impacto desses ataques, interrompendo-os antes mesmo que se instalem em seus sistemas.
Ao terminar de juntar esses pensamentos, você pode ter chegado à mesma conclusão: esse é apenas o começo do GDPR como uma superfície de ataque. Uma vez que o dia 25 de maio já passou, vale a pena considerar riscos semelhantes que se manifestam após o início da execução.
* Steve Mancini é vice-diretor de Segurança de Informação na Cylance
