9 aprendizados do vazamento de dados em Utah

Author Photo
11:30 am - 28 de maio de 2012

Quão sério foi o vazamento de dados, em 30 de Março, envolvendo residentes de Utah?

De acordo com as atuais contagens, 500.000 (18%) dos 2.8 milhões de residentes do estado americano, incluindo crianças, tiveram seus dados de saúde comprometidos. Além disso, outros 280.000 (10%) tiveram o número de Social Security vazado.

O incidente é menor, em números, do que a exposição de dados que ocorreu no ano passado, com 3.5 milhões de registros no Texas. Mas os dos incidentes sugerem que muitos órgãos do governo americano ? sem mencionar negócios ? ainda estão aprendendo o básico sobre prevenção de brechas de dados apenas depois de ter informações sigilosas expostas.

Como outras organizações podem prevenir vazamentos nas proporções do incidente em Utah? Comece assim:

1 ? Leve as brechas a sério antes que elas ocorram: ?A boa notícia, se existe alguma, é que Utah está, agora, levando muito a sério roubo de identidade, lançando o novo IRIS: Sistema de Informação de Roubo de Identidade, em resposta?, disse Gary Warner, diretor de pesquisas de informática forense na Universidade do Alabama, em Birmingham. ?O que será necessário para que outros estados levem a sério roubo de identidade??

2 ? Crie um plano de resposta às brechas. Para obter o melhor resultado, trate as brechas como uma possibilidade, e garanta que existe um plano de resposta às brechas em vigor. Utah tinha tal plano? A relativa demora na resposta à brecha sugere que não. De forma notável, o governador do estado, Gary R. Herbert, anunciou, na semana passada, a criação de um novo cargo ? Ombudsman de segurança de dados ? para ajudar qualquer pessoa afetada pelo vazamento de dados. ?Eles estarão focados no gerenciamento individual de casos, lidando com roubo de identidade e crédito e envolvimento com a comunidade?, de acordo com o centro de informação de vazamento de dados que foi criado pelos departamentos de saúde e tecnologia do estado.

3 ? Mantenha os residentes fora do centro de interesse. Em um discurso feito na semana passada, o Gov. Herbert se referiu aos cidadãos como soldados diretamente atacados por ladrões de identidade. ?O estado de Utah deve ter sua confiança restaurada?, disse ele. ?Segurança virtual é a frente de combate atual e estamos todos alistados ? vocês, eu, os órgãos estaduais, a legislatura ? todos temos um papel crítico?. Porém, se o estado tivesse um bom plano de prevenção de vazamento de dados em vigor, o governador não teria de apelar para metáforas militares; as informações estariam, simplesmente, seguras. Pelo lado positivo, no entanto, o estado agora contratou um auditor terceirizado para avaliar todos os sistemas.

4 ? Ex-CIO relata volume de ataque difícil de gerenciar. O estado reservou orçamento suficiente para manter os níveis apropriados de segurança da informação? Na semana passada, o governador anunciou que Stephen Fletcher, diretor executivo do Departamento de Serviços de Tecnologia, pediu demissão. Fletcher disse ao Desert News que ele assumiu total responsabilidade pela brecha, já que ?aconteceu durante meu turno?.
Mas tentar manter um registro perfeito, livre de brechas está cada vez mais difícil. ?Houve um grande aumento no número de ataques a sistemas estaduais — um aumento de 600% nos últimos quatro meses ? e é sempre um desafio garantir que se têm todos os recursos adequados para que os ataques sejam fracassados?, disse Fletcher.

5 ? Atenção a servidores perigosos, ladrões motivados. Em relação à brecha, Fletcher disse ao Desert News que ?99% dos dados do estado estão protegidos por dois firewalls, essa informação não estava?, e, além disso, os dados ?não eram criptografados e não eram protegidos por senhas?. Ele disse que os criminosos ? que acreditam ser o Leste Europeu ? foram capazes de roubar as informações de um único servidor do departamento de saúde, que parece ter sido implantado fora dos protocolos de segurança da informação do estado. O estado disse que vai continuar investigando funcionários que possam estar envolvidos e, ao menos um legislador do estado questionou o que ele vê como uma reviravolta de alto nível no departamento de tecnologia.

6 ? Brechas podem envolver mais do que ?clientes?. Seu negócio armazena muitos dados? O estado de Utah avisou os residentes que ?uma quantidade significativa de pessoas que não tinham histórico com os programas Medicaid ou CHIP [Programa de Seguro Saúde para Crianças] tiveram suas informações roubadas do servidor. Isso porque fornecedores de seguro saúde geralmente fornecem informações pessoais de pacientes para o estado a fim de verificar seus status como possíveis receptores do Medicaid?. Embora seja uma prática padrão ? muitas vezes até para pessoas com seguro privado ? fica a duvida sobre porque essas informações não foram apagadas depois de utilizadas.

7 ? Números de Social Security vazados são permanentemente inseguros. O Departamento de Saúde de Utah disse que enviou uma notificação para todos os residentes que tiveram seu número de Social Security roubado, e está oferecendo um ano de crédito em serviços de monitoramento. Mas é apenas uma solução temporária, já que uma vez que o número de Social Security é roubado, e mantido disponível para a exploração criminosa, tais números não podem ser recuperados. Vitimas de roubo de identidade podem tirar um novo número de Social Security, mas isso zera o histórico de créditos, o que poderia tornar a vida muito mais difícil de diferentes formas.

8 ? Considere quanto monitoramento de crédito será necessário. Especialistas em segurança também questionaram a duração da oferta de monitoramento de crédito do estado. ?Um ano não é muita proteção considerando que o número de Social Security é seu pela vida toda, e a maioria de nós não muda de endereço com tanta frequência?, disse Chester Wisniewski, conselheiro-sênior de segurança da Sophos Canada, em um post em seu blog.

Além disso, ele observou que o chefe do Departamento de Saúde de Utah sugeriu que os dados roubados serão ?obsoletos? depois de um ano. ?É o tipo de atitude que pode contribuir com burocratas com tentativas simplórias de proteger os dados sem considerar que esses incidentes podem assombrar as vítimas por toda a vida?, disse ele.

9 ? Hora de uma identidade nacional? Devido à dificuldade de substituir números de Social Security, talvez seja hora de repensar a ideia de oferecer aos cidadãos uma identidade nacional. De acordo com Warner, da Universidade do Alabama, em Birmingham, a identidade nacional espanhola contém foto digitalizada, assinatura e impressão digital do portador, e é usada para assegurar números de Social Security. ?Se outra pessoa tiver meu número, mas não o chip do meu cartão, ele não vale nada?, disse ele. Se os negócios e os órgãos públicos dependem do número de Social Security para identificar as pessoas, talvez seja o momento dos EUA encontrarem uma forma parecida de manter as informações seguras.

Notícias relacionadas

Notícias
Sberbank oferece IA soberana a países do Sul Global
Notícias
Palo Alto registra alta na procura por segurança em IA
Notícias
iFood confirma vazamento de dados de 1,2 milhão de usuários
Notícias
Sam Altman é convidado a participar do G7 na França
Ver todas as noticias

Newsletter de tecnologia para você

Os melhores conteúdos do IT Forum na sua caixa de entrada.