Diante de todos os desafios enfrentados pela profissionais de cibersegurança em 2022, Luiza Sato, advogada especialista em ciberesegurança do escritorio TozziniFreire Advogados, comenta os principais incidentes e fatos que marcaram o ano, e traça um panorama do que esperar deste 2023 que está no início. Quer saber quais incidentes vão reverberr em 2023? Veja abaixo os temas comentados pela especialista e assista ao vídeo com os detalhes.
Estudo Cisco de 12/12/2022
• 62% das empresas tiveram incidentes de segurança
• Os principais tipos de incidentes no mundo foram:
o violações de rede ou de dados (51,5%)
o quedas de rede ou de sistema (51,1%)
o casos de ransomware (46,7%)
o ataques de negação de serviços (DDoS) com 46,4%.
• Estes incidentes geraram graves repercussões para as empresas, assim como para o ecossistema de parceiros dessas companhias. Os principais impactos citados foram:
o a interrupção das equipes de TI e telecomunicações (62,6%)
o interrupção na cadeia de fornecimento (43%)
o prejuízo nas operações internas (41,4%)
o danos duradouros de percepção de marca (39,7%).
No Brasil, muito trabalho em 2022 e mais previsto em 2023
Motivos: Negócio lucrativo, informação trafegada cada vez em maior volume, novas obrigações LGPD
Brasil:
Crescem registros de ataques a empresas cujo core business iindepende de tecnologia, como os setores de infraestrutura e de manufatura.
Também foram foram registrados ataques ao Poder Público – prefeituras e outros governos; e casos na área de saúde.
LGPD
Art. 46. Os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.
Art. 48. O controlador deverá comunicar à autoridade nacional e ao titular a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares.
§ 1º A comunicação será feita em prazo razoável, conforme definido pela autoridade nacional, e deverá mencionar, no mínimo:
I – a descrição da natureza dos dados pessoais afetados;
II – as informações sobre os titulares envolvidos;
III – a indicação das medidas técnicas e de segurança utilizadas para a proteção dos dados, observados os segredos comercial e industrial;
IV – os riscos relacionados ao incidente;
V – os motivos da demora, no caso de a comunicação não ter sido imediata; e
VI – as medidas que foram ou que serão adotadas para reverter ou mitigar os efeitos do prejuízo.
ANPD
Próximos passos autoridade: regulamentar a notificação, especialmente prazo3
