Sim, as pessoas ainda estão perdendo dados através de dispositivos USB em 2022

Sim, as pessoas ainda estão perdendo dados através de dispositivos USB em 2022.

Volte dez anos atrás e não houve um mês que passou sem que houvesse relatos de perda ou roubo de um dispositivo de memória USB contendo informação privada ou confidencial do cliente ou da empresa. Desde aquele tempo, a conscientização de segurança e a tecnologia melhoradas reduziram tais incidentes. Entretanto, relatos recentes de um empreiteiro japonês que perdeu pendrives de memória USB contendo os dados sensíveis de quase meio milhão de pessoas são um lembrete de que os riscos ainda são muito reais e podem ainda estar acontecendo com mais freqüência do que pensamos.

Em junho, a cidade de Amagasaki, no oeste do Japão, contratou a empresa BIPROGY para analisar e supervisionar a isenção fiscal COVID-19 para seus cidadãos. Como reportado originalmente pela NHK e outras fontes, em 23 de junho, um funcionário da empresa que trabalhava no local nos escritórios da cidade decidiu copiar os dados sem permissão e continuar trabalhando neles no escritório da empresa em Osaka. Esses dados incluíam informações muito sensíveis – nomes, endereços, datas de nascimento, detalhes do pagamento do imposto de residência e os números das contas bancárias das pessoas que recebiam benefícios.

O funcionário da BIPROGY copiou as informações pessoais de 465.177 residentes da Amagasaki em dois pendrives USB e as levou consigo. Entretanto, ao invés de ir diretamente a Osaka na mesma noite, ele foi a um bar local em Amagasaki com colegas e…. bem, o resto é algo como uma memória nebulosa. Ele acordou na manhã seguinte sem a bolsa que continha os dois bastões USB.

O incidente foi relatado à polícia de Amagasaki no dia seguinte, e um dia mais tarde a bolsa foi encontrada fora de um prédio de apartamentos. Mas não antes que o escritório da cidade fosse inundado com 30.000 chamadas de cidadãos zangados.

A polícia relatou que não parecia haver nenhum crime e que as duas memórias não foram acessadas. Também não houve relatos de vazamento de dados, no entanto, uma investigação detalhada ainda está em andamento.

O custo da perda de dados USB

A má notícia é que o caso Amagasaki é um dos muitos incidentes desse tipo. Por exemplo, em outubro de 2017, foi encontrado um dispositivo USB nas ruas de Londres contendo mapas, vídeos e documentos, incluindo os detalhes das medidas utilizadas para proteger a rainha. A fonte foi rastreada até o aeroporto de Heathrow. Menos felizmente que no caso de Amagasaki, estes dados foram deixados completamente não criptografados, mesmo os documentos declarados confidenciais. Heathrow foi multado em 147.000 dólares pelo Gabinete do Comissário de Informação pela violação.

Um estudo especializado sobre o assunto da perda de dados através de unidades USB desaparecidas/roubadas foi conduzido há vários anos pelo Instituto Ponemon. Este estudo descobriu que as empresas perdem, em média, 2,5 milhões de dólares pela perda de pen drives. Dado que este número já tem uma década, muito antes da existência de multas regulatórias (GDPRCCPA etc.), podemos extrapolar que as perdas de dispositivos USB e a transferência não autorizada de dados sensíveis através de outros canais estão custando hoje milhões às empresas em todo o mundo. Especialmente devido ao fato de que, de acordo com um relatório de 2018 da Netwrix, mais da metade dos acidentes com perda de dados acontece não devido a ataques de hackers de chapéu preto, mas devido a erros cometidos por funcionários regulares.

Mais do que apenas memórias USB, e mais do que apenas perda de dados

O uso desprotegido da unidade flash USB é um motivo não só para a perda de dados, mas também para grandes ataques de hackers de chapéu preto. Por exemplo, uma das maiores brechas na história militar dos EUA em 2008 aconteceu devido a uma unidade USB infectada. Uma forte proteção DLP para unidades USB que impede a transferência de dados tanto do sistema local quanto para o sistema local é ainda mais importante hoje em dia devido a ataques comuns de USB onde criminosos cibernéticos enviam unidades USB para empresas, que ao se conectarem a um sistema desprotegido, instalam um programa de resgate.

A importância de uma solução de prevenção de perda de dados

A boa notícia, neste caso, é que os arquivos copiados para os pen drives foram criptografados e protegidos por senha. No entanto, todo o incidente poderia ter sido evitado com uma solução adequada de prevenção contra perda de dados.

Imagine que o funcionário estava tão empenhado em copiar os dados PII para trabalhar neles em outro lugar que tentou todas as outras opções, incluindo o envio dos dados via e-mail ou como upload para um aplicativo pessoal de armazenamento em nuvem.

O Endpoint Protector teria sido capaz não só de controlar o uso de dispositivos de armazenamento USB (ou pelo menos impor a criptografia de quaisquer arquivos armazenados em um dispositivo removível), mas também colocar em prática as medidas para restringir qualquer exfiltração de PII, por exemplo, via e-mail, compartilhamento de rede ou upload de nuvem.

A crescente importância dos dados e o aumento contínuo dos níveis de atividade dos criminosos cibernéticos fazem do DLP e do controle de dispositivos uma necessidade no mundo de hoje – especialmente se você estiver lidando com dados de PIIPHI ou cartão de pagamento. Seu caso de perda de dados pode não ser grande na mídia, mas terá o potencial de prejudicar seriamente seu negócio, se não financeiramente, ao menos na sua reputação.

Por Cristina Moldovan

Veja também:

Sobre mindsecblog 1873 Artigos
Blog patrocinado por MindSec Segurança e Tecnologia da Informação Ltda.

Seja o primeiro a comentar

Deixe sua opinião!