O estado alarmante das violações de dados na Austrália

Por /

O último Relatório de Violações de Dados Notificáveis ​​do Gabinete do Comissário de Informação Australiano revelou um rápido aumento em todo o país nas violações de dados notificáveis ​​nos primeiros seis meses de 2024 — um aumento de 9% quando comparado com os últimos seis meses de 2023 e o maior número de notificações desde 2020.

O relatório, divulgado em setembro, mostrou que violações de dados recentes, incluindo a paralisação do serviço de prescrição médica MediSecure, que afetou 12,9 milhões de australianos, levaram a uma forte resposta do OAIC. A agência alertou que está adotando uma postura mais rígida sobre privacidade de dados e violações, enfatizando que as organizações devem priorizar a privacidade em suas práticas de dados.

Quais setores sofreram mais violações de dados?

O OAIC publicou informações estatísticas sobre notificações de violação de dados desde o lançamento do esquema Notifiable Data Breaches na Austrália em 2018. O último relatório revelou:

  • Um total de 527 notificações ocorreram de janeiro a junho de 2024, marcando um aumento de 9% quando comparado com as 485 notificações recebidas de julho a dezembro de 2023.
  • O período mais recente de seis meses registrou o maior número de notificações recebidas desde julho a dezembro de 2020, durante o auge da pandemia global de COVID-19.
  • Os cinco principais setores que sofreram violações de dados foram os provedores de serviços de saúde (102 violações), o governo australiano (63), finanças (58), educação (44) e varejo (29).
Gráfico mostra que o governo australiano foi o segundo setor mais violado nos primeiros seis meses de 2024.
O governo australiano foi o segundo setor mais violado nos primeiros seis meses de 2024. Imagem: OAIC
  • Ataques maliciosos ou criminosos, tanto externos quanto internos, foram a fonte de 67% de todas as violações de dados, seguidos por erro humano (30%) e falhas de sistema (3%).
  • Ataques maliciosos ou criminosos incluíram incidentes cibernéticos (57%), engenharia social/personificação (27%), roubo de papelada ou armazenamento de dados (8%) e ameaças internas/desonestas de funcionários (8%).
  • A maioria das violações relatadas (63%) envolveu 100 pessoas ou menos, mas houve oito violações em larga escala que afetaram mais de 100.000 pessoas, incluindo a “maior violação de todos os tempos” do MediSecure na Austrália.

VEJA: Organizações australianas enfrentam maior taxa de violações de dados

Incidentes cibernéticos dominam ataques maliciosos e criminosos na Austrália

Incidentes cibernéticos continuam a ser uma causa prevalente de violações de dados, representando 38% do total de violações. Incidentes cibernéticos foram definidos como aqueles que incluem phishing, ransomware, credenciais comprometidas ou roubadas (método desconhecido), ataques de força bruta, hacking e malware — mas não ataques do tipo engenharia social.

Gráfico mostrando que credenciais comprometidas por phishing foram a causa mais comum de violações de dados.
Credenciais comprometidas por phishing foram a causa mais comum de violações de dados. Imagem: OAIC.

Entre os vários ataques maliciosos ou criminosos, os incidentes cibernéticos tiveram o maior impacto sobre os indivíduos. A média de 107.123 indivíduos foi afetada pelos 201 incidentes cibernéticos, enquanto uma média de 4.709 indivíduos foi impactada por incidentes causados ​​por funcionários desonestos ou ameaças internas.

No relatório, a Comissária de Privacidade Australiana, Carly Kind, disse que a prevalência contínua de incidentes cibernéticos nos totais de violações de dados relatados ao OAIC ocorreu “à medida que nossa crescente dependência de ferramentas digitais e serviços online expõe nossos detalhes com mais frequência a agentes cibernéticos mal-intencionados”.

No entanto, o erro humano ainda responde por 30% das violações de dados notificáveis. As principais categorias de erro humano foram:

  • Informações de identificação pessoal enviadas ao destinatário de e-mail errado (38%).
  • Divulgação não autorizada de informações ou divulgação ou publicação não intencional (24%).
  • Não utilização da opção Cco (cópia oculta) no envio de e-mail (10%).

Aumento de violações de dados coloca agências do governo australiano em destaque

O OAIC observou que o Governo Australiano relatou o segundo maior número de violações de dados de todos os setores, sua posição mais alta de todos os tempos, embora já tenha aparecido anteriormente entre os cinco principais setores violados. De acordo com o relatório:

  • Agências governamentais relataram 63 violações de dados de janeiro a junho de 2024, representando 12% de todas as notificações de violação de dados na Austrália.
  • O Governo foi responsável pelo maior número de violações de dados de engenharia social ou estilo de representação, representando 42% desses incidentes. De acordo com o OAIC, essas violações geralmente envolviam um agente de ameaça se passando por um cliente para obter acesso a uma conta usando credenciais legítimas.
  • O Governo também é mais lento para agir: teve a maior proporção (87%) de notificações em que a agência identificou o incidente mais de 30 dias após sua ocorrência, enquanto 78% das notificações do Governo foram feitas mais de 30 dias após a agência tomar conhecimento do incidente.

VEJA: O setor público da Austrália está preparado para um grande incidente de segurança cibernética?

Como as organizações podem impedir violações de dados?

Especialistas em segurança lembram continuamente às organizações que muitas violações de dados ou ataques cibernéticos podem ser prevenidos implementando medidas básicas de segurança cibernética. O OAIC apresentou várias recomendações com base em tendências em dados de violação de dados.

Mitigando ameaças cibernéticas

O OAIC recomendou implementar autenticação multifator como primeira prioridade para interromper ameaças cibernéticas, ou políticas e práticas fortes de gerenciamento de senhas se o MFA não estiver disponível. A agência também recomendou:

  • Implementar controles de segurança em camadas para evitar um único ponto de falha.
  • Aplicar níveis de acesso à informação com base em funções e responsabilidades.
  • Aproveitando o monitoramento de segurança para detectar, responder e relatar incidentes ou atividades incomuns.

O OAIC destacou estruturas como o Essential Eight da Austrália, o Manual de Segurança da Informação da Australian Signals Directorate, a Estrutura de Segurança Cibernética do Instituto Nacional de Padrões e Tecnologia dos EUA, bem como os padrões de gerenciamento de segurança da informação ISO 27001 e ISO 27002 da Organização Internacional para Padronização como medidas para orientar a melhoria nas práticas.

Riscos estendidos da cadeia de suprimentos

De acordo com a OAIC, algumas violações de dados em larga escala estão sendo causadas por comprometimentos da cadeia de suprimentos, como a violação que impactou a MediSecure e outro incidente envolvendo a Outabox. A agência acrescentou que terceirizar o manuseio de informações pessoais para terceiros continua sendo um risco prevalente.

A agência disse que as empresas devem considerar os riscos de terceirizar o manuseio de informações pessoais no estágio inicial da aquisição, incluindo para provedores de nuvem. Ela também recomendou que as organizações implementassem uma estrutura robusta de gerenciamento de risco de fornecedores, juntamente com medidas de segurança mais robustas.

Abordando o fator humano

O OAIC enfatizou que os indivíduos continuam sendo uma ameaça significativa à força das práticas de privacidade. Essas ameaças incluem violações devido a erro humano ou funcionários sendo enganados por phishing.

O gráfico que mostra o envio de dados para o endereço de e-mail errado é a forma mais comum de violação de dados por erro humano.
Enviar dados para o endereço de e-mail errado é a forma mais comum de violação de dados por erro humano.

A agência pediu que as organizações implementassem medidas técnicas para reduzir erros e enfatizou que educar a equipe é essencial para garantir que eles entendam suas obrigações de privacidade e segurança. Também recomendou priorizar o treinamento da equipe em práticas seguras de manuseio de informações.

Configuração incorreta de acervos de dados baseados em nuvem

Algumas organizações estão “ignorando” a segurança da nuvem à medida que se transformam digitalmente, disse o OAIC. Várias violações de dados durante o trimestre aconteceram quando uma entidade australiana configurou incorretamente as configurações de segurança devido a erro humano, deixando informações pessoais vulneráveis ​​a acesso não autorizado ou divulgação pública.

O OAIC disse que as organizações não devem assumir que a responsabilidade pela segurança da nuvem é do provedor. A agência destacou que a segurança e o gerenciamento da nuvem devem ser uma prioridade, destacando a importância de medidas como controles de acesso seguros por meio de MFA, controles de acesso IP e criptografia.

Notícias de Tecnologia:

Estado da União ou Estado de Desespero?Estado da União ou Estado de Desespero? 15 ataques cibernéticos e violações de dados notáveis15 ataques cibernéticos e violações de dados notáveis Gastos com TI na Austrália aumentarão em 2025: foco em segurança cibernética e IAGastos com TI na Austrália aumentarão em 2025: foco em segurança cibernética e IA Mais 50% de profissionais classificam a privacidade de dados como uma das principais preocupações da GenAI em 2024Mais 50% de profissionais classificam a privacidade de dados como uma das principais preocupações da GenAI em 2024 Uber pagará recorde de US$ 148 milhões por violação de dados em 2016Uber pagará recorde de US$ 148 milhões por violação de dados em 2016 Aquecimento a lenha na era das mudanças climáticasAquecimento a lenha na era das mudanças climáticas
Rolar para cima
Pular para o conteúdo