O setor de TI adora um assunto polêmico. Nuvem, infraestrutura hiperconvergente e aprendizado de máquina são ótimos temas para conversas, mas dois dos assuntos mais polêmicos entre os profissionais de TI são ransomware e a Regulamentação Geral de Proteção de Dados (GDPR) da União Europeia (UE).
Por mais polêmicos que esses tópicos sejam individualmente, o que acontece quando essas duas ideias entram em colisão? Recentemente, me perguntaram: “Qual o impacto do ransomware quando se trata de GDPR?” e isso criou uma rara ocorrência de colisão de assuntos na TI.
Há um impacto?
A resposta é certamente que sim. A GDPR existe para proteger nossas informações pessoais. Portanto, se mantivermos informações de um cidadão da UE, então nossa principal preocupação deve ser garantir que cuidamos desses dados, e que eles estejam em segurança, protegidos e acessíveis.
Como parte dos nossos requisitos sob a GDPR, é vital garantir que uma violação de dados seja evitada. O que queremos dizer por violação? Está descrito nos artigos da GDPR;
‘Violação de dados pessoais’ , uma violação da segurança que provoque, de modo acidental ou ilícito, a destruição, a perda, a alteração, a divulgação ou o acesso, não autorizados, a dados pessoais transmitidos, conservados ou sujeitos a qualquer outro tipo de tratamento.
Se analisarmos a frase acima, fica claro como o ransomware leva a uma potencial violação da GDPR. Por definição, o ransomware é um malware que pode impedir ou limitar que as vítimas acessem dados essenciais ou até mesmo seus sistemas inteiros.
Até agora, a resposta a um ataque de ransomware tem sido relativamente direta — Ou você garantiu a Disponibilidade dos seus dados e pode recuperar rapidamente os dados comprometidos, ou está correndo o risco de perder os dados. Se já não tiver uma solução confiável de recuperação de dados, suas opções para retomar as operações de negócios sem perda de dados são limitadas. Tenha em mente que pagar o resgate do ransomware é algo que não é aconselhado por todos os especialistas de tecnologia e cibersegurança, assim como pelas autoridades governamentais.
A GDPR introduz um novo desafio, além de uma nova oportunidade para o cibercriminoso. Em vez de se preocupar com as tecnicalidades irritantes do ransomware, seu cibercriminoso amigo da vizinhança agora tem uma nova ameaça em seu arsenal. Eles podem expor uma violação dos seus dados causada por ransomware às autoridades relevantes — o que expõe sua organização a multas pesadas ou outras sanções.
O que fazer?
O que a GDPR exige das organizações? Se analisarmos o Artigo 32, temos orientação sobre nossas principais responsabilidades como detentores de dados, que é ter:
- A capacidade de assegurar a confidencialidade, integridade, disponibilidade e resiliência permanentes dos sistemas e dos serviços de tratamento.
- A capacidade de restabelecer a disponibilidade e o acesso aos dados pessoais de forma atempada no caso de um incidente físico ou técnico.
- Um processo para testar, apreciar e avaliar regularmente a eficácia das medidas técnicas e organizativas para garantir a segurança do tratamento.
Ainda que a GDPR não seja uma regulamentação técnica ou um problema de TI para solucionar, ela requer um compromisso maior dos departamentos de TI para garantir a existência das estratégias de segurança de TI, que as soluções estão atualizadas e que todas as partes interessadas estão bem informadas quanto às suas responsabilidades. Há certas áreas em que o compromisso da TI é vital:
- Ajudar a garantir a integridade dos dados
- Ajudar a garantir a Disponibilidade dos dados
- Fornecer uma plataforma para testes eficientes e flexíveis
Como seria uma tecnologia adequada, então?
A realidade é que não existe uma única tecnologia que vai oferecer tudo que você precisa, mas é bom estar ciente dos tipos de tecnologia que podem ajudar.
O ideal seria a pilha de soluções inclua um nível de inteligência para avistar atividade de ransomware, com a capacidade de encerrá-la rapidamente e identificar quaisquer conjuntos de dados afetados. A TI forneceria uma opção de obter a informação sobre os conjuntos de dados comprometidos e apresentá-la à minha solução de recuperação para automatizar esse processo. A tecnologia ainda teria que incluir uma solução de recuperação que possa recuperar rapidamente os dados e manter a Disponibilidade, ao mesmo tempo em que nos fornece a capacidade de montar ambientes de teste, para que seja possível praticar a nossa resposta a incidentes de destruição de dados como um ataque de ransomware.
A Veeam pode ajudar?
Ainda que a Veeam não seja uma ferramenta de conformidade com a GDPR, ou mesmo uma solução de identificação de ransomware, o Veeam Availability Suite pode desempenhar um papel substancial para garantir que o seu programa de conformidade seja eficiente no tratamento de problemas como o ransomware, além de outros desafios mais amplos do programa de conformidade.
No entanto, a capacidade de interagir com ferramentas de terceiros para identificação rápida e recuperação de uma violação potencial é de enorme valia. Se considerarmos a estratégia geral da Veeam de garantir a Disponibilidade em múltiplos repositórios, tanto no local quanto na nuvem, para manter a conformidade e a Disponibilidade dos dados entre a infraestrutura inteira, não importa a localização, então isso é valioso e essencial para uma estratégia de conformidade de um negócio moderno.
Conclusão
Começamos com a pergunta: “Qual o impacto do ransomware na GDPR?” Respondemos a essa questão falando como o impacto e risco do ransomware exige avaliação e mitigação, assim como todos os outros riscos potenciais de conformidade.
Esperamos que isso tenha oferecido um histórico útil e ideias para garantir que você atenda às necessidades da estratégia de conformidade do seu negócio.