Vazamento de dados: Guia completo para proteger sua empresa

Última atualização em 14/10/2024

O vazamento de dados é um problema cada vez mais frequente e grave na era digital. Trata-se da exposição indevida de informações pessoais ou profissionais, que podem ser coletadas, divulgadas ou vendidas por agentes maliciosos.

Os danos causados pelo vazamento de dados podem afetar a privacidade, a segurança, a reputação e o patrimônio das pessoas e das organizações. Por isso, é fundamental conhecer as causas, as consequências e as formas de prevenção desse fenômeno.

Neste texto, vamos abordar os principais aspectos do vazamento de dados, mostrar exemplos reais de casos que ocorreram no país e um guia completo de como você pode proteger a sua empresa. Confira!

O que é vazamento de dados?

O vazamento de dados é a perda ou o acesso não autorizado de informações confidenciais, que podem ser pessoais, financeiras, comerciais, industriais ou governamentais.

Esse fenômeno pode ocorrer por falhas técnicas, humanas ou criminosas, e trazer prejuízos para as pessoas e as empresas envolvidas.

Na perspectiva das empresas, o vazamento de dados pode comprometer a sua competitividade, a sua credibilidade, a sua segurança jurídica e a sua conformidade. Além disso, o vazamento de dados pode gerar multas, processos, danos morais e materiais, e até mesmo a perda de clientes e de mercado.

Leia também o post sobre Governança de dados

Quais são as principais causas de vazamento de dados?

As principais causas de vazamento de dados podem ser agrupadas em três frentes: ameaças cibernéticas, vulnerabilidade de sistemas e negligência humana. Veja cada uma delas a seguir:

Ameaças cibernéticas

As ameaças cibernéticas são ações maliciosas realizadas por hackers ou criminosos virtuais, que visam obter, divulgar ou vender dados confidenciais de pessoas ou empresas. Algumas das técnicas e estratégias mais comuns usadas por esses agentes são:

• Ataques de hackers: são invasões diretas aos sistemas ou redes de computadores, que exploram as falhas de segurança ou as vulnerabilidades existentes
• Phishing:  uma forma de engenharia social, que consiste em enviar e-mails ou mensagens falsas, que se passam por fontes confiáveis.
• Malware: é um termo genérico que abrange diversos tipos de programas maliciosos, como vírus, trojans, spywares, ransomwares, etc.

Conheça também o framework de segurança da Informação CIS Controls

Vulnerabilidade de sistemas

A vulnerabilidade de sistemas é a fragilidade ou a falta de proteção adequada dos sistemas de informação, que facilita a ocorrência de vazamento de dados. Alguns dos fatores que contribuem para essa vulnerabilidade são:

• Falhas de software: são erros ou defeitos nos códigos ou nas funcionalidades dos programas, que podem comprometer a segurança e a integridade. Essas falhas podem ser causadas por bugs, atualizações mal feitas, incompatibilidades, etc.
• Configurações inadequadas: são ajustes ou parâmetros incorretos nos sistemas ou nas redes, que podem deixar brechas ou portas abertas para invasões ou vazamentos. Essas configurações podem envolver aspectos como criptografia, firewall, permissões de acesso, backup, etc.

Recomendamos também o post sobre ISO 31000

Negligência humana

A negligência humana é o descuido ou a imprudência dos usuários ou dos responsáveis pelos dados, que podem facilitar ou causar o vazamento de dados. Alguns dos comportamentos que caracterizam essa negligência são:

• Falta de treinamento em segurança: é a ausência ou a insuficiência de capacitação dos usuários ou dos funcionários sobre as boas práticas de segurança da informação, como uso de senhas fortes, verificação de fontes, cuidado com links suspeitos, etc.
• Descuido no manuseio de dados: é a falta de atenção ou de cuidado ao lidar com os dados, como compartilhar informações sensíveis por e-mail ou redes sociais, usar dispositivos não confiáveis, perder ou esquecer dispositivos com dados, etc.

Aprenda também sobre Proteção de sites

O que a lei diz sobre vazamento de dados?

Para evitar ou minimizar os danos causados pelo vazamendo de dados, existem leis e regulamentos que visam proteger os direitos dos titulares dos dados. Assim como, estabelecer as responsabilidades dos agentes de tratamento dos dados.

Uma das principais leis é Lei Geral de Proteção de Dados (LGPD). Esta legislação brasileira que entrou em vigor em 2020, se aplica a qualquer empresa que colete, armazene ou utilize dados pessoais de indivíduos no Brasil.

A LGPD se inspira no GDPR (Regulamento Geral de Proteção de Dados da União Europeia) e também estabelece princípios e regras para o tratamento de dados pessoais, como a obtenção de consentimento, a transparência, a limitação de finalidade, a minimização de dados, a segurança, a portabilidade, entre outros.

Além disso, a LGPD também prevê direitos para os titulares dos dados, como o direito de acesso, de retificação, de oposição, de exclusão, entre outros.

Para saber mais, acesse o post sobre Adequação à LGPD.

Penalidade para vazamento de dados

O vazamento de dados é uma violação grave dos direitos dos titulares dos dados e das normas de proteção de dados, que pode acarretar sérias implicações e consequências legais para as empresas responsáveis ou envolvidas.

A LGPD nas empresas define que as organizações que descumprirem as regras de tratamento de dados pessoais podem sofrer sanções administrativas, que incluem:

• Advertência, com indicação de prazo para adoção de medidas corretivas;
• Multa simples, de até 2% do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração;
• Multa diária, observado o limite total a que se refere o item anterior;
• Publicização da infração, após devidamente apurada e confirmada a sua ocorrência;
• Bloqueio dos dados pessoais a que se refere a infração até a sua regularização;
• Eliminação dos dados pessoais a que se refere a infração.

Além das sanções administrativas, as empresas que causarem vazamento de dados também podem responder civilmente pelos danos morais e materiais causados aos titulares dos dados, bem como criminalmente, se houver tipificação penal para a conduta praticada.

Portanto, as empresas devem estar atentas às suas obrigações legais e éticas no tratamento de dados pessoais, e investir em medidas de segurança digital, prevenção e mitigação de riscos, a fim de evitar ou reduzir as penalidades para vazamento de dados.

Acompanhe também o post sobre Cibersegurança e Segurança da informação

Casos de vazamento de dados no Brasil

Nos últimos anos, o Brasil tem enfrentado diversos casos de vazamento de dados que colocam em risco a privacidade e a segurança de milhões de brasileiros. Veja alguns exemplos de casos que aconteceram no país:

Caso Netshoes

O caso da Netshoes em 2018 foi um dos maiores vazamentos de dados pessoais no Brasil, que afetou quase 2 milhões de clientes da empresa de comércio eletrônico de artigos esportivos. Os dados vazados incluíam nome, CPF, e-mail, data de nascimento e histórico de compras.

A Netshoes precisou pagar R$ 500 mil de indenização por danos morais coletivos, em um acordo feito com o Ministério Público do Distrito Federal.

Vazamentos de dados da Enel em Osasco

Em agosto de 2020, a empresa de distribuição de energia elétrica Enel confirmou que houve um vazamento de dados de cerca de 4 mil clientes da cidade de Osasco, em São Paulo. Os dados incluíam nome, CPF, endereço, número de instalação, consumo de energia, entre outros.

A empresa informou que o vazamento ocorreu por meio de um e-mail enviado por um funcionário a um destinatário indevido, e que tomou as medidas cabíveis para proteger os dados dos clientes e evitar novos incidentes.

Esse vazamento demonstra que os dados pessoais podem ser comprometidos não apenas por ataques cibernéticos, mas também por erros humanos ou falhas operacionais. Por isso, é importante que as empresas que lidam com dados pessoais tenham políticas e procedimentos de segurança da informação, e que capacitem os seus funcionários para evitar esse tipo de situação.

Vazamentos de dados no Ministério da Saúde

Em dezembro de 2020, uma falha de segurança no Ministério da Saúde expôs na internet os dados de 243 milhões de brasileiros cadastrados no Sistema Único de Saúde (SUS) ou como beneficiários de planos de saúde. As informações incluíam nome, CPF, endereço, telefone, e-mail, entre outros.

A falha foi corrigida após a divulgação da imprensa, mas não se sabe por quanto tempo os dados ficaram vulneráveis. A ANPD também solicitou esclarecimentos ao Ministério da Saúde sobre o incidente.

A exposição desses dados pode afetar a intimidade, a dignidade e a imagem das pessoas, além de facilitar a ocorrência de crimes como falsificação de documentos, clonagem de cartões, abertura de contas bancárias, solicitação de empréstimos, entre outros.

Vazamento de dados pessoais vinculados a chaves PIX

O caso da chave Pix em 2022 foi um incidente de segurança que expôs os dados pessoais vinculados a 160.147 chaves Pix que estavam sob a guarda e a responsabilidade da Acesso Soluções de Pagamento, uma instituição de pagamento autorizada pelo Banco Central. Os dados vazados incluíam nome, CPF, e-mail, telefone e endereço.

💡Leia também o texto sobre gerenciamento de identidade e acessos

Como agir em caso de vazamento de dados na empresa?

Identificar o vazamento

O primeiro passo é detectar o vazamento de dados, que pode ocorrer por meio de ataques cibernéticos, erros humanos, falhas técnicas ou operacionais, entre outros motivos. Para isso, é importante que a empresa tenha mecanismos de monitoramento e alerta, que possam indicar anomalias, invasões, acessos indevidos ou perda de dados.

A empresa também deve ter um canal de denúncia, que permita que os funcionários, os clientes ou os fornecedores possam reportar suspeitas ou evidências de vazamento de dados. Esse canal deve ser seguro, confidencial e acessível, e deve garantir o sigilo e a proteção do denunciante.

Conter o vazamento

O segundo passo é conter o vazamento de dados, que pode envolver ações como:

• Isolar a fonte: isso pode envolver a desativação temporária do servidor ou sistema afetado, ou até mesmo desconectar o dispositivo comprometido da rede para evitar a propagação do vazamento de dados na Internet;
• Revogar privilégios de usuários e bloquear acessos comprometidos;
• Preservar evidências do vazamento;
• Acionar a equipe de resposta.

Recomendamos também a leitura do post sobre Data Protection Officer

Remediar o vazamento

O terceiro passo é remediar o vazamento de dados, que pode envolver ações como:

• Investigar a causa e a extensão do vazamento, identificando quais dados foram afetados, quantas pessoas foram impactadas, qual foi o nível de exposição e qual foi o dano potencial;
• Restaurar os dados e os sistemas afetados, aplicando as correções e as atualizações necessárias para eliminar as vulnerabilidades e garantir a segurança e a integridade dos dados;
• Avaliar os impactos e os riscos do vazamento, considerando os aspectos legais, financeiros, operacionais e reputacionais, e definir as medidas de mitigação e de prevenção.

Recupere e previna o vazamento

O quarto passo é recuperar os dados e os sistemas afetados pelo vazamento, ou seja, restaurar a normalidade das operações e dos serviços da sua empresa. Para isso, você pode usar ferramentas de backup e de recuperação de dados, bem como contar com o apoio de profissionais qualificados em segurança da informação e em proteção de dados.

Em seguida, você deve prevenir novos vazamentos, ou seja, adotar medidas de segurança e de governança para evitar que incidentes semelhantes se repitam.

Para isso, você pode revisar e atualizar as suas políticas, os seus procedimentos e as suas ferramentas de segurança da informação e de proteção de dados, bem como capacitar e conscientizar os seus funcionários, os seus fornecedores e os seus parceiros sobre as boas práticas e as normas aplicáveis.

Como empresas podem evitar o vazamento de dados

Para evitar que o vazamento de dados aconteça é preciso adotar algumas medidas preventivas, como:

• Usar firewall e antivírus para proteger os sistemas e as redes da empresa de ataques externos.
• Realizar auditorias de segurança periódicas para identificar e corrigir possíveis vulnerabilidades nos processos e nas tecnologias da empresa.
• Treinar os funcionários sobre as boas práticas de segurança da informação, como não compartilhar senhas, não acessar sites suspeitos e não abrir e-mails ou arquivos desconhecidos.
• Criar políticas e normas de uso e armazenamento dos dados da empresa, definindo quem pode acessar, modificar e excluir quais informações.
• Utilizar criptografia e backup para garantir a integridade e a recuperação dos dados em caso de perda ou roubo.
• Realizar teste de penetração ou pentests, para identificar vulnerabilidades no sistemas da empresa

Além dessas ações, a empresa pode contar com o apoio de uma consultoria especializada em governança de TI, como a Euax. A consultoria em governança de TI da Euax ajuda a empresa a definir e implementar as melhores práticas de gestão dos recursos de tecnologia da informação, alinhando-os aos objetivos estratégicos do negócio.

Aproveite para conhecer também a consultoria em segurança da informação da Euax e veja como podemos ajudar a empresa a se proteger de vazamento de dados e obter mais eficiência, qualidade e inovação.

Charles Prada

Sócio consultor da EUAX, bacharel em Ciências da Computação, mestre em Engenharia e Gestão do Conhecimento pela UFSC. Possui mais de 16 anos de experiência em projetos de inovação e atua como professor de graduação e pós-graduação da área de inovação.