O desafio de proteger dados pessoais no ciberespaço

Negociação de dados organizada e profissional

No workshop, o Tenente-General Nguyen Minh Chinh, Diretor do Departamento de Segurança Cibernética e Prevenção de Crimes de Alta Tecnologia (A05, Ministério da Segurança Pública ), Vice-Presidente da NCA, disse que recentemente o Ministério da Segurança Pública descobriu centenas de indivíduos e organizações envolvidos na compra e venda de dados pessoais.

Diversas linhas de apropriação e comércio de dados em larga escala no Vietnã foram descobertas, combatidas e tratadas. A quantidade de dados pessoais coletados e comercializados ilegalmente atingiu milhares de GB, incluindo muitos dados pessoais internos e sensíveis. Os riscos à segurança dos dados continuam existindo, desafiando o trabalho de proteção.

Em 2023, a compra e venda de dados pessoais e sensíveis continuou a ser complicada, com muitos métodos e truques sofisticados. O Ministério da Segurança Pública detectou, investigou e verificou proativamente 16 casos de divulgação e venda de informações, segredos de Estado e dados internos no ciberespaço.

Comentando sobre os riscos à segurança de dados, o Tenente-General Nguyen Minh Chinh afirmou que a divulgação de dados pessoais é comum no ciberespaço. Os usuários não têm consciência de proteger dados pessoais, publicá-los publicamente ou expô-los durante o processo de transferência, armazenamento ou troca para atividades comerciais, ou devido a medidas de proteção inadequadas que levam à sua apropriação e publicação pública.

A situação de compra e venda de dados pessoais é atualmente generalizada e pública. Com dados brutos e dados pessoais processados, muitas ações não são processadas devido à falta de regulamentação legal. A situação de compra e venda de dados pessoais não ocorre apenas individualmente, entre indivíduos, mas também envolve a participação de empresas, organizações e negócios.

“Algumas empresas recém-criadas investem na construção e operação de sistemas técnicos especializados na coleta ilegal de dados pessoais para lucro comercial; criam softwares especializados na coleta de informações pessoais, escondidos em sites para coletar informações automaticamente e analisá-las em valiosos arquivos de dados pessoais; espalham códigos maliciosos que coletam dados pessoais no ambiente de rede; organizam ataques e se infiltram em sistemas de computadores de agências, organizações e empresas para se apropriar de dados pessoais”, disse o Tenente-General Nguyen Minh Chinh.

O Sr. Le Quang Ha, Diretor Adjunto de Tecnologia da Viettel Cyber ​​​​Security Company, afirmou que, nos primeiros 6 meses de 2024, o sistema da Viettel Cyber ​​​​Security Company registrou 46 casos de vazamento e venda de dados, 13 milhões de registros foram vendidos, 12,3 GB de código-fonte vazaram, 10 ataques de criptografia de dados exigindo resgate e 56 organizações apresentaram sinais de ataques de criptografia de dados. Além disso, houve 495.000 ataques DDoS, 2.364 domínios de phishing, 7 grupos de ataque cibernético direcionados (ATP) foram descobertos, 17.648 novas vulnerabilidades de segurança da informação foram descobertas e 2.139 endereços IP conectados a domínios de phishing... "Atualmente, uma indústria profissional de chantagem em segurança cibernética foi formada", comentou o Sr. Le Quang Ha.

Construindo uma plataforma de compartilhamento de informações de segurança cibernética

No workshop, todos os especialistas afirmaram que a gestão de dados no Vietnã ainda apresenta muitas deficiências e limitações. Consequentemente, algumas organizações e empresas não possuem ou não possuem infraestrutura suficiente para implantar sistemas essenciais de tecnologia da informação para atender à coleta e gestão de dados.

Muitos bancos de dados são coletados e armazenados em duplicata, sobrepostos e inconsistentes em termos de categorias de dados compartilhados, dificultando a conexão, o compartilhamento e a exploração dos dados. O investimento em data centers não é sincronizado, inconsistente em termos de padrões e regulamentações técnicas e não é verificado, mantido ou atualizado regularmente, o que leva ao risco de não garantir a segurança do sistema. Algumas organizações e empresas que contratam serviços de infraestrutura de tecnologia da informação apresentam muitos riscos potenciais à segurança da informação, pois não gerenciam e controlam de fato os dados na infraestrutura da empresa.

O Sr. Vu Ngoc Son, chefe do Departamento de Pesquisa, Consultoria, Desenvolvimento Tecnológico e Cooperação Internacional da NCA, disse que a tendência de cooperação e compartilhamento de dados de segurança cibernética foi e está sendo implementada de forma muito eficaz em muitos lugares ao redor do mundo .

“Compartilhar informações é a melhor maneira de ajudar os membros da Associação a obter uma visão completa e se atualizar com as informações mais recentes sobre segurança cibernética. Isso ajudará as organizações a identificar novos riscos e a fortalecer e garantir a segurança de forma proativa”, afirmou o Sr. Vu Ngoc Son.

Portanto, a NCA assumirá a liderança na construção da plataforma, conectando e recebendo dados compartilhados pelo Ministério da Segurança Pública, Ministério da Informação e Comunicações, Banco do Estado, além de se conectar com empresas vietnamitas de segurança cibernética, organizações internacionais de segurança cibernética e especialistas independentes em segurança cibernética. A plataforma pode compartilhar os sinais de ataque mais recentes coletados por meio de casos investigados, como informações de identificação de malware, endereços de servidores de controle, características da rede ou memória do servidor em caso de ataque. Essas informações ajudam os administradores a implementar rapidamente regras de segurança cibernética para detectar e prevenir ataques em todo o sistema, além de revisar e limpar servidores e estações de trabalho para detectar se foram comprometidos ou não.

Segundo o Sr. Vu Ngoc Son, esta plataforma alertará as organizações com antecedência ao detectar vazamentos de dados. Os dados que serão alertados sobre vazamentos incluem dados internos, informações de clientes, código-fonte de software, contas, senhas...

"Estatísticas atuais mostram que o tempo médio para uma organização detectar uma violação de dados é de até mais de 200 dias. A detecção precoce não só ajuda as organizações a ativar rapidamente cenários de resposta para minimizar os danos e reduzir o tempo de recuperação, como também ajuda a prevenir o risco de novas violações de dados", disse o Sr. Vu Ngoc Son.

TRAN LUU