quarta-feira, março 14, 2007

Perda de dados em notebook dá multa de US$ 25 mil à Ameriprise Financial

Por Deni Connor, para o Computerworld*
Publicada em 20 de dezembro de 2006 às 12h25
Atualizada em 20 de dezembro de 2006 às 15h03
 

Framingham - Ameriprise Financial foi autuada após um funcionário seu ter tido um notebook, que continha informações de clientes, roubado.

Perder dados em dispositivos móveis é um grande problema para companhias do mundo inteiro. Ainda que não seja apenas por roubo, já que a perda dos aparelhos representa um grande risco, ficar sem informações confidenciais pode representar prejuízos imediatos.

Para a Ameriprise Financial, esse prejuízo é ainda maior. A empresa norte-americana especializada em serviços financeiros foi multada em 25 mil dólares pelo estado de Massachusetts como punição pela perda temporária de um laptop que continha informações de usuários. A multa vai cobrir os gastos do estado com a investigação.

A Ameriprise concordou, também, em contratar um consultor para melhorar sua estrutura de segurança da informação.

O notebook, que foi roubado do carro de um funcionário em 2005, continha dados como nomes, números de contas correntes, de seguridade social, além do dinheiro em conta, de clientes da empresa. Ao todo, mais de 150 mil pessoas foram atingidas. O laptop foi recuperado depois e não há dados sobre o uso das informações para fins criminosos.

*Deni Connor é editor do Network World, em Framingham

Gartner aponta que roubo de identidade cresceu 50% durante 2006

Por Gregg Keizer, para o IDG Now!*
Publicada em 08 de março de 2007 às 11h30
Atualizada em 08 de março de 2007 às 11h31
 
Framingham - Análise reconhece 15 milhões afetados pelo roubo em 2006, com perda média de US$ 3 mil por caso - dobro do registrado em 2005.

Qualquer tendência discutida para o roubo de identidade nos próximos anos representa notícias ruins, afirmou uma analista de segurança quarta-feira (07/03) ao divulgar uma pesquisa sobre os métodos como 15 milhões de norte-americanos tiveram dados violados em um ano.

No ano terminado em agosto, 15 milhões de pessoas foram vítimas de alguma fraude relacionada ao roubo de identidade, afirmou Avivah Litan, analista do Gartner, número 50% maior que os dados divulgados em 2003 pela Comissão Federal de Comércio.

Outros dados do estudo de Litian mostram que a média de perda acarretada pelo roubo de identidade mais que dobrou em 2006 para 3.257 dólares por caso, enquanto a porcentagem de fundos ressarcidos caiu de 87% em 2005 para 61% em 2006.

A perda média de fraudes relacionadas a novas movimentações, em que crackers abrem contas com os dados roubados, foi de 5.962 dólares em 2006, aumento de 223% em comparação aos 2.678 dólares em 2005.

Cobranças não autorizadas de cartões de créditos saltaram quase quatro vezes, atingindo uma média de 2.550 dólares roubados por fraude no ano em questão.

"As tendências são extremamente úteis, já que números podem nunca ser exatos", afirma Litan. "A única notícia boa foi para os bancos. Eles são cada vez menos responsabilizados, pelos ataques os focarem cada vez menos".

O motivo é o aumento nos casos em que criminosos armam o roubo de identidade direto nas ações da vítima, ao invés de mirar nos bancos. Instituições financeiras têm, ao menos entre os grandes, investido na segurança dos dados.

"Crackers estão usando leilões online, transferências online e avisos de sistemas de pagamento, como o PayPal, para forjar scams bem criativos", afirma Litan. "Eles vão atrás do elo mais fraco da cadeia, que são usuários que cem em táticas de engenharia social".

Entre os entrevistados que sabiam ou suspeitavam das causas de roubo de identidade, 15% disse ser vítima de vazamento de informações. "Os bancos são responsáveis pelas fraudes aqui", pelo menos até agora, afirma Litan.

Um legislador de Massachusetts, no entanto, propôs uma lei que poderia levar à cadeia responsáveis por instituições que vazem dados.

Litan rejeitou a idéia. "Os responsáveis que vazam dados já estão pagando pelas fraudes" na forma de altas taxas de manuseio de dados pedidas pelos bancos, afirmou. "Os bancos já estão coletando isto. Resta saber o que farão".

Na verdade, Litan não nutre muitas esperanças pela mudança, ao menos em curto prazo. "Ladrões de identidades estão mais espertos", disse ela. "A única maneira que isto será resolvido é que os dados possam ser destruídos em caso de roubo. Assim, não será um problema vazamentos".

Ela ofereceu exemplos de como isto pode ser feito, incluindo sistemas mais sofisticados de autenticação em processos de pagamento e cartões de débito, além de sistemas que usem sistemas geográficos para apontar a localização física de ladrões.

"Mas ainda acho que haverá uma grande onda de ataques de algum tipo antes que haja mudança", disse. Quando perguntada sobre que tipo de ataque poderia acontecer, ela traçou dois cenários.

"Sabemos que crackers estão coletando milhões de dados, com, talvez, muito mais que 100 milhões de vítimas. Todas estas informações podem cair na internet. Ou um ataque massivo em bancos, em que milhões de contas são compromissadas ao mesmo tempo".

"Um ataque simultâneo como este tornaria a velocidade das transições lentíssima. Seria uma espécie de 11 de setembro das finanças online", compara.

*Gregg Keizer é editor do IDG News Service, em Framingham.

Número de incidentes na web brasileira cresce 191% em 2006, diz Cert.Br

Por Redação do IDG Now!*
Publicada em 16 de janeiro de 2007 às 14h46
Atualizada em 01 de fevereiro de 2007 às 15h34

São Paulo - Número de fraudes onlines e infecções com worms atinge 197 mil notificações, quase três vezes mais que em 2005.

O número de incidentes de segurança verificados na internet brasileira atingiu 197 mil durante 2006, quase três vezes mais que as cerca de 68 mil registrados em 2005.

Segundo balanço divulgado nesta terça-feira (16/01) pelo Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil (CERT.br), os worms puxaram o aumento das pragas gerais, atingindo 109.676 notificações, crescimento de 532% em comparação ao ano anterior.

O gigantesco crescimento referente a 2006 reverte a tendência de queda demonstrada nos dois anos anteriores - a comparação entre 2004 e 2005 indica que o número de incidentes caiu 11%, segundo os dados do Cert.Br.

Com menos índice de crescimento, as tentativas de fraudes onlines saltaram para 41.776 notificações durante o ano, acréscimo de 53% em comparação às 27.292 computadas em 2005.

Mesmo assim, o Cert.Br esclarece que tentativas de roubos online cresceram 52% em comparação com o terceiro trimestre do ano passado.

Klaus Steding-Jessen, analista do CERT.br, chama atenção para os aumentos nas invasões de sites que usem o protoclo PHP, assim como a serviços Virtual Network Computing (VNC), que atingiu o ápice de ataques maliciosos no último trimestre.

Já ataques contra serviços de Secure Shell mantêm posição de destaque no ranking da Cert.Br, liderando tentativas de invasões na internet brasileira durante os três primeiros trimestres de 2006.

Vale lembrar que os balanços trimestrais do Cert.Br levam em conta notificações feitas por usuários selecionados e provedores de ataques e infecções de malwares na internet brasileira, o que torna limitada a amostra da pesquisa.

Erro humano responde por três em cada quatro casos de perda de dados

(http://idgnow.uol.com.br/seguranca/2007/03/12/idgnoticia.2007-03-12.8167257255)
Por Tash Shifrin, para o IDG Now!*
Publicada em 12 de março de 2007 às 12h23
Atualizada em 12 de março de 2007 às 12h30

Londres - Um quinto das companhias é afetado por 22 ou mais perdas de dados em uma ano, diz estudo da IT Policy Compliance Group.

Os erros humanos respondem por três quartos de todos os incidentes em que dados sensíveis foram perdidos, revelou uma nova pesquisa.

O estudo da IT Policy Compliance Group diz que um quinto das companhias é afetado por 22 ou mais perdas de dados em uma ano, com informações de clientes, de funcionários e da área de tecnologia, dados financeiros e corporativos sendo roubados, perdidos ou destruídos.

A pesquisa revela que os erros dos usuários são responsáveis por metade das perdas de dados, com a violação de políticas - seja proposital ou acidental - respondendo por outros 25%.

Os principais canais pelos quais os dados são perdidos são - em ordem de risco - PCs, laptops e dispositivos móveis, e-mail, mensagem instantânea, aplicações e banco de dados.

O relatório também aponta que as empresas têm perdas de 8% em receita e número de clientes quando um vazamento de dados se torna público, além de um custo adicional de 50 libras (73 dólares) por registro de clientes para notificar e recuperar os dados.

Jim Hurley, diretor da IT Policy Compliance Group, disse: “Falhar em proteger a segurança de TI e dados auditados é como um banco dar a senha do cofre. Ao invés de títulos e dinheiro, essas empresas estão colocando dados sensíveis, clientes, receita e o futuro dos negócios em risco”.

O relatório sugere que a organização deve identificar os dados mais sensíveis ao negócio, treinar funcionários e implementar tecnologias para minimizar erros de funcionários, violações de políticas e ataques online.

O documento recomenda ainda a adoção de controles e procedimentos para garantir o cumprimento das políticas e aumentar a freqüência das auditorias.