As Vulnerabilidades Cibernéticas do Brasil: Um Olhar Essencial para a Conformidade

O Brasil, com sua crescente digitalização de atividades econômicas e sociais, tornou-se um dos países mais visados por hackers e cibercriminosos. Para as organizações que operam no país, compreender as complexas e multifacetadas vulnerabilidades cibernéticas não é apenas uma questão de segurança operacional, mas também um pilar fundamental da conformidade regulatória.

The Brazilian General Data Protection Law (LGPD): A Comprehensive Overview

Introduction In a world increasingly driven by data, the protection of personal information has become a paramount concern. Brazil, recognizing the importance of safeguarding its citizens’ privacy, enacted the General Personal Data Protection Law (LGPD), Law No. 13.709/2018, which came into effect on September 18, 2020. The LGPD

Compliance Hub WikiCompliance Hub

A seguir, detalhamos as principais vulnerabilidades que as empresas e entidades no Brasil devem considerar em suas estratégias de cibersegurança e conformidade:

• Arcabouço Legal e Regulatório Insuficiente e Obstáculos Políticos
  • Apesar de progressos significativos, como a aprovação da Lei Geral de Proteção de Dados (LGPD) e a emenda constitucional que tornou a proteção de dados um direito fundamental em 2022, o Brasil ainda possui níveis inadequados de cibersegurança devido a estruturas legais deficientes.
  • A legislação atual não aloca autoridades ou recursos suficientes para regular o ciberespaço eficazmente.
  • Considerações políticas, incluindo vetos presidenciais, têm sido um obstáculo para uma arquitetura legal de cibersegurança eficaz, dificultando o estabelecimento e a aplicação de medidas cruciais de proteção de dados e de autoridades como a Autoridade Nacional de Proteção de Dados (ANPD).
  • A ANPD, embora já formada e operacional, ainda está em processo de emissão de regulamentações complementares para diversas disposições da LGPD, como avaliações de impacto à proteção de dados (DPIA) e transferência internacional de dados.
  • Muitas políticas cibernéticas existentes são desconectadas e com maturidade de implementação incerta, e a Política Nacional de Cibersegurança (PNCiber), promulgada em 2023, é significativamente reduzida em relação à sua proposta inicial, não prevendo recursos financeiros ou de força de trabalho adicionais nem abordando a criação de uma agência de cibersegurança esperada.
• Dependência de Tecnologia Estrangeira e Influência Maligna
  • O setor de telecomunicações brasileiro demonstra uma forte dependência de fornecedores estrangeiros, com uma parcela significativa de suas redes móveis operando com equipamentos de empresas como a Huawei. Isso levanta preocupações sobre a exfiltração de dados em conformidade com leis estrangeiras.
  • A atividade de phishing de Estado-nação tem como alvo entidades brasileiras, com mais de 85% provenientes da China, Coreia do Norte e Rússia. Esses grupos visam setores governamentais, aeroespaciais, de defesa, energia e criptomoedas para ganho financeiro, coleta de inteligência e influência política.
  • Atores norte-coreanos representam uma ameaça interna, buscando empregos ilícitos em startups brasileiras para coletar informações para o desenvolvimento de seu país.
  • A dependência de sistemas de pagamento controlados por estrangeiros como Visa e Mastercard suscita preocupações com a soberania digital, pois essas empresas coletam e monetizam vastas quantidades de dados de usuários e podem ser usadas como ferramentas políticas.
• Atividade Cibercriminosa Persistente e Ataques Sofisticados
  • O Brasil é um alvo principal para cibercriminosos devido ao seu desenvolvimento econômico, recursos abundantes e diversidade de negócios. Houve um aumento significativo de ciberataques devido à crescente digitalização.
  • Cibercriminosos estão em constante evolução, utilizando métodos altamente sofisticados para realizar intrusões.
  • Observa-se um aumento em ataques de ransomware, violações de dados e operações sofisticadas de phishing. Em 2024, 166 casos de ransomware tiveram o Brasil como alvo principal, e 66% das organizações brasileiras pagaram o resgate, uma taxa superior à média global.
    • Grupos como LockBit 3.0 e Conti são os principais responsáveis por ataques de ransomware no Brasil. Notáveis incidentes incluem o Banco de Brasília em 2022 e o Ministério da Saúde em 2021, onde o grupo Lapsus$ alegou ter copiado e excluído 50 TB de dados, impactando inclusive os certificados de vacinação COVID-19.
  • O Brasil está entre os países com a maior incidência de infecções por Stealer malware, que compromete dados sensíveis como IDs de usuário, senhas e informações de cartão de crédito. Isso é parcialmente atribuído ao uso generalizado de software sem licença, baixa conscientização sobre cibersegurança e um alto número de tentativas de phishing.
  • Ataques de phishing são prevalentes, com a administração pública e serviços de informação sendo os setores mais impactados. É preocupante que 63,3% dos domínios potenciais de phishing utilizem HTTPS, o que pode enganar os usuários a acreditarem que o site é seguro.
  • O Dark Web é uma plataforma significativa para cibercriminosos, com um aumento de publicações relacionadas ao Brasil, predominantemente para compartilhamento e venda de dados. Mais de 100 anúncios na dark web oferecem acesso inicial a empresas e entidades estatais brasileiras.

Data Protection Strategies: Compliance & Security Guide

Implement effective data protection programs with expert guidance on regulatory requirements, technical safeguards, and organizational controls for comprehensive security.

Compliance Hub WikiCompliance Hub

• Fatores Operacionais Internos e Humanos
  • A desigualdade digital, o aumento da criminalidade online e a falta de profissionais de TIC qualificados limitam o potencial digital do Brasil.
  • Existe uma grave escassez de profissionais de cibersegurança qualificados (CISOs).
  • 74,6% das organizações públicas carecem de políticas de backup estabelecidas, e entre aquelas com políticas, 66% não criptografam seus dados. A maioria dos departamentos governamentais não possuía planos ou capacidades básicas para fazer backup de sistemas de informação.
  • Vulnerabilidades exploradas (incluindo as anteriormente desconhecidas) e credenciais comprometidas são as principais causas-raiz dos ataques.
  • A falta de pessoal/capacidade e a falha das equipes em seguir corretamente os processos são causas operacionais significativas para organizações se tornarem vítimas de ransomware.
  • O fator humano é consistentemente um alto risco para violações de segurança.

Para garantir a conformidade e a resiliência cibernética, as organizações brasileiras devem adotar uma abordagem proativa, informada e abrangente. Isso inclui a implementação de tecnologias de cibersegurança avançadas, o fortalecimento das defesas contra ameaças em evolução, e o investimento contínuo em educação e treinamento para capacitar os usuários internos. A conformidade com a LGPD e outras regulamentações setoriais é crucial para mitigar riscos e proteger os ativos digitais em um cenário de ameaças cada vez mais sofisticado.

LGPD Enforcement Guide: Brazil’s Data Protection Fines & Breaches

Analyze Brazil’s LGPD enforcement trends with expert insights on breach notification requirements, penalty calculations, compliance strategies, and key enforcement actions under Brazil’s data protection law.

Compliance Hub WikiCompliance Hub