A TIVIT tem presença em sete países da América Latina e  presta serviços para outros 35 países, segundo o seu site.

Em 10 de novembro de 2018, nove de seus funcionários caíram em um ataque de phishing por e-mail. Isso permitiu que os criminosos obtivessem acesso a alguns bancos de dados de seus sistemas.

Na ocasião, a empresa informou que nem os datacenters, nem as redes de clientes estavam infiltrados e que o incidente foi limitado apenas aos computadores usados pelos nove funcionários que foram alvo do ataque de phishing. Arquivos da empresa foram encontrados nos sites de compartilhamento de dados Pastebin, AnonFile e BayFiles. Entre os clientes da TIVIT afetados figuram o Banco Original, Braskem, Brookfield Energia, Faber, JMacedo, Klabin, Leak, Multiplan, Zurich, Sebrae e Votorantim.

As informações mais críticas envolveram o Sistema de Pagamentos Brasileiro e o desenho completo da rede de uma das câmeras de compensação.

O segundo ataque

Em 8 de janeiro de 2019, foi registrado no Pastebin um novo vazamento de 30 GB de dados na TIVIT, comprometendo informações de diversos clientes, entre eles Klabin, Banco Original, Zurich, Faber (comprometidos também em dezembro), Açominas, Bradesco, CEF e Votorantim Energia.

Os arquivos vazados foram encontrados nos sites Anonfile e Mega. Aparentemente, pelos nomes listados, existiam informações de procedimentos, documentações, executáveis (token), cronogramas, planejamentos, tratamento de dados, setup de banco de dados e diretrizes, entre outras.

O motivo e a causa da segunda violação não são conhecidos publicamente, portanto não podemos afirmar que estes dados já haviam vazado anteriormente ou se são novos vazamentos. Também não é possível dizer se foram obtidos por um invasor externo ou se foram vazados por colaboradores internos (indevidamente ou maliciosamente).

Um diagnóstico preliminar pode apontar para a falta de controle adequado de guarda de chaves privilegiadas e controles de Data Loss Prevention (DLP), mas o fato importante é que os arquivos foram parar no Pastebin, AnonFile e Mega e entre as empresas afetadas estão bancos, indústrias e prestadores de serviço.

Nesses casos, o controle também pode se dar por meio da limitação de acesso à informação, uso de criptografias nos equipamentos e na rede e no uso de sistemas de DLP, que possam identificar o vazamento.

Existem tecnologias que permitem a monitoração, auditoria e conformidade, determinando quais informações sensíveis são acessadas por quem, quando, onde e como e se o acesso não for autorizado, envia alertas em tempo real e pode até bloquear a operação.

Aliado a isso, um treinamento interno de segurança aos usuários, enfatizando as melhores práticas de classificação e proteção da informação, aliado a treinamentos técnicos e ferramental adequado, poderia ter mitigado esses riscos.

As consequências

Por envolver instituições do setor financeiro que, entre outras normas legais, são regulamentadas pela Resolução 4.658 editada em 26/04/2018 pelo Banco Central do Brasil, tanto a TIVIT quanto os seus clientes desse ramo de atividade envolvidos nos vazamentos de dados poderão sofrer penalidades.

Para exemplificar, em outro caso de violação de dados, o Ministério Público do DF e Territórios ajuizou ação civil pública em julho de 2018, contra o Banco Inter S/A, por danos morais coletivos, pelo comprometimento dos dados cadastrais de 19.961 correntistas, pedindo a condenação do banco ao pagamento de R$ 10 milhões, a título de indenização, em razão de não ter tomado os cuidados necessários para garantir a segurança dos dados pessoais de seus clientes e não clientes.

Embora a Resolução 4.658 preveja datas limites para que os bancos se adaptem aos procedimentos legais, a medida já está em vigor desde a sua publicação e todas as medidas de segurança possíveis devem ser adotadas, assim como todos os incidentes de segurança devem ser tratados e reportados às autoridades no menor tempo possível.

A Lei Geral de Proteção de Dados (Lei 13.709/2018), que estabelece regras sobre coleta, armazenamento, tratamento e compartilhamento de dados pessoais, para todas as empresas brasileiras e com sede no Brasil, impõe mais proteção e penalidades para o descumprimento de seus requisitos.  Foi promulgada em agosto de 2018 e entrará em vigor em agosto de 2020.

Vazamentos de dados acontecem e acontecerão, por ineditismo, imprudência, imperícia ou negligência. O valor das multas previstas nas leis brasileiras pode chegar a 2% do faturamento da empresa, limitados a R$ 50 milhões, e será definido pelas autoridades em virtude dos atenuantes que cada empresa poderá apresentar, para caracterizar que não houve imperícia ou negligência na proteção dos dados sob sua responsabilidade.