Migalhas de IA e Proteção de Dados

O vazamento de dados pessoais por insider trading: métodos de detecção e prevenção

Ocorrer um vazamento de dados em uma empresa refere-se ao quando, não se um dia existirá. Assim, é fundamental analisar os métodos de detecção e prevenção de vazamentos de dados, principalmente, na área financeira.

16/6/2023

Introdução

Em maio de 2023, um investidor processou a Coinbase por “insider trading” nos Estados Unidos. O CEO, um membro do conselho e outros executivos da referida corporação de intermediação de criptomoedas foram acusados de utilizarem informações privilegiadas para evitar perdas de mais de US$ 1 bilhão. Além de ter vendido rapidamente US$ 2,9 bilhões em ações antes que a administração da Coinbase revelasse posteriormente “informações negativas e materiais que destruíram o otimismo do mercado”1, a empresa também é acusada de coletar ilegalmente impressões digitais e modelos faciais dos usuários — dados obrigatórios para a abertura de uma conta.2

Afirma-se que o armazenamento de tais informações biométricas sensíveis expõem os usuários a altos riscos de violação de privacidade por meio de vazamento de dados. Hoje, em uma conjuntura global pautada pela digitalização dos documentos, compartilhamento em nuvem e ainda recentes legislações sobre a aplicação de tecnologias de proteção aos dados armazenados, a divulgação de informações por agentes internos — insiders — para fins de benefício próprio tem se tornado cada vez mais comum. O presente artigo apresentará breve síntese deste fenômeno, seguido por métodos de prevenção contra insider trading e consequente discussão.

Vazamento de Dados

A violação de dados pessoais vem se tornando uma prática regular, em que apenas um vazamento pode resultar em milhões de usuários com dados pessoais expostos e causar prejuízos financeiros na casa dos milhões de dólares. Conforme o Relatório de Custo de Violação dos Dados em 2022, publicado pela IBM Security e pelo Ponemon Institute3, com escopo de 550 empresas impactadas por violação de dados, em 17 países e regiões e em 17 setores diferentes, foi calculado que o custo total médio global de uma violação de dados é de US$ 4,35 milhões. Tal prática vem infelizmente se tornando mais fácil de ser implementada devido não só à incipiente regulação jurídico-econômica de ferramentas como a Inteligência Artificial, mas também às recentes legislações sobre proteção de dados (Regulamento Geral sobre a Proteção de Dados — GDPR no direito europeu — data de 2018 enquanto a Lei Geral de Proteção de Dados — LGPD no direito brasileiro — data de 2020). Essa prática também se acentua devido a ferramentas de armazenamento em nuvem e drives compartilhados: o relatório supracitado4 afirma que 45% das empresas admitiram violação e vazamento das informações da nuvem.

Os vazamentos intencionais ocorrem por meio de outsiders ou insiders. O primeiro abrange agentes externos, por intermédio de ciberataques, hackeamento, vírus, malwares e engenharia social.5 Exemplos dessas condutas podem envolver um agente externo que tem a capacidade de explorar um backdoor do sistema ou controles de acesso mal configurados para contornar o mecanismo de autenticação de um servidor e obter acesso a informações confidenciais, ou, por meio da engenharia social, funcionários e clientes podem ser enganados através de emails contendo malwares disfarçados para que entreguem dados valiosos da empresa a criminosos.6 Já a segunda categoria é formada por agentes internos, não necessariamente funcionários, mas também parceiros, advogados, técnicos de T.I. ou qualquer outro indivíduo que possua acesso legítimo às informações confidenciais e utilize-as para vantagem pessoal ou espionagem empresarial/bancária.7 Sua forma mais comum é a do insider trading8: a venda ou aquisição de ações após conhecimento da violação de dados ou de informações privilegiadas, mas antes do anúncio público — a exemplo da equipe da Coinbase; e a venda ou uso de informações privilegiadas de clientes — dados de identificação pessoal (biometria), financeira (contas, senhas e históricos bancários) e sexual, religiosa, urbanística, etc.

Detecção e Prevenção contra o Insider Trading

Como revela o “Custo de Ameaças Internas de 2022: Relatório Global”, os casos de ameaças internas aumentaram 44% nos últimos dois anos, com custos por incidente subindo mais de um terço, para US$ 15,38 milhões.9 Da mesma forma, o Relatório de Ameaças Internas do IBM Security X-Force 2021 afirma que 40% dos incidentes de vazamento de dados envolveram um funcionário com acesso privilegiado aos ativos da empresa.10 Diante desse cenário, urge pontuar as medidas necessárias para detectar e prevenir a ação de insiders: para isso, é necessária a ação conjunta de sistemas de prevenção e detecção de vazamento de dados (DLPD)11 e técnicas de gerenciamento de equipes e formação de profissionais.

Em relação à primeira, existem duas técnicas DLPD: as medidas de segurança básica (firewall, software antivírus, detecção de intrusão, autenticação, controle de acesso e criptografia) e as abordagens específicas.12 Estas se dividem em: análise baseada em conteúdo e análise baseada em contexto. A primeira funciona por meio da varredura de dados confidenciais em notebooks, servidores, nuvem ou em trânsito da rede de saída, identificando o conteúdo das informações da impressão digital de dados, análise léxica (padronização das estruturas sintáticas) e análise estatística dos dados monitorados a fim de protegê-las.13 Na impressão digital de dados, por exemplo, o destaque de certas assinaturas ou palavras-chave confidenciais são extraídas e comparadas com o conteúdo monitorado para identificar possíveis vazamentos de dados.14 Apesar de tal método funcionar de modo eficiente para a proteção contra perdas acidentais, ainda pode ser contornado por alguns insiders.15

No tocante à análise por contexto, ao invés de realizar uma varredura de dados confidenciais, os padrões de acesso aos dados normais de usuários são planificados e categorizados, de forma a identificar o momento em que um agente se desvia do perfil pré-estabelecido, a fim de prevenir ameaças internas.16 A criação de um sistema de monitoramento interno, por exemplo, é capaz de detectar indivíduos maliciosos que, apesar de possuírem acesso legítimo às informações pessoais de outrem, apresentam padrões de navegação destoantes de seu padrão específico.17 Tal método, ainda que não priorizado pelos pesquisadores da área, diferentemente daquele baseado em conteúdo, é capaz de discernir com mais exatidão as ameaças de insiders.18

Por fim, com relação às metodologias não computacionais, pode-se destacar: a instituição de treinamento regular de conscientização sobre segurança cibernética e exercícios práticos caso dados sejam violados e vazados; exames de incidentes anteriores de ataques virtuais; lembrança incisiva aos funcionários demitidos ou que se demitiram sobre políticas de segurança de dados da empresa; monitoramento de funcionários insatisfeitos ou que possivelmente estejam comprometidos com outras empresas/bancos; vigilância constante daqueles que têm acesso às informações compartilhadas na nuvem; separação entre funcionários habilitados ao manuseio ou guarda dos dados e aqueles que prestam serviços eventuais — técnicos de T.I., advogados, entre outros.19

Apesar de tal método ser importante para prevenir vazamentos e identificar insiders, é perceptível que os sistemas virtuais de detecção são extremamente mais precisos em relação aos métodos de gerenciamento de equipes. Em um ambiente bancário, por exemplo, frente a uma (possível) iminente crise financeira, a exemplo da Coinbase, a “conscientização” dos agentes ou o curso de gestão responsável de dados pessoais impactará muito menos a decisão de manusear impropriamente certas informações confidenciais em relação à um sistema computacional de detecção automática de ações desviantes dos padrões de determinados indivíduos, conforme a análise por contexto. 

Considerações Finais

A digitalização de processos de cadastramentos, inscrições, solicitações e até mesmo de documentos, isto é, a transferência de dados físicos para o ambiente virtual, facilitou sobremaneira seu acesso, seja simultâneo — por meio da nuvem, ou offline — por servidores físicos. No entanto, tal agilidade veio acompanhada do inevitável risco de vazamento de dados, em especial àqueles sensíveis, como os financeiros e biométricos — já que a face, a pupila e as digitais não podem ser facilmente modificadas entre os indivíduos. Além disso, a grande quantidade de informações armazenadas eleva o potencial risco financeiro/industrial e o consequente danos às empresas e aos usuários de bancos caso seus dados pessoais sofram vazamento.20

No que tange às medidas de prevenção e identificação de insider trading, apesar da gestão de equipes e cursos de conscientização sobre as consequências jurídicas do manuseio impróprio de dados pessoais alheios também serem necessárias, as medidas DLPD fundamentadas na análise de conteúdo e de contexto são mais inibitórias e eficazes, pelo menos a curto prazo.

----------

ABERNETHY, Darren. Insider Trading in the Data Breach Context: Proactive Corporate Planning and Regulatory Enforcement. GreenbergTraurig. 18/05/2020. Disponível em: . Acesso em: 12 de junho de 2023.

BURNSON, Robert. Investidor processa Coinbase por 'insider trading' nos EUA. Valor Econômico,02/05/2023. Disponível em: . Acesso em: 12 de junho de 2023.

CHENG, Long; LIU, Fang; YAO, Danfeng. Enterprise data breach: causes, challenges, prevention, and future directions. Wiley Interdisciplinary Reviews: Data Mining and Knowledge Discovery, v. 7, n. 5, p. 2; 2017. Disponível em: . Acesso em: 12 de junho de 2023.

Equipe InfoMoney. Coinbase roubou dados de usuários e CEO praticou insider trading, acusam investidores nos EUA. InfoMoney, 02/05/2023. Disponível em: . Acesso em:  12 de junho de 2023.

GOLDSTEIN, Jeremy. What Are Insider Threats and How Can You Mitigate Them? Security Intelligence. 16/07/2020. Disponível em: . Acesso em: 12 de junho de 2023.

Insider Threats Are Becoming More Frequent and More Costly: What Businesses Need to Know Now. ID WatchDog. Disponível em: . Acesso em 12 de junho de 2023.

PETROPOULOS, Mathew S; Ngo HQ, Upadhyaya S. A data-centric approach to insider attack detection in database systems. In: Proceedings of the 13th International Conference on Recent Advances in Intrusion Detection, RAID’10, Ottawa, Ontario, Canada. Berlin, Heidelberg: Springer-Verlag; 2010, 382–401.

Ponemon Institute. 2022 Cost of Insider Threats: Global Report. 2022. Disponível em: . Acesso em: 12 de junho de 2023.

Relatório de Custo da Violação de Dados 2022. IBM Security. São Paulo. 07/2022. p. 19. Disponível em: . Acesso em 12 de junho de 2023.

2021 IBM Security X-Force Insider Threat Report. IBM Security. 05/2021. Disponível em: . Acesso em: 12 de junho de 2023.

----------

1 BURNSON, Robert. Investidor processa Coinbase por 'insider trading' nos EUA. Valor Econômico, 02/05/2023. Disponível em: . Acesso em: 12 de junho de 2023.

Equipe InfoMoney. Coinbase roubou dados de usuários e CEO praticou insider trading, acusam investidores nos EUA. InfoMoney, 02/05/2023. Disponível em: . Acesso em:  12 de junho de 2023.

Relatório de Custo da Violação de Dados 2022. IBM Security. São Paulo. 07/2022. p. 9. Disponível em: . Acesso em 12 de junho de 2023.

Ibidem, p. 39

5 CHENG, Long; LIU, Fang; YAO, Danfeng. Enterprise data breach: causes, challenges, prevention, and future directions. Wiley Interdisciplinary Reviews: Data Mining and Knowledge Discovery, v. 7, n. 5, p. 2; 2017. Disponível em: . Acesso em: 12 de junho de 2023.

6 Idem.

ABERNETHY, Darren. Insider Trading in the Data Breach Context: Proactive Corporate Planning and Regulatory Enforcement. GreenbergTraurig. 18/05/2020. Disponível em: . Acesso em: 12 de junho de 2023.

8 GOLDSTEIN, Jeremy. What Are Insider Threats and How Can You Mitigate Them? Security Intelligence. 16/07/2020. Disponível em: . Acesso em: 12 de junho de 2023.

9 Ponemon Institute. 2022 Cost of Insider Threats: Global Report. 2022. Disponível em: <https://www.proofpoint.com/us/resources/threat-reports/cost-of-insider-threats>. Acesso em: 12 de junho de 2023.

10 2021 IBM Security X-Force Insider Threat Report. IBM Security. 05/2021. Disponível em: . Acesso em: 12 de junho de 2023.  

11 CHENG, Long; LIU, Fang; YAO, Danfeng. Enterprise data breach: causes, challenges, prevention, and future directions. Wiley Interdisciplinary Reviews: Data Mining and Knowledge Discovery, v. 7, n. 5, p. 2; 2017. Disponível em: . Acesso em: 12 de junho de 2023.

12 Ibidem, p. 6.

13 Idem.

14 Idem.

15 Idem.

16 Ibidem, p. 7.

17 PETROPOULOS, Mathew S; Ngo HQ, Upadhyaya S. A data-centric approach to insider attack detection in database systems. In: Proceedings of the 13th International Conference on Recent Advances in Intrusion Detection, RAID’10, Ottawa, Ontario, Canada. Berlin, Heidelberg: Springer-Verlag; 2010, 382–401.

18 CHENG, Long; LIU, Fang; YAO, Danfeng. Enterprise data breach: causes, challenges, prevention, and future directions. Wiley Interdisciplinary Reviews: Data Mining and Knowledge Discovery, v. 7, n. 5, p. 7; 2017. Disponível em: . Acesso em: 12 de junho de 2023.

19 Insider Threats Are Becoming More Frequent and More Costly: What Businesses Need to Know Now. ID WatchDog. Disponível em: . Acesso em 12 de junho de 2023.

20 Relatório de Custo da Violação de Dados 2022. IBM Security. São Paulo. 07/2022. p. 19. Disponível em: . Acesso em 12 de junho de 2023.

Veja mais no portal
cadastre-se, comente, saiba mais

Coordenação

Cintia Rosa Pereira de Lima, professora de Direito Civil da Faculdade de Direito da USP Ribeirão Preto – FDRP. Doutora em Direito Civil pela Faculdade de Direito da USP com estágio na Ottawa University (Canadá) com bolsa CAPES - PDEE - Doutorado Sanduíche e livre-docente em Direito Civil Existencial e Patrimonial pela Faculdade de Direito de Ribeirão Preto (USP). Pó-doutora em Direito Civil na Università degli Studi di Camerino (Itália) com fomento FAPESP e CAPES. Líder e Coordenadora dos Grupos de Pesquisa "Tutela Jurídica dos Dados Pessoais dos Usuários da Internet" e "Observatório do Marco Civil da Internet", cadastrados no Diretório de Grupos de Pesquisa do CNPq e do Grupo de Pesquisa "Tech Law" do Instituto de Estudos Avançados (IEA/USP). Presidente do Instituto Avançado de Proteção de Dados – IAPD - www.iapd.org.br. Associada Titular do IBERC - Instituto Brasileiro de Responsabilidade Civil. Membro fundador do IBDCONT - Instituto Brasileiro de Direito Contratual. Advogada.

Cristina Godoy Bernardo de Oliveira, professora doutora da Faculdade de Direito de Ribeirão Preto – Universidade de São Paulo desde 2011. Academic Visitor da Faculty of Law of the University of Oxford (2015-2016). Pós-doutora pela Université Paris I Panthéon-Sorbonne (2014-2015). Doutora em Filosofia do Direito pela Faculdade de Direito da USP (2011). Graduada pela Faculdade de Direito da USP (2006). Líder do Grupo de Pesquisa Direito, Ética e Inteligência Artificial da USP – CNPq. Coordenadora do Grupo de Pesquisa "Tech Law" do Instituto de Estudos Avançados (IEA/USP). Membro fundador do Instituto Avançado de Proteção de Dados – IAPD.

Evandro Eduardo Seron Ruiz, professor Associado do Departamento de Computação e Matemática, FFCLRP - USP, onde é docente em dedicação exclusiva. Atua também como orientador no Programa de Pós-graduação em Computação Aplicada do DCM-USP. Bacharel em Ciências de Computação pela USP, mestre pela Faculdade de Engenharia Elétrica da UNICAMP, Ph.D. em Electronic Engineering pela University of Kent at Canterbury, Grã-Bretanha, professor lLivre-docente pela USP e pós-Doc pela Columbia University, NYC. Coordenador do Grupo de Pesquisa "Tech Law" do Instituto de Estudos Avançados (IEA/USP). Membro fundador do Instituto Avançado de Proteção de Dados – IAPD.

Nelson Rosenvald é advogado e parecerista. Professor do corpo permanente do Doutorado e Mestrado do IDP/DF. Pós-Doutor em Direito Civil na Università Roma Tre. Pós-Doutor em Direito Societário na Universidade de Coimbra. Visiting Academic na Oxford University. Professor Visitante na Universidade Carlos III, Madrid. Doutor e Mestre em Direito Civil pela Pontifícia Universidade Católica de São Paulo – PUC/SP. Presidente do Instituto Brasileiro de Estudos de Responsabilidade Civil – IBERC. Foi Procurador de Justiça do Ministério Público de Minas Gerais.

Newton De Lucca, professor Titular da Faculdade de Direito da USP. Desembargador Federal, presidente do Tribunal Regional Federal da 3ª Região (biênio 2012/2014). Membro da Academia Paulista de Direito. Membro da Academia Paulista de Letras Jurídicas. Membro da Academia Paulista dos Magistrados. Vice-presidente do Instituto Avançado de Proteção de Dados.