O acadêmico da UNSW, Dr. Hammond Pearce, e o profissional da indústria Sharat Madanapalli discutem regras mais rigorosas relacionadas à proteção de dados na série de podcasts Engineering the Future da UNSW. Especialistas em segurança cibernética pediram regulamentações mais rígidas e punições mais severas para empresas que não protegem adequadamente os dados pessoais na Austrália. A Diretoria de Sinais da Austrália (ASD) disse em seu Relatório Anual de Ameaças Cibernéticas que recebeu mais de 87.000 relatórios de crimes cibernéticos no ano fiscal anterior, uma média de um relatório a cada seis minutos.
Em abril de 2024, por exemplo, o serviço de troca de receitas MediSecure relatou que aproximadamente 12,9 milhões de indivíduos podem ter tido suas informações pessoais e de saúde, bem como informações de provedores de saúde, expostas por um incidente de segurança cibernética. E em março de 2023, a instituição financeira não bancária Latitude Financial foi alvo de um ataque cibernético que resultou no roubo de aproximadamente 7,9 milhões de números de carteiras de motorista e informações pessoais associadas. Enquanto isso, o Gabinete do Comissário de Informações da Austrália (OAIC) está atualmente movendo processos legais contra o Medibank e o Australian Clinical Labs por sua suposta segurança inadequada e/ou resposta a outros ataques cibernéticos anteriores.
Mas a OAIC também acolheu com satisfação o novo Projeto de Lei de Emenda à Privacidade e Outras Legislações, aprovado em dezembro de 2024, que, segundo ela, fortalecerá seu conjunto de ferramentas de execução, incluindo um regime aprimorado de penalidades civis e poderes de notificação de infração. O projeto de lei também fornece esclarecimentos importantes sobre o escopo das obrigações de segurança existentes para exigir expressamente que as organizações implementem medidas técnicas e organizacionais — como criptografar dados, proteger o acesso a sistemas e instalações e realizar treinamento de equipe — para abordar os riscos de segurança da informação.
O Dr. Hammond Pearce , professor da Escola de Ciência da Computação e Engenharia da UNSW , diz que sanções mais severas são bem-vindas contra empresas que não protegem informações pessoais, embora ele reconheça que os reguladores devem ter cuidado para não assustar as empresas e fazê-las não relatar violações. “Acredito que um dos grandes desafios da segurança cibernética atualmente é que não há grandes punições para empresas que não cuidam dos dados adequadamente, que não são pastores responsáveis”, disse o Dr. Pearce como parte da série de podcasts Engineering the Future
Eu gostaria de ver multas compulsórias muito maiores e coisas do tipo. Mas, claro, há o outro lado da moeda. Quando você torna a punição tão severa, as empresas dizem: ‘Ah, meus dados foram roubados. Não vou contar a ninguém, porque aí vamos receber uma multa altíssima.’ “No momento, como as penalidades são baixas, talvez as empresas sejam mais diretas quando algo dá errado. Mas seria bom se elas simplesmente implementassem as proteções adequadamente desde o início, para que os roubos fossem mais difíceis”, acrescentou.
A segurança é sempre um custo para o seu negócio até que algo dê errado, e aí se torna um passivo. Portanto, seria bom se houvesse regulamentações melhores para tentar torná-la um passivo sempre, para que as pessoas estivessem mais motivadas a tentar fazer a coisa certa. Sharat Madanapalli, diretor da InTune AI e convidado do episódio do podcast Engineering the Future, concorda que as empresas australianas deveriam fazer mais para melhorar a segurança contra ataques cibernéticos. Ele ressalta que as regulamentações são muito mais rigorosas na União Europeia, obrigando as empresas a terem um foco maior na proteção de dados ao fazer negócios naquele mercado.
“Não é que as empresas não possam fazer isso. Já vi produtos que são lançados primeiro no resto do mundo e, muitas vezes, levam alguns meses para serem lançados na Europa devido a todas as regulamentações impostas pela União Europeia — para garantir que sejam cumpridas”, disse ele. “E quando fizerem isso, acredito que o restante dos sistemas serão automaticamente atualizados para serem mais seguros e protegidos.” Quando se trata de segurança cibernética para indivíduos, os especialistas oferecem alguns conselhos importantes para ajudar a evitar que dados pessoais sejam roubados.
“Para mim, tudo se resume a sempre desconfiar”, diz o Dr. Pearce. “Se você vir algo na tela do seu computador, desconfie, porque pode não estar vindo de quem você pensa. Pode não estar vindo do site que você pensa.” O Sr. Madanapalli, por sua vez, recomenda um gerenciador de senhas como uma ferramenta de vital importância. Instalar um gerenciador de senhas é um bom começo para evitar ser hackeado. Só certifique-se de que seja um que você tenha revisado e que saiba que é confiável.
Não acho que haja tantas pessoas usando um gerenciador de senhas atualmente. Em vez disso, elas usam a mesma senha para todas as suas contas ou anotam as senhas em um aplicativo de notas inseguro. Essas são opções muito inferiores quando se trata de segurança online. “Mas, contra ataques de phishing, concordo que você precisa ter a característica comportamental de ser desconfiado.”
