Mensagens seguras: como evitar violações de dados
Vamos mergulhar na importância de usar mensagens seguras para evitar violações de dados.
Table of contents
Entramos em uma nova era: a do crime cibernético. As fraudes em mensagens pós-pandemia estão maiores e mais complexas do que nunca, além de estarem aumentando a um ritmo preocupante. Neste guia, explicaremos em detalhes por que mensagens seguras são essenciais para evitar violações de dados.
As mensagens no mundo dos negócios chegaram para ficar. Você precisa delas para se comunicar com seus clientes, funcionários, pacientes ou cidadãos. Mas, como as pessoas fazem suas atividades exclusivamente em dispositivos móveis, os riscos de fraude e de quebra de segurança são maiores.
As pessoas estão usam seus telefones para todas as atividades pessoais e de trabalho. Esses dispositivos carregam números de cartão de crédito para fazer compras, senhas para acessar suas contas bancárias e também para enviar e-mails de trabalho importantes.
Você provavelmente se esforça para proteger seus consumidores em ambientes digitais e educá-los sobre a prevenção de ataques. Só que isso não é o suficiente. Existem inúmeras novas formas de fraude, como troca de SIM, bombeamento de SMS, ataques man-in-the-middle e sequestro de números. É um desafio conhecer todas essas modalidades.
Como existem esquemas mais sofisticados, você deve evitar repercussões que possam trazer grandes prejuízos de forma proativa. As violações de segurança causam interrupções de serviço, como a perda de dados e danos à reputação, o que amplia ainda mais os altos custos dos negócios.
Quando seu público é atacado com mensagens de spam ou smishing, os indivíduos por trás dessas fraudes podem usar sua marca como isca. A boa notícia é que empresas e organizações em todo o mundo já estão agindo para evitar as consequências mais deveras dessas violações de segurança.
Vamos mergulhar na importância de usar mensagens seguras para evitar violações de dados.
Por que é essencial prevenir violações de dados?
Mesmo as grandes empresas, como Facebook e Telegram, sofreram violações de segurança. Você não está livre disso.
O relatório da IBM sobre violações de dados afirma que o ataque inicial mais comum, relatado pelas empresas, foi o comprometimento de credenciais, com 19%, que gerou um custo médio de US$ 4,50 milhões.
Em segundo lugar, ficou o phishing, com 16%. De acordo com o mesmo relatório, os ataques de phishing custaram US$ 4,91 milhões em 2022. Outros tipos de ataque foram a configuração incorreta da nuvem em 15% e as vulnerabilidades de software de terceiros , somando 13%.
Ainda em linha com o que diz o relatório, os Estados Unidos detêm o título de maior custo de violação de dados. O custo total médio global da violação de dados é de US$ 4,35 milhões e, apenas nos EUA, ele chega a US$ 9,44 milhões. Isso representa US$ 5,09 milhões a mais!
Por lá, as penalidades por violação de dados são bastante severas. O protocolo CCPA estabelece que as empresas podem pagar até US$ 7.500 por cada ponto de dados. Para violações da HIPAA, o custo pode chegar a US$ 25.000.
Na UE, as empresas têm um cenário parecido. As leis GDPR podem multar organizações em € 20 milhões, ou 4% de seu faturamento anual.
Outros continentes não ficam de fora das penalidades por violação de dados. Recentemente, um ataque cibernético à segurança do banco de Cingapura custou US$ 13,7 milhões e fez 790 vítimas. Isso representa uma média de US$ 12.800 por vítima.
No entanto, não se trata apenas de dinheiro. Você deve adicionar outros custos a esses números, que podem afetar a reputação e o futuro do seu negócio.
Por exemplo, empresas que sofrem ataques cibernéticos tendem a perder clientes existentes e deixar de captar outros em potencial. Além disso, esses ataques também prejudicam a lealdade do cliente e a reputação da marca. Por fim, os seus custos operacionais aumentam devido ao incremento de ligações para centros de contato e suporte.
USD 4,35 milhões: os custos totais médios de uma violação de dados IBM
Outras estatísticas de violação de dados que você deve considerar:
- O trabalho remoto é um fator vital: o relatório afirma que o custo médio de quando o trabalho remoto foi fator que teve participação na violação de dados teve uma diferença de US$ 1 milhão, em comparação a quando isso não aconteceu
- As violações não acontecem apenas uma vez: 83% das organizações pesquisadas disseram que tiveram mais de uma violação
- É importante escolher com quem você faz parceria: 19% das violações de dados analisadas ocorreram devido a um comprometimento de um parceiro de tecnologia de negócios.
- Seus clientes sofrerão as consequências: 60% das violações das organizações resultaram em aumento de preços repassados aos clientes.
Como as mensagens seguras ajudam a evitar violações de dados?
Os dados são a propriedade intelectual da sua empresa. Como você deve saber, as organizações armazenam seus dados em algum lugar, como na nuvem, nos servidores dentro ou fora da empresa, ou em ambos.
Mensagens e dados seguros são diferentes, mas estão relacionados. A maioria das empresas e organizações usa mensagens móveis para interagir com seu público. De fato, 90% das empresas adotarão uma plataforma de comunicação até 2023.
Em cada mensagem que você envia, existem dados importantes. Seja um texto, um arquivo ou uma mensagem de voz. É por isso que bons recursos e capacidades não são suficientes ao usar uma plataforma de comunicação para interagir com o seu público.
A segurança da mensagem deve ser sua prioridade. Por quê? Porque as empresas têm a liberdade de escolher onde armazenar seus dados, mas não quais dados podem armazenar. Elas precisam respeitar os regulamentos de dados, como GDPR e CCPA, que informam quais informações podem armazenar.
Uma plataforma CpaaS, segura e global, deve encontrar soluções que cumpram todos os regulamentos para garantir que os dados sejam protegidos e não sejam transferidos para outros países.
Isso significa garantir que suas mensagens sejam criptografadas e armazenadas com segurança, de acordo com os regulamentos de dados do seu país. Trabalhar com uma plataforma de comunicação segura evita algumas das violações de dados e fraudes de SMS mais comuns.
As mensagens de texto são seguras?
Segundo a PCMag, 90% das pessoas abrem um arquivo texto recebido em até três minutos após o recebimento. As mensagens de texto são o principal canal de comunicação para os clientes, uma vez que eles desejam interagir com as empresas por meio de seus celulares.
Entretanto, a popularidade do SMS na comunicação empresarial fez deste meio o canal perfeito para fraudes. Os hackers buscam continuamente novas formas de lucrar com as vulnerabilidades relacionadas a ele.
A verdade é que SMS A2P e SMS P2P não são criptografados de ponta a ponta. Mais ainda, trata-se também o canal de comunicação que recebe o maior fluxo diário de mensagens não solicitadas.
Mas, eles ainda são seguros. Robert Gerstmann, diretor administrativo da CLX Communications, garante que “as mensagens de texto continuam sendo o canal mais confiável”. “Isso, provavelmente, ocorre por conta da porcentagem de mensagens de spam ainda ser uma pequena fração, que representa menos de um por cento no geral.”
Para reduzir a possibilidade de fraude em mensagens de texto, as empresas devem definir proteções para os remetentes, proteger sua plataforma de direcionadores e avaliar cuidadosamente os provedores parceiros. Todos os membros da cadeia de comunicação SMS – de destinatários a remetentes a direcionadores e provedores – compartilham a prioridade de detectar e evitar esquemas de fraude.
Problemas comuns de violação de dados
- Credenciais comprometidas
De acordo com a IBM, credenciais comprometidas foram a violação de dados mais comum em 2022. É um ataque cibernético em que os hackers roubam credenciais para acessar contas online a fim de capturar informações pessoais e financeiras de terceiros.
Como a maioria das pessoas usa a mesma senha para contas diferentes, é fácil para os eles conseguirem o acesso. Geralmente, eles utilizam uma ferramenta de automação para fazer login em diferentes sites, serviços e contas de aplicativos, sempre tentando diferentes combinações de nome de usuário e senha.
Depois de capturarem as credenciais de seus usuários, eles podem bloqueá-los em suas contas, roubar e modificar informações, fazer compras, enviar mensagens em seus nomes, encerrar suas contas e muito mais.
Todas as empresas estão expostas a credenciais comprometidas se não fizerem uso das ferramentas certas. Em 2016, o Uber sofreu uma violação de dados que expôs os nomes, números de celular e endereços de e-mail de 57 milhões de usuários e motoristas. Demorou um ano para que a violação aparecesse.
- Phishing and Smishing
Todo mundo sabe o que é smishing. Nós temos certeza de que você provavelmente já recebeu um SMS smishing ou um e-mail de phishing, pelo menos uma vez.
O problema é que os hackers ganharam sofisticação e é quase impossível diferenciar as mensagens ilícitas das legítimas.
Se você acha que smishing é o problema dos seus clientes, permita-me afirmar que você está errado. Smishing tem consequências para os consumidores, remetente e provedor.
Tecnicamente, o smishing nem sempre é considerado uma responsabilidade da empresa. Por outro lado, você pode perceber altos custos, caso os seus clientes forneçam todas as informações pessoais a hackers.
Veja o exemplo de que falamos anteriormente: o banco OCBC em Cingapura teve que pagar US$ 13,7 milhões a 790 vítimas de smishing. No entanto, você deve considerar danos à reputação, perda de clientes e outros custos potenciais ao tentar calcular o impacto real.
Felizmente, existem algumas práticas recomendadas para evitar o smishing. Primeiro, você deve ensinar seus funcionários e clientes a reconhecer e a relatar um SMS malicioso ou um e-mail de phishing. Depois, é útil enviar SMS fraudulentos simulados para seu público com a intenção de medir o resultado de seu treinamento e conscientização de segurança.
Por último, mas não menos importante: A implementação de controles 2FA e endereço IP em seus aplicativos pode dificultar o acesso de hackers aos seus sistemas.
- Configuração incorreta da nuvem
As configurações incorretas da nuvem são erros ou lacunas no ambiente de nuvem, que colocam em risco informações valiosas.
Os tipos mais comuns de configuração incorreta da nuvem são aquelas de acesso ao armazenamento, acesso excessivamente permissivo, portas de entrada e saída irrestritas e acesso ilimitado a portas não HTTP/HTTPS, entre outros.
Segundo a IBM, 45% das violações de dados ocorreram na nuvem. As que aconteceram na nuvem pública custam consideravelmente mais do que violações em organizações com um modelo de nuvem híbrida.
Embora o número seja alto, é essencial considerar que 43% das organizações que sofreram com configurações incorretas de nuvem não começaram ou estavam nos estágios iniciais de aplicação de práticas para proteger seus ambientes de nuvem.
Enquanto isso, 34% estavam no meio do caminho e aplicavam muitas nuvem práticas de segurança. Outros 23% estavam no estágio maduro e utilizavam práticas de segurança com frequência em todos os domínios.
- Vulnerabilidades de software de terceiros
Esse tipo de violação de dados ocorre quando hackers atacam uma organização por meio de partes externas em sua cadeia de suprimentos, como fornecedores, parceiros, provedores de serviços ou fornecedores.
Essas partes externas têm acesso a informações cruciais, como processos internos, dados de clientes, sistemas e muito mais.
De acordo com a Veracode, sete em cada dez aplicativos apresentam falhas em suas bibliotecas de código aberto, nas verificações iniciais.
É por isso que é importante escolher um parceiro de tecnologia focado em mensagens seguras e privacidade de dados com as certificações de segurança certas, como a ISO 27001, que analisa e avalia os processos de segurança da informação de um negócio.
Existem também outras fraudes comuns, mas com foco especial em SMS, a exemplo de fraude de SIM Swap, Engenharia Social, Account Takeover (ATO), Vishing, Pretexting, Password Spraying e Credential Stuffing.
Dicas para impedir uma violação de dados
É crucial implementar um plano para poder avaliar e abordar os riscos comuns. Vejamos algumas dicas.
Execute avaliações periódicas sobre possíveis ameaças
Como falamos anteriormente, as mensagens móveis são essenciais para melhorar a experiência do cliente e a fidelidade deles à marca. Porém, com o surgimento de muitos novos canais, as empresas enfrentaram riscos de fraude desconhecidos todos os dias.
Fraudes que afetam PBX e VoIP são importantes, mas não são as únicas. Seria melhor agir para prevenir ransomware, malware e muitos outros tipos. Avaliações periódicas sobre todas essas possíveis ameaças garantirão a você e à sua equipe uma visão geral clara dos riscos que você enfrenta ao utilizar uma plataforma de comunicação.
Escolha um provedor seguro como seu parceiro
Seus clientes querem que você esteja disponível para eles por meio de vários canais de comunicação, como WhatsApp, SMS, mensagens de voz, RCS e muito mais. As plataformas de comunicação em nuvem permitem que as empresas façam isso. Entretanto, embora os resultados sejam ótimos, é importante não comprometer a segurança.
Escolha um parceiro de tecnologia comprometido com segurança móvel e com a proteção de dados. Ele deve oferecer evidências de certificações de segurança e conformidade com regulamentações globais e específicas.
Investir em um CPaaS com detecção de fraude baseada em IA também é vital para economizar custos de violação de dados. De acordo com a IBM, a economia média de custos associada à IA de segurança totalmente implantada e à automação foi de US$ 3,05 milhões em 2022.
Políticas de controle de acesso
Acredite ou não, um dos motivos mais comuns das credenciais comprometidas são as senhas fracas. De acordo com um relatório do NordPass, as pessoas costumam usar a mesma senha fraca para diversas contas.
Com os controles de acesso corretos, você pode reduzir significativamente as fraudes. Para começar, é fundamental incentivar sua equipe e colaboradores a atualizar suas senhas periodicamente, garantindo que sejam complexas e exclusivas.
Existem ferramentas, como o LastPass, que definem senhas fortes para diferentes contas e as mantêm seguras, sem a necessidade de digitá-las toda vez que você precisa fazer login.
Além disso, habilitar o 2FA para as contas de seus funcionários e clientes fará com que os hackers tenham mais trabalho. Eles precisarão de outra senha de uso único para acessar a conta, mesmo que tenham seu nome de usuário e senha.
Ao escolher um fornecedor de comunicação segura, você deve considerar se ele oferece ferramentas de controle de acesso de alto nível, como autenticação de dois fatores, controle de acesso IP e máscaras de conteúdo.
Treine seus clientes e funcionários
Seus clientes e funcionários também são alvo dos hackers. Eles sabem disso e querem que você os proteja. Para manter a lealdade e confiança deles, você deve educá-los e estar disponível para responder e resolver suas preocupações.
Ao usar uma plataforma CPaaS com chatbots de IA automatizados, você pode conversar em tempo real com eles sempre que tiverem dúvidas sobre possíveis fraudes. Além disso, você pode melhorar o tempo de resposta em todos os seus canais de comunicação para manter seus clientes e funcionários sempre informados quando ocorrer uma crise.
Rastreie seus dados de comunicação
A visibilidade de ponta a ponta é essencial para prevenir e responder rapidamente a fraudes e violações de dados. Com as ferramentas de relatórios e análises implementadas, você pode ver atividades ou comportamentos incomuns e agir antes que eles se expandam.
Mensagens seguras na área da saúde
A má comunicação não afeta apenas a satisfação do paciente, mas também a qualidade do atendimento. De acordo com nosso recente Healthcare Whitepaper, 80% dos pacientes desejam usar seus smartphones para interagir com profissionais de saúde.
A maioria das organizações de saúde e hospitais está adotando a transformação digital com o uso de SMS para enviar lembretes de consultas de seus pacientes ou automatizar processos de equipe.
Porém, o setor de saúde tem leis federais, como a HIPAA, que regula sobre quais dados do paciente devem ser mantidos e como protegê-los. Para melhorar suas comunicações e evitar penalidades custosas, eles devem escolher uma plataforma de comunicação segura para assistência médica com todas essas leis e regulamentos em mente.
Focar em mensagens seguras na área da saúde é fundamental, se considerarmos que é o setor com mais violações de dados. De 2017 a 2019, 93% das organizações de saúde sofreram uma violação de dados. Mais ainda, 57% afirmaram que isso aconteceu cinco vezes.
Mensagens seguras no governo
A transformação digital também está chegando aos governos. Os cidadãos preferem novas formas de comunicação e as agências governamentais devem começar a interagir com eles nos canais de sua preferência.
No entanto, assim como o que ocorre no setor de saúde, os governos gerem dados confidenciais e importantes que devem ser mantidos em segurança e de forma privativa. Uma simples violação desses dados pode gerar uma interrupção do serviço, perda de informações e danos à reputação.
Os governos devem escolher uma plataforma de mensagens criptografadas e com controles de privacidade para proteger esses dados e reduzir os riscos.
A plataforma de comunicação certa para governos deve usar HTTP ou FTPS para segurança de transporte de dados; que tenha recursos de segurança, como 2FA, e centros de controle de mensagens, para dar o acesso certo às pessoas certas.
Como as violações de segurança podem ser evitadas?
Estar equipado com as ferramentas de comunicação certas é imprescindível para conseguir evitar as violações de dados.
Você não deve se contentar com os recursos existentes do produto de mensagens móveis, é necessária uma plataforma segura de mensagens corporativas com foco específico em segurança e conformidade que possa se proteger, além do seu público.
A implementação de medidas de segurança proativas em todos os pontos da jornada do cliente é a melhor maneira de garantir que você e que os titulares de uma determinada conta estejam protegidos. A proteção proativa contra todas as formas de fraude, de um ponto de vista abrangente, é especialmente crítica com o aumento de ataques multiponto que exploram simultaneamente originadores, provedores, direcionadores e usuários finais.
O Soprano CPaaS é uma plataforma de comunicação segura, com o conjunto certo de recursos de segurança para ajudá-lo a proteger suas mensagens em vários pontos da cadeia de comunicação.
Nossa conectividade confiável (graças às nossas parcerias MNO) faz com que sejamos melhor escolha do setor para organizações que precisam de um nível mais alto de segurança de comunicação.
As equipes de especialistas da Soprano podem oferecer uma recomendação personalizada para um pacote de segurança que oferece a melhor proteção.
O Soprano Connect foi desenvolvido para organizações de segurança e conformidade. Nossa equipe tem experiência em implantações complicadas e nossas operadoras parceiras garantem alta capacidade de entrega em todo o mundo.