O documento discute como empresas e executivos podem se proteger contra vazamentos de informações, mencionando exemplos históricos de vazamentos em grandes empresas como a NASA, Coca-Cola e Química Amparo. Também recomenda medidas de segurança como avaliação de riscos, políticas de segurança da informação e controles técnicos para proteger sistemas industriais e dados confidenciais.

1. Como blindar empresas e executivos
contra o vazamento de informações
23 de Julho de 2019
Workshop Indústria 4.0 – Oportunidades e Desafios
Prof. Msc. Marcelo Lau

2. Como blindar empresas e
executivos contra o vazamento
de informações
• Atuou mais de 12 anos em bancos brasileiros em Segurança
da Informação e Prevenção à Fraude.
• Atualmente ministra aulas de pós-graduação na FIAP
(Coordenador do MBA em Cibersegurança) , IPOG, IBG e
outras instituições de ensino pelo Brasil;
• Ministrou aulas na FEBRABAN, Universidade Presbiteriana
Mackenzie e FATEC/SP;
• Coordenou o curso de Gestão em Segurança da Informação e
Gerenciamento de Projetos no SENAC/SP;
• É Engenheiro eletrônico da EEM com pós graduação em
administração pela FGV, mestre em ciência forense pela
POLI/USP e pós graduado em comunicação e arte pelo
SENAC-SP;
• Ministra cursos e palestras em países como: Angola,
Argentina, Colômbia, Bolívia, Peru e Paraguai; e
• É reconhecido pela imprensa nacional e estrangeira contando
com palestras a atuação consultiva em vários países do
mundo.

3. Stuxnet
Worm de computador projetado
especificamente para atacar sistemas industriais
SCADA (Supervisory control and data
acquisition) desenvolvido pela Siemens (PLC) e
usado para controlar as centrífugas de
enriquecimento de urânio iranianas.
Vetor provável de infecção: Mídia USB
conectado em computador presente em rede de
comunicação conectado à rede industrial.
2010

4. Coca Cola
A Coca-Cola Company anunciou no dia dia 25 de
maio de 2018, uma violação de dados
possivelmente afetando cerca de 8.000
trabalhadores.
Em setembro de 2017, a Coca-Cola foi informada
por investigadores do governo que um ex-
funcionário de uma subsidiária da empresa havia
sido encontrado com o disco em sua posse.
Vetor do vazamento: Disco rígido de um ex-
funcionário.
2017

5. NASA
Em janeiro de 2018, um criminoso conseguiu
acesso a áreas restritas dos servidores
da empresa, e se apropriou de 23 arquivos
sigilosos (cerca de 500 MB), segundo revelou a
própria NASA na divulgação de dados de
auditoria interna realizada recentemente.
Vetor do vazamento: Raspberry Pi com acesso a
um login de um usuário externo, permitindo
acesso aos dados do Jet Propulsion Laboratory.
2018

6. Química Amparo (Ypê)
O site ‘Promoção Ypê’, expôs dados de 1,2 milhão
de usuários interessados em ganhar os brindes e
prêmios ofertados, além de aproveitar os descontos
em site.
O domínio expôs informações como: nomes
completos, RG, CPF, ID de participação, data de
nascimento, sexo, cidade, e-mail, senha, telefone,
data de cadastro, endereço IP, navegador utilizado e
sistema operacional do computador/celular.
Vetor do vazamento: Invasão em site em virtude à
fragilidade técnica.
2019

7. Como blindar empresas e
executivos contra o vazamento
de informações
Wanna Cry
O WannaCrypt se deu com a exploração de uma falha no Windows (MS17-
010) (sem a aplicação de correção pelos usuários), decorrente dos códigos
de ferramentas digitais vazados da Agência de Segurança Nacional dos
EUA (NSA) em 2017, infectando mais de 200 mil computadores.

8. Como blindar empresas e
executivos contra o vazamento
de informações
Segurança industrial preocupa com 65%
dos sistemas desatualizados
Fonte: Trend Micro (2019)
O relatório “Protegendo Fábricas Inteligentes: Ameaças aos Ambientes de
Fabricação na Era da Indústria 4.0” aborda justamente questões
relacionadas à IoT e conectividade constante. Redes de operações
anteriormente isoladas agora estão sendo conectadas para ganhar
eficiência, mas isso expõe protocolos proprietários inseguros e
equipamentos antigos.

9. Como blindar empresas e
executivos contra o vazamento
de informações
Medidas de segurança:
• Avaliar aspectos de segurança necessários à proteção de propriedade
intelectual;
• Estabelecer um processo de governança em cibersegurança;
• Adoção de políticas, procedimentos e protocolos em Cibersegurança;
• Realização periódica de análise de risco, identificando fragilidades em
sistemas;
• Adotar controles em segurança (adotando processos e tecnologias);
• Incluir a cibersegurança aos processos de negócio.

10. Como blindar empresas e
executivos contra o vazamento
de informações
Vamos fazer um teste ?
Acesse:
https://haveibeenpwned.com/
E verifique se você tem
algum usuário objeto de
vazamento em uma base
com mais de 8 milhões de
contas comprometidas.

11. Como blindar empresas e
executivos contra o vazamento
de informações
Vamos fazer outro teste ?
Acesse:
https://www.shodan.io
E pesquisa a palavra
industrial, constate a
quantidade de dispositivos
hoje expostos à Internet.

12. Como blindar empresas e
executivos contra o vazamento
de informações
Onde podemos começar...
• NIST 800-82 – Guide to Industrial
Control Systems (ICS) Security
• https://nvlpubs.nist.gov/nistpubs/Speci
alPublications/NIST.SP.800-82r2.pdf
• Versão do documento: Maio de 2015

13. E você, está seguro ?
marcelo.lau@datasecurity.com.br
marcelolauds
https://www.linkedin.com/in/marcelolau