.png)
CCPA e Zero Trust Security para PII: saúde e educação
O Lei de Privacidade do Consumidor da Califórnia entrou em vigor em 1º de julho de 2020, colocando as empresas sob novos padrões regulatórios de tratamento Informações de identificação pessoal (PII) dos residentes no estado mais populoso do país.
Semelhante ao GDPR, houve muita expectativa até o prazo. As organizações podem estar mais preparadas do que estavam em 2018 para o GDPR, mas algumas coisas importantes mudaram.
Por que a privacidade ainda é uma grande preocupação? Na nova era da quarentena, agora enfrentamos:
- Remoto tudo: a colaboração na nuvem (incluindo o processamento de PII) é o novo normal, exigindo segurança adequada na nuvem e segurança de terminais
- Resgate duplo com exfiltração de dados: mais atacantes estão exfiltrando dados de clientes de empresas e (se o resgate for retido) extorquindo consumidores diretamente por meio do bitcoin — geralmente nas manchetes.
O que isso significa para as empresas? Ainda mais exposição e maior incentivo para pagar um resgate ainda maior para evitar penalidades da lei de privacidade e litígios coletivos.
O valor das PII
Muitos atacantes e ransomware As explorações iniciais não sabiam o que estavam procurando; elas só queriam uma mordida e tentavam explorá-la. Agora, os malfeitores estão procurando ativamente sites específicos de bancos, escritórios de advocacia ou profissionais de saúde e entendem por que essas informações são valiosas e muitas delas têm a ver com as leis de privacidade.
Quão valiosos são os dados pessoais?
- Os danos pagos por empresas com violações de dados em ações civis coletivas da CCPA devem incluir $100 a $750 por residente da Califórnia (há quase $40 milhões no total) e danos incidentes ou reais (o que for maior) e qualquer outra reparação considerada adequada pelo tribunal.
- Essa ameaça pode parecer menos de 4% do faturamento anual decorrente de uma multa do GDPR estabelecida pela ICO no Reino Unido, mas pense nos anos de litígios dispendiosos para chegar a um acordo.
Então imagine: se sua empresa for violada, os atacantes podem adicionar possíveis multas ao seu resgate e você será incentivado a pagar, porque pelo menos você evita os danos à reputação de ser exposto a reguladores e ações judiciais coletivas, que custam muito mais anos e milhões para serem defendidas.
As leis são bem-intencionadas, mas são um grande incentivo para os atacantes colocarem os pés nas empresas se conseguirem enganar um instituto de saúde ou uma escola na Califórnia ou um banco em qualquer lugar. A privacidade e os dados do consumidor são uma moeda de tão alto valor que, se um invasor souber o que tem, ele os explorará por cada centavo que valer a pena.
Alvos vulneráveis: saúde e educação
Empresas como saúde e educação, com um grande número de clientes e funcionários, e grandes quantidades de suas PII, correm um risco significativo.
Qual é a ameaça?
- Ambos já estão sob escrutínio por questões de privacidade em torno de PII há anos, por meio de regulamentações como a HIPAA na área da saúde e a FERPA na educação (e agora a CCPA).
- Agora que o ensino à distância é a norma e os registros médicos se tornaram amplamente eletrônicos, conectando sistemas por meio do Épico, é fácil para os invasores se moverem entre os sistemas se não houver segmentação de rede políticas de acesso em vigor para evitá-lo.
- Com uma pandemia global e uma pesquisa de vacinas em andamento, a necessidade de pesquisa e assistência médica continuarem operando é ainda mais estratégica — e potencialmente mais lucrativa para os atacantes de ransomware, como vimos com os ataques ao Organização Mundial da Saúde (OMS), e Centros de teste de vacinas contra COVID-19.
Consequentemente, não é surpresa que a saúde e a educação sejam atingidas com tanta frequência por violações.
Segurança Zero Trust com Illumio
Um cliente recente da Illumio em uma importante faculdade de medicina que oferece ensino à distância procurou proteger melhor seus dados contra possíveis ataques, impedindo a propagação de violações de PII com segmentação de rede.
A segmentação da rede é um controle essencial para proteger PII, cercando aplicativos com dados de pacientes ou clientes. Implementar Confiança zero as políticas de segurança limitam o acesso às partes permitidas com uma finalidade comercial legítima e impedem que o caminho de escalonamento de privilégios do invasor se mova livremente pela rede até os dados mais valiosos. O cliente pensou primeiro em usar firewalls, mas a segurança na rede com firewall interno não conseguia acompanhar a demanda baseada na nuvem.
“Ser capaz de aplicar as regras políticas de forma eficiente e segura foi fundamental porque temos muitas pessoas e sistemas. Com firewalls, isso pode levar meses”, explicou o líder de TI da escola. “Você precisa usar o controle de mudanças. Se o hardware falhar, você colocará em risco todo o data center. Isso cria pontos de falha e complexidade e sobrecarrega a equipe da rede. Cada novo banco de dados exige coordenação.”
A equipe escolheu uma abordagem baseada em software com a Illumio.
“Estávamos interessados na microssegmentação, mas não queríamos usar ACLs na infraestrutura de rede, o que exigiria um ambiente de teste e janelas de interrupção. Ao mesmo tempo, nossa equipe de segurança queria começar a usar os recursos de segurança nativos do nosso Servidores Windows. O Illumio ASP marcou todos os requisitos para ambas as implementações — foi nossa primeira e última escolha. Isso nos permite ver todos os fluxos de comunicação em nosso ambiente de produção ao vivo e testar as regras de firewall sem enfrentar interrupções.”
A Illumio ajuda os setores de saúde, acadêmicos e outros setores essenciais a manter suas PII seguras por meio de uma melhor microssegmentação que separa a segurança Zero Trust das restrições da rede. Saiba mais sobre a jornada de uma escola de saúde para melhorar a segurança na nuvem para ensino à distância no estudo de caso aqui.
