Empresas e autoridades públicas dependem de bancos de dados para armazenar e processar grandes volumes de dados. Esses bancos de dados normalmente gerenciam informações críticas para os negócios e altamente sensíveis, como dados financeiros (registros fiscais, contas bancárias e cartões de crédito), dados pessoais (endereços residenciais e arquivos de funcionários) ou dados de produtos. Como os bancos de dados geralmente estão integrados a aplicações e serviços web, eles permanecem vulneráveis a ameaças cibernéticas tanto internas quanto externas.
Muitos CIOs e líderes de TI acreditam que sua infraestrutura de TI está adequadamente protegida contra ciberataques. Firewalls de múltiplos níveis, software antivírus e sistemas de detecção e prevenção de intrusão (IPS)(1) proporcionam uma falsa sensação de segurança. O que muitos não percebem é que o maior risco de segurança muitas vezes vem de dentro — dos funcionários e oficiais que usam esses sistemas.
Os funcionários e autoridades frequentemente são vítimas de e-mails de phishing ou de ligações externas enganosas, clicando sem querer em links maliciosos ou compartilhando informações confidenciais com estranhos. Isso geralmente se deve ao fato de que os e-mails de phishing e os autores de chamadas não são mais reconhecidos como uma ameaça. Com o avanço do engano orientado por IA, é cada vez mais difícil de
identificar ameaças. O estresse e a pressão do tempo podem comprometer a tomada de decisões, tornando os colaboradores mais propensos a cometer erros dispendiosos.
Como resultado, os ataques cibernéticos continuam tendo sucesso. Em um estudo recente da Agência Europeia de Cibersegurança (ENISA)(2), especialistas em segurança constataram que empresas e autoridades na União Europeia, em particular, tornaram-se alvo de ataques cibernéticos nos últimos 12 meses.
Número de incidentes - UE e global (julho de 2023 - junho de 2024)
Uma análise de setores específicos revela que o setor público é particularmente afetado, respondendo por 19% dos ataques, seguido pelo setor de transporte (11%) e pelos setores bancário e financeiro (9%). Isso não é surpreende, já que muitos ainda se lembram dos ataques cibernéticos de grande repercussão que tiveram como alvo o Bundestag alemão, municípios, hospitais universitários, autoridades policiais dos Países Baixos e cidadãos e autoridades espanholas.(3-8)
Setores afetados – O setor público é o mais afetado! (Julho de 2023 – Junho de 2024)
Ao analisar as ameaças cibernéticas por categoria, a ameaça direta aos dados armazenados — principalmente bancos de dados — representa 45%, sendo que 19% dos incidentes envolvem violações de dados e 26% envolvem ataques de ransomware (2).
Análise de ameaças por tipo
De acordo com o Artigo 32 do GDPR(9) (Segurança do processamento), é necessário o seguinte: "...o controlador e o processador devem implementar medidas técnicas e organizacionais apropriadas para garantir um nível de segurança adequado ao risco."
Especificamente, destaca-se "a pseudonimização e criptografia de dados pessoais "como medida eficaz.
Além disso, o Escritório Federal Alemão de Segurança da Informação (BSI) recomenda a criptografia como uma estratégia chave para minimizar o risco das operações de TI em sua Padrões BSI (10) 200-1 a 200-4.
Abaixo de Artigo 33 do GDPR(9) (Notificação de violação de dados pessoais à autoridade supervisora), as empresas são obrigadas a notificar uma violação de dados pessoais à autoridade supervisora em até 72 horas após terem conhecimento da violação. O controlador de dados deve notificar a autoridade supervisora relevante de acordo com o Artigo 55, a menos que a violação provavelmente não represente um risco aos direitos dos indivíduos. Se a notificação for atrasada em mais de 72 horas, uma explicação para o atraso deve ser fornecida.
Apesar das diretrizes claras, ainda há incerteza no mundo da TI quanto à aplicação correta dos requisitos de relatório do GDPR.
Para esclarecer isso, o Comitê Europeu de Proteção de Dados (EDPB) desenvolveu diretrizes(11), incluindo estudos de caso.
Em “CASO Nº 01: Ransomware com backup adequado e sem exfiltração”, o seguinte cenário é descrito:
"Os sistemas de TI de uma pequena empresa de manufatura foram alvo de um ataque de ransomware, e os dados armazenados nesses sistemas foram criptografados. O controlador de dados usou criptografia em repouso, portanto, todos os dados acessados pelo ransomware foram armazenados de forma criptografada usando um algoritmo de criptografia de última geração. A chave de descriptografia não foi comprometida no ataque, ou seja, o invasor não conseguiu acessá-la nem utilizá-la indiretamente. Consequentemente, o invasor só teve acesso a dados pessoais criptografados."
As medidas necessárias estão definidas na tabela publicada nas diretrizes:
As medidas necessárias são justificadas da seguinte forma:
Neste exemplo, o atacante teve acesso a dados pessoais e a confidencialidade do texto cifrado contendo dados pessoais em forma criptografada foi comprometida. No entanto, quaisquer dados que possam ter sido exfiltrados não podem ser lidos ou utilizados pelo perpetrador, pelo menos por enquanto. A técnica de criptografia usada pelo controlador de dados é de ponta. A chave de descriptografia não foi comprometida e presumivelmente também não pôde ser determinada por outros meios. Em consequência, os riscos à confidencialidade dos direitos e liberdades de natural as pessoas são reduzidas ao mínimo, a menos que haja progresso criptoanalítico que torne os dados criptografados inteligíveis no futuro.
Por esse motivo, a empresa não foi obrigada a relatar o incidente às autoridades ou às pessoas afetadas.
Ao comparar o custo da implementação de medidas de segurança de TI com a possível perda de reputação, vendas e confiança do cliente, os benefícios do investimento proativo rapidamente se tornam claros.
No mundo hiperconectado de hoje, onde as notícias se espalham instantaneamente pelas plataformas online e mídias sociais, as organizações não devem subestimar os danos a longo prazo que um ciberataque pode causar.
Para reduzir os riscos, a Software AG recomenda enfaticamente que seus clientes implementem criptografia (12) e auditoria (12) por sua Adabas bancos de dados para manter os riscos de TI em no mínimo. Ambas as medidas se complementam e formam o mix tecnológico ideal para proteger contra ataques e vazamentos indesejados de dados, internos e externos.
(1) https://www.gartner.com/reviews/market/intrusion-prevention-systems
(2) https://www.enisa.europa.eu/publications/enisa-threat-landscape-2024
(3) https://www.auswaertiges-amt.de/en/newsroom/news/hacker-attack-bundestag-2345580
(4) https://www.dw.com/en/germany-cybercrime-by-foreign-actors-rose-by-28-in-2023/a-69065980
(5) https://www.heise.de/en/news/After-cyber-attack-Suedwestfalen-IT-wants-to-reform-itself-profoundly-10188167.html
(6) https://www.bbc.com/news/technology-54204356
(7) https://www.dutchnews.nl/2024/09/police-leak-leaves-data-of-62000-officers-in-hands-of-hackers/
(8) https://www.statista.com/topics/7011/cyber-crime-in-spain/#topicOverview
(9) https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX:32016R0679
(10) https://www.bsi.bund.de/EN/Themen/Unternehmen-und-Organisationen/Standards-und-Zertifizierung/IT-Grundschutz/it-grundschutz_node.html
(11) https://www.edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-012021-examples-regarding-personal-data-breach_en
(12) https://www.softwareag.com/app/uploads/2025/08/ebook-adabas-maximize-security-en.pdf.sagdownload.inline.1669044425901.pdf
