{"id":532,"date":"2025-06-01T22:25:00","date_gmt":"2025-06-02T02:25:00","guid":{"rendered":"https:\/\/www.softwareag.com\/?p=532"},"modified":"2026-03-17T14:14:49","modified_gmt":"2026-03-17T18:14:49","slug":"encryption-companies-and-authorities-report-cyberattacks","status":"publish","type":"post","link":"https:\/\/www.softwareag.com\/br\/blog\/security\/encryption-companies-and-authorities-report-cyberattacks\/","title":{"rendered":"A criptografia isenta empresas e autoridades europ\u00e9ias da obriga\u00e7\u00e3o de relatar ataques cibern\u00e9ticos"},"content":{"rendered":"

Empresas e autoridades p\u00fablicas dependem de bancos de dados para armazenar e processar grandes quantidades de dados. Em geral, esses bancos de dados gerenciam informa\u00e7\u00f5es cr\u00edticas para os neg\u00f3cios e altamente confidenciais, como dados financeiros (registros fiscais, contas banc\u00e1rias e cart\u00f5es de cr\u00e9dito), dados pessoais (endere\u00e7os residenciais e arquivos pessoais) ou dados de produtos. Como os bancos de dados geralmente s\u00e3o integrados a aplicativos e servi\u00e7os da Web, eles permanecem vulner\u00e1veis a amea\u00e7as cibern\u00e9ticas internas e externas.<\/p>\n\n\n\n

Muitos CIOs e l\u00edderes de TI acreditam que sua infraestrutura de TI est\u00e1 adequadamente protegida contra ataques cibern\u00e9ticos. Firewalls de v\u00e1rios n\u00edveis, software antiv\u00edrus e sistemas de detec\u00e7\u00e3o e preven\u00e7\u00e3o de intrus\u00f5es (IPS)(1) proporcionam uma falsa sensa\u00e7\u00e3o de seguran\u00e7a. O que muitos n\u00e3o reconhecem \u00e9 que o maior risco de seguran\u00e7a geralmente vem de dentro - dos funcion\u00e1rios e dos oficiais que usam esses sistemas.<\/p>\n\n\n\n

Os funcion\u00e1rios e as autoridades frequentemente s\u00e3o v\u00edtimas de e-mails de phishing ou de liga\u00e7\u00f5es externas enganosas, clicando sem querer em links maliciosos ou compartilhando informa\u00e7\u00f5es confidenciais com estranhos. Isso geralmente se deve ao fato de que os e-mails de phishing e os autores de chamadas n\u00e3o s\u00e3o mais reconhecidos como uma amea\u00e7a. Com o avan\u00e7o do engano orientado por IA, \u00e9 cada vez mais dif\u00edcil
identificar amea\u00e7as. O estresse e a press\u00e3o do tempo podem levar a lapsos de julgamento, tornando os funcion\u00e1rios mais propensos a cometer erros dispendiosos.<\/p>\n\n\n\n

Como resultado, os ataques cibern\u00e9ticos continuam a ter sucesso. Em um estudo recente da Ag\u00eancia Europeia de Seguran\u00e7a Cibern\u00e9tica (ENISA)(2) , especialistas em seguran\u00e7a descobriram que empresas e autoridades da Uni\u00e3o Europeia, em particular, tornaram-se alvo de ataques cibern\u00e9ticos nos \u00faltimos 12 meses.<\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n

N\u00famero de incidentes - UE e global (julho de 2023 - junho de 2024)<\/p>\n\n\n\n

An analysis of individual sectors reveals that the public sector is particularly hard hit, accounting for 19% of attacks, followed by the transport sector (11%) and banking and finance (9%). This is not surprising\u2014many still remember the high-profile cyberattacks targeting the German Bundestag, municipalities, university hospitals, Dutch law enforcement, and Spanish citizens and authorities.(3-8)<\/sup><\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n

Setores afetados - O setor p\u00fablico \u00e9 o mais afetado! (Julho de 2023 - junho de 2024)<\/p>\n\n\n\n

Analisando as amea\u00e7as cibern\u00e9ticas por categoria, a amea\u00e7a direta aos dados armazenados - principalmente bancos de dados - \u00e9 de 45%, com 19% de incidentes envolvendo viola\u00e7\u00f5es de dados e 26% de incidentes envolvendo ataques de ransomware (2)<\/sup>.<\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n

An\u00e1lise de amea\u00e7as por tipo<\/p>\n\n\n\n

Under Article 32 of the GDPR<\/strong>(9)<\/sup> (Security of Processing) the following is required: \u201c\u2026the controller and the processor shall implement appropriate technical and organizational measures to ensure a level of security appropriate to the risk.\u201d<\/p>\n\n\n\n

Especificamente, ele destaca \"a pseudonimiza\u00e7\u00e3o e a criptografia de dados pessoais\" como uma medida eficaz. <\/p>\n\n\n\n

Additionally, the German Federal Office for Information Security<\/strong> (BSI) also recommends encryption as a key strategy to minimize the risk of IT operations in its BSI Standards(10)<\/sup> 200-1 to 200-4.<\/strong><\/p>\n\n\n\n

Under Article 33<\/strong> of the GDPR<\/strong>(9)<\/sup> (Notification of a personal data breach to the supervisory authority), companies are required to notify a personal data breach to the supervisory authority within 72 hours of becoming aware of the breach. The data controller must notify the relevant supervisory authority in accordance with Article 55 unless the break is unlikely to risk individuals\u2019 rights. If the notification is delayed beyond 72 hours, an explanation for the delay must be provided.<\/p>\n\n\n\n

 Apesar das diretrizes claras, ainda h\u00e1 incerteza no mundo da TI quanto \u00e0 aplica\u00e7\u00e3o correta dos requisitos de relat\u00f3rio do GDPR.<\/p>\n\n\n\n

To clarify this, the European Data Protection Board<\/strong> (EDPB) has developed guidelines(11)<\/sup>, including case studies.<\/p>\n\n\n\n

In \u201cCASE No. 01: Ransomware with proper backup and without exfiltration<\/strong>,\u201d the following scenario is described:<\/p>\n\n\n\n

 \"Os sistemas de computador de uma pequena empresa de manufatura foram expostos a um ataque de ransomware, e os dados armazenados nesses sistemas foram criptografados. O controlador de dados usou criptografia em repouso, portanto, todos os dados acessados pelo ransomware foram armazenados de forma criptografada usando um algoritmo de criptografia de \u00faltima gera\u00e7\u00e3o. A chave de descriptografia n\u00e3o foi comprometida no ataque, ou seja, o invasor n\u00e3o p\u00f4de acess\u00e1-la nem us\u00e1-la indiretamente. Consequentemente, o invasor s\u00f3 teve acesso a dados pessoais criptografados.\"<\/p>\n\n\n\n

 As medidas necess\u00e1rias est\u00e3o definidas na tabela publicada nas diretrizes:<\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n

As medidas necess\u00e1rias s\u00e3o justificadas da seguinte forma:<\/p>\n\n\n\n

\"Neste exemplo, o invasor teve acesso a dados pessoais e a confidencialidade do texto cifrado contendo dados pessoais em formato criptografado foi comprometida. Entretanto, quaisquer dados que possam ter sido exfiltrados n\u00e3o podem ser lidos ou usados pelo criminoso, pelo menos por enquanto. A t\u00e9cnica de criptografia usada pelo controlador de dados est\u00e1 em conformidade com o estado da arte. A chave de descriptografia n\u00e3o foi comprometida e, presumivelmente, tamb\u00e9m n\u00e3o poderia ser determinada por outros meios. Consequentemente, os riscos de confidencialidade para os direitos e liberdades das pessoas f\u00edsicas s\u00e3o reduzidos ao m\u00ednimo, exceto pelo progresso criptoanal\u00edtico que torna os dados criptografados intelig\u00edveis no futuro.\"<\/p>\n\n\n\n

 Por esse motivo, a empresa n\u00e3o foi obrigada a relatar o incidente \u00e0s autoridades ou \u00e0s pessoas afetadas.<\/strong><\/p>\n\n\n\n

Ao comparar o custo da implementa\u00e7\u00e3o de medidas de seguran\u00e7a de TI com a poss\u00edvel perda de reputa\u00e7\u00e3o, vendas e confian\u00e7a do cliente, os benef\u00edcios do investimento proativo rapidamente se tornam claros.<\/p>\n\n\n\n

 No mundo hiperconectado de hoje, em que as not\u00edcias se espalham instantaneamente por meio de plataformas on-line e m\u00eddias sociais, as organiza\u00e7\u00f5es n\u00e3o devem subestimar os danos de longo prazo causados por um ataque cibern\u00e9tico.<\/p>\n\n\n\n

To mitigate risks, Software AG strongly recommends that its customers implement encryption<\/strong>(12) <\/sup>and auditing<\/strong>(12)<\/sup> for our Adabas databases to keep IT risks at a minimum. Both measures complement each other and form the optimal technology mix to protect against attacks and unwanted internal and external data leaks.<\/p>\n\n\n\n

(1) https:\/\/www.gartner.com\/reviews\/market\/intrusion-prevention-systems<\/a><\/sub>
(2) https:\/\/www.enisa.europa.eu\/publications\/enisa-threat-landscape-2024<\/a><\/sub>
(3) https:\/\/www.auswaertiges-amt.de\/en\/newsroom\/news\/hacker-attack-bundestag-2345580<\/a><\/sub>
(4) https:\/\/www.dw.com\/en\/germany-cybercrime-by-foreign-actors-rose-by-28-in-2023\/a-69065980<\/a><\/sub>
(5) https:\/\/www.heise.de\/en\/news\/After-cyber-attack-Suedwestfalen-IT-wants-to-reform-itself-profoundly-10188167.html<\/a><\/sub>
(6) https:\/\/www.bbc.com\/news\/technology-54204356<\/a><\/sub>
(7) https:\/\/www.dutchnews.nl\/2024\/09\/police-leak-leaves-data-of-62000-officers-in-hands-of-hackers\/<\/a><\/sub>
(8) https:\/\/www.statista.com\/topics\/7011\/cyber-crime-in-spain\/#topicOverview<\/a><\/sub>
(9) https:\/\/eur-lex.europa.eu\/legal-content\/EN\/TXT\/PDF\/?uri=CELEX:32016R0679<\/a><\/sub>
(10) https:\/\/www.bsi.bund.de\/EN\/Themen\/Unternehmen-und-Organisationen\/Standards-und-Zertifizierung\/IT-Grundschutz\/it-grundschutz_node.html<\/a><\/sub>
(11) https:\/\/www.edpb.europa.eu\/our-work-tools\/our-documents\/guidelines\/guidelines-012021-examples-regarding-personal-data-breach_en<\/a><\/sub>
(12) https:\/\/www.softwareag.com\/app\/uploads\/2025\/08\/ebook-adabas-maximize-security-en.pdf.sagdownload.inline.1669044425901.pdf<\/a><\/sub><\/p>\n\n\n\n

Leia mais aqui<\/a><\/p>\n\n\n\n

\n