Introdução

Em maio de 2023, um investidor processou a Coinbase por "insider trading" nos Estados Unidos. O CEO, um membro do conselho e outros executivos da referida corporação de intermediação de criptomoedas foram acusados de utilizarem informações privilegiadas para evitar perdas de mais de US$ 1 bilhão. Além de ter vendido rapidamente US$ 2,9 bilhões em ações antes que a administração da Coinbase revelasse posteriormente "informações negativas e materiais que destruíram o otimismo do mercado"¹, a empresa também é acusada de coletar ilegalmente impressões digitais e modelos faciais dos usuários - dados obrigatórios para a abertura de uma conta.²

Afirma-se que o armazenamento de tais informações biométricas sensíveis expõem os usuários a altos riscos de violação de privacidade por meio de vazamento de dados. Hoje, em uma conjuntura global pautada pela digitalização dos documentos, compartilhamento em nuvem e ainda recentes legislações sobre a aplicação de tecnologias de proteção aos dados armazenados, a divulgação de informações por agentes internos - insiders - para fins de benefício próprio tem se tornado cada vez mais comum. O presente artigo apresentará breve síntese deste fenômeno, seguido por métodos de prevenção contra insider trading e consequente discussão.

Vazamento de Dados

A violação de dados pessoais vem se tornando uma prática regular, em que apenas um vazamento pode resultar em milhões de usuários com dados pessoais expostos e causar prejuízos financeiros na casa dos milhões de dólares. Conforme o Relatório de Custo de Violação dos Dados em 2022, publicado pela IBM Security e pelo Ponemon Institute³, com escopo de 550 empresas impactadas por violação de dados, em 17 países e regiões e em 17 setores diferentes, foi calculado que o custo total médio global de uma violação de dados é de US$ 4,35 milhões. Tal prática vem infelizmente se tornando mais fácil de ser implementada devido não só à incipiente regulação jurídico-econômica de ferramentas como a Inteligência Artificial, mas também às recentes legislações sobre proteção de dados (Regulamento Geral sobre a Proteção de Dados - GDPR no direito europeu - data de 2018 enquanto a Lei Geral de Proteção de Dados - LGPD no direito brasileiro - data de 2020). Essa prática também se acentua devido a ferramentas de armazenamento em nuvem e drives compartilhados: o relatório supracitado⁴ afirma que 45% das empresas admitiram violação e vazamento das informações da nuvem.

Os vazamentos intencionais ocorrem por meio de outsiders ou insiders. O primeiro abrange agentes externos, por intermédio de ciberataques, hackeamento, vírus, malwares e engenharia social.⁵ Exemplos dessas condutas podem envolver um agente externo que tem a capacidade de explorar um backdoor do sistema ou controles de acesso mal configurados para contornar o mecanismo de autenticação de um servidor e obter acesso a informações confidenciais, ou, por meio da engenharia social, funcionários e clientes podem ser enganados através de emails contendo malwares disfarçados para que entreguem dados valiosos da empresa a criminosos.⁶ Já a segunda categoria é formada por agentes internos, não necessariamente funcionários, mas também parceiros, advogados, técnicos de T.I. ou qualquer outro indivíduo que possua acesso legítimo às informações confidenciais e utilize-as para vantagem pessoal ou espionagem empresarial/bancária.⁷ Sua forma mais comum é a do insider trading⁸: a venda ou aquisição de ações após conhecimento da violação de dados ou de informações privilegiadas, mas antes do anúncio público - a exemplo da equipe da Coinbase; e a venda ou uso de informações privilegiadas de clientes - dados de identificação pessoal (biometria), financeira (contas, senhas e históricos bancários) e sexual, religiosa, urbanística, etc.

Detecção e Prevenção contra o Insider Trading

Como revela o "Custo de Ameaças Internas de 2022: Relatório Global", os casos de ameaças internas aumentaram 44% nos últimos dois anos, com custos por incidente subindo mais de um terço, para US$ 15,38 milhões.⁹ Da mesma forma, o Relatório de Ameaças Internas do IBM Security X-Force 2021 afirma que 40% dos incidentes de vazamento de dados envolveram um funcionário com acesso privilegiado aos ativos da empresa.¹⁰ Diante desse cenário, urge pontuar as medidas necessárias para detectar e prevenir a ação de insiders: para isso, é necessária a ação conjunta de sistemas de prevenção e detecção de vazamento de dados (DLPD)¹¹ e técnicas de gerenciamento de equipes e formação de profissionais.

Em relação à primeira, existem duas técnicas DLPD: as medidas de segurança básica (firewall, software antivírus, detecção de intrusão, autenticação, controle de acesso e criptografia) e as abordagens específicas.¹² Estas se dividem em: análise baseada em conteúdo e análise baseada em contexto. A primeira funciona por meio da varredura de dados confidenciais em notebooks, servidores, nuvem ou em trânsito da rede de saída, identificando o conteúdo das informações da impressão digital de dados, análise léxica (padronização das estruturas sintáticas) e análise estatística dos dados monitorados a fim de protegê-las.¹³ Na impressão digital de dados, por exemplo, o destaque de certas assinaturas ou palavras-chave confidenciais são extraídas e comparadas com o conteúdo monitorado para identificar possíveis vazamentos de dados.¹⁴ Apesar de tal método funcionar de modo eficiente para a proteção contra perdas acidentais, ainda pode ser contornado por alguns insiders.¹⁵

No tocante à análise por contexto, ao invés de realizar uma varredura de dados confidenciais, os padrões de acesso aos dados normais de usuários são planificados e categorizados, de forma a identificar o momento em que um agente se desvia do perfil pré-estabelecido, a fim de prevenir ameaças internas.¹⁶ A criação de um sistema de monitoramento interno, por exemplo, é capaz de detectar indivíduos maliciosos que, apesar de possuírem acesso legítimo às informações pessoais de outrem, apresentam padrões de navegação destoantes de seu padrão específico.¹⁷ Tal método, ainda que não priorizado pelos pesquisadores da área, diferentemente daquele baseado em conteúdo, é capaz de discernir com mais exatidão as ameaças de insiders.¹⁸

Por fim, com relação às metodologias não computacionais, pode-se destacar: a instituição de treinamento regular de conscientização sobre segurança cibernética e exercícios práticos caso dados sejam violados e vazados; exames de incidentes anteriores de ataques virtuais; lembrança incisiva aos funcionários demitidos ou que se demitiram sobre políticas de segurança de dados da empresa; monitoramento de funcionários insatisfeitos ou que possivelmente estejam comprometidos com outras empresas/bancos; vigilância constante daqueles que têm acesso às informações compartilhadas na nuvem; separação entre funcionários habilitados ao manuseio ou guarda dos dados e aqueles que prestam serviços eventuais - técnicos de T.I., advogados, entre outros.¹⁹

Apesar de tal método ser importante para prevenir vazamentos e identificar insiders, é perceptível que os sistemas virtuais de detecção são extremamente mais precisos em relação aos métodos de gerenciamento de equipes. Em um ambiente bancário, por exemplo, frente a uma (possível) iminente crise financeira, a exemplo da Coinbase, a "conscientização" dos agentes ou o curso de gestão responsável de dados pessoais impactará muito menos a decisão de manusear impropriamente certas informações confidenciais em relação à um sistema computacional de detecção automática de ações desviantes dos padrões de determinados indivíduos, conforme a análise por contexto. 

Considerações Finais

A digitalização de processos de cadastramentos, inscrições, solicitações e até mesmo de documentos, isto é, a transferência de dados físicos para o ambiente virtual, facilitou sobremaneira seu acesso, seja simultâneo - por meio da nuvem, ou offline - por servidores físicos. No entanto, tal agilidade veio acompanhada do inevitável risco de vazamento de dados, em especial àqueles sensíveis, como os financeiros e biométricos - já que a face, a pupila e as digitais não podem ser facilmente modificadas entre os indivíduos. Além disso, a grande quantidade de informações armazenadas eleva o potencial risco financeiro/industrial e o consequente danos às empresas e aos usuários de bancos caso seus dados pessoais sofram vazamento.²⁰

No que tange às medidas de prevenção e identificação de insider trading, apesar da gestão de equipes e cursos de conscientização sobre as consequências jurídicas do manuseio impróprio de dados pessoais alheios também serem necessárias, as medidas DLPD fundamentadas na análise de conteúdo e de contexto são mais inibitórias e eficazes, pelo menos a curto prazo.

----------

ABERNETHY, Darren. Insider Trading in the Data Breach Context: Proactive Corporate Planning and Regulatory Enforcement. GreenbergTraurig. 18/05/2020. Disponível em: . Acesso em: 12 de junho de 2023.

BURNSON, Robert. Investidor processa Coinbase por 'insider trading' nos EUA. Valor Econômico,02/05/2023. Disponível em: . Acesso em: 12 de junho de 2023.

CHENG, Long; LIU, Fang; YAO, Danfeng. Enterprise data breach: causes, challenges, prevention, and future directions. Wiley Interdisciplinary Reviews: Data Mining and Knowledge Discovery, v. 7, n. 5, p. 2; 2017. Disponível em: . Acesso em: 12 de junho de 2023.

Equipe InfoMoney. Coinbase roubou dados de usuários e CEO praticou insider trading, acusam investidores nos EUA. InfoMoney, 02/05/2023. Disponível em: . Acesso em:  12 de junho de 2023.

GOLDSTEIN, Jeremy. What Are Insider Threats and How Can You Mitigate Them? Security Intelligence. 16/07/2020. Disponível em: . Acesso em: 12 de junho de 2023.

Insider Threats Are Becoming More Frequent and More Costly: What Businesses Need to Know Now. ID WatchDog. Disponível em: . Acesso em 12 de junho de 2023.

PETROPOULOS, Mathew S; Ngo HQ, Upadhyaya S. A data-centric approach to insider attack detection in database systems. In: Proceedings of the 13th International Conference on Recent Advances in Intrusion Detection, RAID'10, Ottawa, Ontario, Canada. Berlin, Heidelberg: Springer-Verlag; 2010, 382-401.

Ponemon Institute. 2022 Cost of Insider Threats: Global Report. 2022. Disponível em: . Acesso em: 12 de junho de 2023.

Relatório de Custo da Violação de Dados 2022. IBM Security. São Paulo. 07/2022. p. 19. Disponível em: . Acesso em 12 de junho de 2023.

2021 IBM Security X-Force Insider Threat Report. IBM Security. 05/2021. Disponível em: . Acesso em: 12 de junho de 2023.

----------