Na quarta -feira, a equipe nacional de resposta a serviços de emergência cibernética (PKCERT) emitiu diretrizes de proteção de dados para organizações que processam as informações pessoais dos cidadãos, citando um ambiente de ciberespaço cada vez mais instável.
A PKCert é uma empresa federal para proteger os ativos digitais do Paquistão, as informações confidenciais e a infraestrutura crítica de ataques cibernéticos, ciberterrorismo e ciberespionagem.
Os avisos aplicados a empresas com informações pessoalmente identificáveis (PII) fornecem medições imediatas, de médio e longo prazo, incluindo a classificação de conjuntos de dados com base em sensibilidade, métodos de criptografia avançada e autenticação de vários fatores.
As organizações para coleta, processamento, armazenamento ou transmissão de PIIs podem incluir “serviços financeiros, telecomunicações e provedores de Internet, comerciais e logísticas (empresas), agências governamentais, cuidados de saúde, instituições educacionais, terceiros e provedores de serviços de terceirização.
Em sua recomendação, a PKCERT instruiu as empresas a manter atualizações em seus sistemas de processamento PII, reter PII por apenas períodos legalmente necessários e descartar informações desatualizadas para impedir que sejam roubadas.
Também instou as organizações a alinhar suas práticas com a Política Nacional de Segurança Cibernética 2021 (NCSP) e a prevenção da Lei de Crimes Eletrônicos de 2016.
O NCSP “tem a obrigação de proteger a confidencialidade, integridade e disponibilidade dos dados pessoais dos cidadãos por uma questão de segurança nacional e confiança pública”, diz o consultivo.
O PKCERT solicitou uma revisão imediata das organizações do sistema usadas para processar o PII, o treinamento de segurança recomendado para todas as informações pessoais de processamento de funcionários e monitoramento contínuo para evitar o acesso não autorizado.
Recomendado pela PKCert Advisory.
Descrevendo as vulnerabilidades e as ameaças em potencial, os grupos de segurança cibernética destacaram a necessidade de proteção de dados, dizendo “a necessidade de maior sofisticação de crimes cibernéticos, ampla exploração de sistemas falsos e práticas negligentes de processamento de dados”.
É detalhado que os atores de ameaças possam incluir:
Gangues cibercriminais: monetize o PII roubado por meio de golpes de identidade, kits de phishing e mercados da Web Dark. Grupos APT patrocinados pelo Estado: o uso violou os dados do cidadão para vigilância, manipulação política e comícios de relatórios de inteligência. Hacktivists: alvo as organizações por razões ideológicas e geralmente revelam registros sensíveis publicamente. Insider malicioso: funcionários ou contratados usam acesso privilegiado para ganho ou vingança pessoal.
Segundo o PKCERT, a proteção de dados insuficiente pode levar a “roubo de identificação, fraude, violações de privacidade maciça, interrupção operacional, erosão da confiança pública, riscos de segurança nacional, consequências legais e regulatórias”.
Nas recomendações para indivíduos, o aviso descreveu as precauções, como o envio de CNICs e documentos pessoais somente quando necessário, usando senhas fortes, permitindo autenticação multifactor e evitar o compartilhamento de informações pessoais on -line.
Em maio, o PKCERT emitiu um aviso de consultoria de que o login de elegibilidade e senhas para mais de 180 milhões de usuários da Internet no Paquistão foram roubados em violações globais de dados, pedindo aos cidadãos que tomassem proteções imediatas.
Em março de 2024, a equipe de pesquisa conjunta (JIT), formada para investigar vazamentos de dados da Agência Nacional de Banco de Dados e Registro (NADRA), descobriu que as qualificações de até 2,7 milhões de cidadãos foram comprometidos entre 2019 e 2023.
