Tem sido amplamente divulgado por inúmeros órgãos da imprensa brasileira um gigantesco vazamento de dados na internet, o qual acarretou a exposição de aproximadamente 223 milhões de informações relacionadas ao Cadastro de Pessoas Físicas – CPF, sendo que as informações vazadas incluem dados como foto, endereço, telefone, e-mail e salário.
Por si só, esta é uma situação, no mínimo, alarmante pelo simples fato de que estas informações, em mãos erradas, poderão permitir a utilização das mesmas para fins criminosos, prejudicando uma infinidade de pessoas.
Através de informações presentes na base de dados vazada, especula-se que a origem das informações seria a empresa de análise de crédito Serasa Experian, com peremptória negativa daquela e a afirmação de estar investigado o caso.
Um incidente como este revela, de forma ampla e cristalina, a importância da investigação em casos relacionados ao armazenamento e a proteção de dados.
O vazamento de dados é a transmissão não autorizada de informações de dentro de uma organização para um destino ou destinatário externo. O termo pode ser usado para descrever dados que são transferidos eletronicamente ou fisicamente.
Um estudo da empresa britânica “Hiscox” descobriu que 61% das empresas do Reino Unido foram violadas no ano de 2019, demonstrando o quão generalizada é este tipo de ameaça.
O Relatório de preparação cibernética da "Hiscox" de 2020 mostra que o cenário cibernético está amadurecendo, muito embora as perdas tenham disparado, concluindo-se que tal tenha acontecido pelo fato das organizações terem investido pesado em mão de obra especializada, sendo que a proporção de especialistas em negócios de segurança aumentou de 10% para 18% desde 2019.
Tal situação teria ocorrido após dois anos de crescimento estagnado, sugerindo que o mundo corporativo está se tornando mais bem equipado para se proteger contra o crime cibernético.
O ritmo de gastos também acelerou, de US$ 1,47 milhão para US$ 2,05 milhões em média, o que permite concluir que as corporações estrão realmente realizando contratações de especialistas e investindo em ferramentas de proteção cibernética.
A ameaça do crime cibernético não diminui de forma alguma e é fato que grandes empresas ainda estão na linha de fogo, com mais da metade das organizações em escala corporativa relatando pelo menos um incidente cibernético.
Mas nem por isso devemos deixar de lançar alertas para o fato de que se uma organização ainda não sofreu uma violação de dados, provavelmente é apenas uma questão de tempo.
Na verdade, uma corporação já pode ter sido vítima e simplesmente ainda nem tem conhecimento quanto a isto, uma vez que o tempo médio para a detecção de um incidente de segurança ser de 197 dias em média, ou seja, quase sete meses!
Isto nos permite conjecturar sobre quanto dano pode estar sendo feito neste período, uma vez que milhares, senão milhões, de registros, podem ter sido comprometidos.
Fato é que existem vários custos associados a uma violação de dados, como: 1) Compensar os clientes afetados; 2) Configurar esforços de resposta a violações, como atendimento aos clientes afetados; 3) Investigar o incidente, o que pode incluir a contratação de terceiros ou o pagamento de horas extras para equipes de segurança; 4) Abalo de imagem contribuindo por exemplo para queda nos preços de ações de empresas que as comercializa em bolsa.
Também existe a ameaça de penalidades regulatórias após uma violação de dados, situação decorrente dos poderes disciplinares introduzidos no LGPD (Lei Geral de Proteção de Dados).
Ter responsabilidade e compromisso com a preservação dos dados corporativos é de extrema importância para uma organização, pois, quando há violações ou gargalos de segurança trazendo vazamento de informações, as consequências podem ser muito graves.
Existem muitos tipos diferentes de vazamento de dados e é importante entender que o problema pode ser iniciado por meio de uma fonte externa ou interna, sendo fato que as medidas de proteção precisam abordar todas as áreas para garantir que as ameaças mais comuns de vazamento de dados sejam evitadas.
No caso ora discutido, torna-se evidente um aspecto que, lamentavelmente, parece ser uma constante em nosso país: a falta de investigação aprofundada de incidentes de segurança cibernética.
Fato notório em todo o mundo desenvolvido é que as investigações são essenciais para descobrir-se atividades criminosas cibernéticas.
Após um incidente de segurança cibernética, um componente crítico de uma resposta eficiente é uma investigação completa e a elaboração de relatórios críticos circunstanciados.
São necessários profissionais treinados que possam identificar as informações corretas para coletá-las, armazená-las em um local seguro e processá-las, visando à elaboração de relatórios inteligentes, os quais devem ser utilizados para a aplicação da lei penal e a adoção de esforços que permitam a tomada das melhores decisões, tudo voltado melhorias na defesa cibernética e a proteção de informações sensíveis.
Investigações são benéficas para responsabilização penal pela prática de crimes cibernéticos, bem como podem ajudar gestores e administradores a entender o que deu errado.
As lições aprendidas podem ser desenvolvidas a partir de relatórios de investigação para que melhores defesas de segurança cibernética possam ser projetadas, configuradas e implementadas, evitando-se, assim, o mesmo incidente no futuro.
Fato inusitado diante do quadro exposto, é justamente a inércia da ANPD – Agência Nacional de Proteção de Dados no caso presente, levando em consideração o seu mais absoluto silêncio e o desconhecimento das iniciativas que estaria adotando para mitigar as consequências deste megavazamento de dados, indicando responsabilidades e alertando corporações sobre a necessidade da adoção de medidas de proteção.
O silencio do órgão chega a soar de forma ensurdecedora, inclusive pelo fato de que até o momento nem mesmo apresentou nenhuma das propostas regulamentares necessárias para a efetivação da política nacional de proteção de dados.
Provas e indícios de crimes cibernéticos desaparecem na velocidade da luz, levando assim a uma inadmissível situação de impunidade e sinalizando de maneira extremamente negativa sobre a atuação daquela agência.
É extremamente preocupante que passados vários dias desde que se tornou público o megavazamento de dados, não se tenha notícias sobre as providências que estão sendo adotadas pela ANPD, até mesmo com a divulgação de informações com o objetivo de dar maior tranquilidade à população no que tange a má utilização de seus dados pessoais.
Necessário mencionarmos que a cultura corporativa brasileira sempre levou empresas a ocultarem vazamento de informações em suas bases de dados, minimizando tais situações e isentando-se de suas responsabilidades, situação esta que deveria ter mudado com o advento da legislação brasileira de proteção de dados, mas que ainda é prática no país.
Numa situação ideal, corporações deveriam se reunir com os órgãos de proteção de dados antes da ocorrência de um incidente, porquanto discussões preliminares a ajudariam a saber quando relatar um incidente, como relatar um incidente, quais evidências coletar e como coletá-las.
Isto auxiliaria sobremaneira o órgão de proteção de dados, pois uma vez que um incidente for relatado, ocorreria uma ação do mesmo, visando à emissão de alertas para corporações não afetadas, buscando, assim, que brechas de segurança existentes possam ser fechadas.
O que se extrai do episódio noticiado é apenas mais do mesmo, ou seja, a falta de ação no esclarecimento de todas as circunstâncias que envolvem uma situação onde os maiores prejudicados acabarão sendo aqueles cujas informações serão utilizadas para a prática de crimes.
Em assim sendo, perfeitamente questionável o nível de segurança das informações de todos os cidadãos brasileiros e de que forma a tão desejada proteção de dados está sendo implantada.
Por fim, a pergunta que não quer calar: até quando descobriremos apenas pela imprensa que nossos dados pessoais estão circulando livremente pela internet?
