31/01/2019
Por Francisco Camargo*
No Brasil não temos a cultura de analisar ampla e detalhadamente o impacto dos regulamentos governamentais. O que se passa é que os diversos Órgãos públicos geram normas, sem analisar todos os aspetos, e em seguida vemos que os consumidores pagam a conta, como aconteceu, por exemplo, com as tomadas de três pinos, em que não se provou que a inovação melhoraria de fato a segurança elétrica de consumidores, e muitos outros exemplos.
A Análise do Impacto Regulatório deveria ser uma norma obrigatória para qualquer órgão que crie regulamentos, impondo restrições e punições que podem afetar a segurança jurídica e tributária do país.
Mesmo no Legislativo, que leva muito a sério a confecção de leis regulamentadoras, realizando Audiências Públicas, passando os Projetos de Lei por várias comissões, e finalmente aprovando-as, em um processo transparente, passam aspectos não previstos antecipadamente.
Foi isto o que aconteceu com a Lei Geral de Proteção de Dados, baseada no complexo modelo europeu do GDPR.
Por se tratar de um assunto muito recente, de um problema extremamente complexo, que tem impacto na maioria das empresas brasileiras e grande parte da população, é importante trazer à luz detalhes que acabam sendo muito importantes e, às vezes, passam desapercebidos.
A segurança da informação e a proteção de dados foi e continua sendo o calcanhar de Aquiles da nossa sociedade, apoiada cada vez mais em tecnologias digitais e no uso de dados.
Praticamente tudo está armazenado virtualmente, desde fotos em redes sociais até documentos corporativos sigilosos, o que instiga a voracidade de criminosos em burlar essas tecnologias de segurança para obter vantagens, sejam econômicas ou de outra natureza.
Agora, com as novas regulamentações de proteção e privacidade de dados, como a europeia GDPR e a nova LGPD brasileira, a segurança ficou muito mais complexa, pois os invasores terão novos e sérios argumentos para convencerem as empresas a pagarem o preço da chantagem.
Antes das regulamentações, as empresas, vítimas de piratas, que ameaçavam publicar os dados roubados, temiam o dano à sua imagem e o custo dos processos que teriam eventualmente que enfrentar.
Com a nova regulamentação, apareceram as multas pesadas para as empresas vítimas de ataques bem-sucedidos. As penalidades mais incisivas, custos por danos à imagem e indenizações tendem a ser mais altas, pois se as multas são grandes, juridicamente as punições de processo têm que ser equivalentes, o que pode fazer com que a companhia opte por negociar com os piratas, a fim de não permitir que os dados sejam divulgados e o prejuízo seja ainda maior. E isso será um grande estimulo para novos ataques.
Recentemente o Facebook admitiu que 50 milhões de contas foram hackeadas. Imaginem se eles, que investem milhões de dólares em segurança de dados, são vítimas de pirataria, o que aconteceria com empresas menores, no Brasil? É um caso sui generis, em que a lei condena a vítima, e seu agressor pode escapar impune.
A alegação da rede social de Mark Zuckerberg foi que os invasores exploraram uma vulnerabilidade em seu código que permite roubar geradores de senhas de acesso quando os usuários mudam para a visualização dos perfis de “privado” para “público”, por meio do recurso "Visualizar como".
Seja como for, o vazamento de dados pessoais nunca foi tão desafiador para organizações de todos os portes, o que requer tecnologia avançada, serviços especializados e mudança cultural, dentro e fora das empresas.
Mais do que isso, as regulações vão mudar a forma como se coletam dados (RG, CPF, endereço, renda etc.), com a inclusão de ferramentas contra vazamentos e inclusão de meios que expliquem aos clientes o porquê precisam de determinadas informações, como elas serão usadas e quando serão descartadas. O consentimento tem que ser explícito. Assim, a indicação para que as empresas brasileiras estejam em conformidade com a lei tendo soluções de segurança isoladas não basta. É preciso integrar sistemas com as mais diversas finalidades, o que requer integradores e consultores com apoio técnico de primeira linha e conhecimentos consolidados para entregar projetos que vão ao encontro das novas demandas.
O desafio é grande. Soluções para proteção de dados, criptografia, gerenciamento de logs, firewalls de aplicativo da web, prevenção e detecção de intrusos, sistemas de análise de big data, etc., talvez não bastem.
Com a ascensão dos métodos e tecnologias que utilizam a inteligência artificial, uma das saídas possa ser justamente investir em técnicas de análise de comportamento dos usuários das plataformas digitais das empresas. Com o passar do tempo, os dados coletados poderão prever ações e identificar potenciais riscos à segurança, que podem abrir brechas para ataques passíveis das temidas punições.
Se a lei estivesse em vigor 20 anos atrás, não existiriam listas telefônicas.
* Francisco Camargo é Presidente da ABES e Chairman da CLM, distribuidor de valor agregado especializado em segurança da informação e infraestrutura avançada.