O DESCUIDO E A CUMPLICIDADE EM CIBERSEGURANÇA


Mais um mega vazamento de dados teria ocorrido no Brasil segundo a PSafe, uma startup carioca vocacionada à segurança de dados. Não está esclarecido exatamente o que aconteceu, a partir de onde ou porquê. Sabe-se apenas que o vazamento foi na última terça-feira.

A informação, divulgada num grande portal jornalístico brasileiro, foi meio que “secreta”. O laboratório de cibersegurança dfndr lab, da PSafe, afirma que um dos bancos de dados invadidos tem nome completo, data de nascimento e CPF de uma quantidade de pessoas superior à população brasileira. A explicação é que, entre os cadastros, estariam CPFs inativos. Por aí já dá para concluir, mesmo à distância, que se trata de um sistema de algum órgão público, possivelmente a Receita Federal. Ninguém fez essa afirmação mas, pela “cara” do banco de dados vitimado, fica difícil imaginar outra hipótese.

No mesmo vazamento, outros dados apontam na mesma direção, pois se referem a cerca de 40 milhões de empresas. No caso, foram obtidos CNPJ, razão social, nome fantasia e data de fundação. Para fechar o pacote, furtaram dados de mais 104 milhões de veículos e respectivos números de chassis, placas de licenciamento, município, cor, marca, modelo, ano de fabricação, cilindradas e o tipo de combustível.

Muitos desses dados só podem estar relacionados a bens que não existem mais. Portais do Governo Federal revelam que o Brasil tem um total de 18,5 milhões de empresas ativas e pouco mais de 100 milhões de veículos terrestres, desde automóveis até caminhões, motos, carretas, microônibus, quadriciclos, ...

Os dados em si não são de natureza sigilosa, como senhas bancárias, mas pela quantidade e a estruturação digitalizada, representam um risco. De acordo com um executivo da PSafe, citado na matéria, vazamentos desse tipo são vendidos para golpes de phishing. Com esses dados reais pode-se obter outros mais críticos e então obter senhas de banco, fazer empréstimos ou mesmo contratar serviços.

Se tudo correr bem, a partir do próximo mês de agosto, pela LGPD – Lei Geral de Proteção de Dados – um vazamento desse tipo pode implicar, de sanções administrativas até multas de R$ 50 milhões para as organizações responsáveis. A questão é o que precisa acontecer para “tudo correr bem”.

Um estudo realizado no ano passado, pela consultoria ISC2, obteve dados sobre a força de trabalho de 14 países. E o Brasil é o que tem maior déficit de profissionais de cibersegurança. Precisaria aumentar o contingente em 52%. De todas as grandes economias mundiais só não foram analisadas China e Índia. O gigantismo desses dois países e a dificuldade em se obter dados sobre eles, poderia distorcer as conclusões do estudo. 

Enquanto isso, para implantação da LGPD, está prevista a nomeação de um “encarregado de dados” em cada órgão público federal. Esse “encarregado” deve ser um ponto de ligação entre o titular de dados e quem trata e/ou guarda esses dados. Terá ainda acesso garantido com a Autoridade Nacional de Proteção de Dados. Para cumprir essa determinação foi publicada uma Instrução Normativa do dia 20 de novembro de 2020. Foi dado o prazo de 30 dias para nomearem todos os encarregados. Em meados deste mês da janeiro apenas 55% dos órgãos federais haviam cumprido a norma.

Esses dois fatos – a falta de profissionais de cibersegurança e a demora na nomeação das funções públicas exigidas pela LGPD – são reveladores daquilo que pode ser a principal carência brasileira no setor. A consciência, por parte de pessoas e organizações, quanto aos riscos cibernéticos, e a necessidade de cumprir procedimentos de segurança. De acordo com Edilson Lima, Gerente de Segurança da Informação da RNP, é necessário “termos um comportamento mais seguro na Internet”. O trabalho de educação nesse sentido estaria só começando aqui no Brasil. Lima chama atenção para a importância de organizações em geral terem uma política de segurança de dados. Nela devem constar procedimentos que todos os usuários devem conhecer e praticar.

A promulgação da LGPD, a criação da Autoridade Nacional de Proteção de Dados e outras providências tomadas nos últimos anos representam um grande avanço em termos de segurança cibernética no país. No entanto, tudo que se refere a segurança envolve, em primeiro lugar, a atitude pessoal. Adotar “jeitinhos” é tudo o que criminosos esperam para atacar. A grande novidade que chega com a LGPD é a responsabilização dos descuidados que usarem do jeitinho. Agora, o jeito, vai ser ficar esperto e cumprir procedimentos. 

Comentários

Postagens mais visitadas deste blog

COQUELUCHES DA TECNOLOGIA

O SILÊNCIO INOPORTUNO

QUEM VAI PAGAR PRA VER