Ir direto ao conteúdo

Por que as empresas brasileiras não avisam quando são invadidas por hackers

Medo de perder a confiança do consumidor e ausência de lei que as obriguem estão entre as principais razões

     

    Como você se sentiria se o banco perdesse todo o seu dinheiro e não te avisasse? Agora troque “banco” por um site de e-commerce e “dinheiro” por seu número de cartão de crédito. Seu estômago continua dando um nó? Pois saiba que situações como essa podem já ter ocorrido e nem eu nem você ficamos sabendo.

    Apesar de todas as medidas que usuários podem tomar para se prevenir, empresas e governos cumprem um papel vital na segurança dos dados pessoais que concordamos em deixar sob seus cuidados.

    O problema é que nem todos investem o necessário em proteção e alguns sequer possuem capacidade de detectar se suas bases de dados foram comprometidas. Segundo estudo do Instituto Ponemon, empresa americana de pesquisas especializada em segurança de dados, 59% dos profissionais de segurança não acham que sua empresa poderia evitar perdas de dados pessoais de seus usuários, e apenas 23% deles sabiam dizer se sua companhia perdeu informações sensíveis ou confidenciais em um ataque.

    Apesar de todas as medidas que usuários podem tomar para se prevenir, empresas e governos cumprem um papel vital na segurança dos dados pessoais que concordamos em deixar sob seus cuidados.

    João Emílio Gonçalves, gerente executivo de política industrial da Confederação Nacional da Indústria (CNI), defende as empresas e diz que elas se preocupam com segurança, e ainda pondera sobre a importância de se divulgar vazamentos de informação.

    “A quebra de confiança atrapalha o negócio porque as pessoas começam a ficar desconfiadas”, diz. O executivo compara a prática de se tornar público casos de vazamento ao debate sobre se a TV deve mostrar ou não o torcedor que invade o campo, ou se os meios de comunicação devem ou não publicar histórias de suicídio.

    Segundo pesquisa de julho de 2015, 53% dos brasileiros acreditam que seus dados pessoais podem ser violados por empresas e governo. O país é o terceiro dentre os mais “desconfiados”, atrás de Alemanha (58%) e Holanda (59).

    “A princípio, transparência é sempre bom. Mas imagine um cenário em que há cinco empresas do mesmo ramo e uma delas seja atacada mais vezes que as outras. Isso pode passar a impressão de que ela tem um sistema mais frágil e atrair mais ataques”, diz João Emílio Gonçalves.

    53%

    dos brasileiros acreditam que seus dados pessoais podem ser violados por empresas e governo

    “É uma questão complicada, mas não sei avaliar os benefícios [de alertar sobre vazamentos]”, diz.

    Apesar de “complicada”, a questão não é regulada por legislação específica no Brasil, onde também não se exige das empresas que alertem seus clientes ou autoridades sobre possíveis vazamentos ocorridos, mesmo o país estando entre os cinco com empresas mais atacadas no mundo (4% dos ataques; os EUA, na ponta, recebem 29%), segundo números da empresa de segurança EMC. Além disso, os incidentes que resultam em roubo de informações no Brasil, segundo a PricewaterhouseCoopers (PwC), superam a média mundial: são 24% contra 23%.

    Entidade que monitora diversos tipos de ataques virtuais não possui informações sobre invasões que resultaram em perda de dados pessoais

    A falta de interesse (e obrigação legal) pela divulgação de vazamentos, torna este um tipo de ocorrência raro no país. A principal fonte de informação sobre esse assunto por aqui é o Cert, sigla para Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil. Mas nem se anime. A analista de segurança de lá, Miriam von Zuben, explica que a entidade só fica sabendo de casos voluntariamente reportados.

    “Não temos dados referentes à quantidade e nem sobre os tipos de ataques mais comuns envolvendo furto de dados no Brasil. Também não temos comparativos entre diferentes setores e não conhecemos outras fontes destas informações.”

    Compare: nos EUA, a contar de 2002, há leis em 47 Estados (dos 50) que obrigam empresas que armazenam informações pessoais a notificar o governo e todos os clientes afetados – muitas vezes por meio de nota pública – caso apenas suspeite ter tido seu sistema violado. Dessa maneira, torna-se possível mapear quais empresas já tiveram dados roubados por lá.

    Colaboração informal

    Além da notificação, uma prática esperada em segurança é a de troca de informações entre profissionais da área. No Brasil, no entanto, também são raras as empresas que se expõem, mesmo entre profissionais de TI.

    Danilo Doneda, professor da UERJ especializado em privacidade e dados pessoais, diz que o trabalho em conjunto ajudaria a minimizar o alcance de ataques e golpes de fraude.

    “Compare com aviação civil. Não tem ninguém tentando esconder falhas porque órgãos internacionais e reguladores são muito presentes. Quando tem um erro, ele é compartilhado e todo mundo corre pra corrigir.”

    A colaboração com troca de informação entre profissionais de segurança da informação é informal

    A segurança da informação está longe desse quadro. No Brasil, a colaboração é informal e se resume a profissionais de TI que, segundo Doneda, também é limitada pois eles sabem que não podem “falar demais”.

    “Além disso, os técnicos de TI que acabam sabendo de algum vazamento na empresa podem até tapar um buraco, mas como fica o usuário? Se eu não sei qual é mais zelosa com dados pessoais que a outra porque eu não tenho esse histórico, como fica meu poder de escolha?”, questiona.

    “Os técnicos de TI que acabam sabendo de algum vazamento na empresa podem até tapar um buraco, mas como fica o usuário? Se eu não sei qual é mais zelosa com dados pessoais que a outra porque eu não tenho esse histórico, como fica meu poder de escolha?”

    Danilo Doneda

    Pesquisador e professor da UERJ

    Segundo a pesquisa da PwC, entre as principais razões para não colaborar com segurança da informação, “receio dos concorrentes” é apontada por 61% das empresas (no resto do mundo foi a justificativa de 50% delas) e “não quer chamar atenção para possíveis fraquezas” por 39% (contra 33%).

    “Não existe uma cultura de transparência. Entendo que se não tiver ninguém pressionando empresas e governos a se exporem, ninguém vai fazer.”

    Correndo atrás

    Apesar do Código de Defesa do Consumidor – que garante apenas que cadastros sejam objetivos, claros e acessíveis ao titular dos dados, que poderá pedir correções se quiser – e do Marco Civil da Internet – que proíbe violação, coleta e repasse de dados pessoais sem consentimento e dá ainda o direito de se pedir a sua exclusão definitiva – especialistas julgam ser necessária a criação de uma lei apropriada que dê conta da complexidade do assunto.

    E ela quase existe. Isso porque ainda é apenas um rascunho, apesar de estar em elaboração há pelo menos cinco anos. Chamado Anteprojeto de Lei de Proteção de Dados Pessoais, seu texto, inspirado no modelo europeu, passou em 2015 por uma consulta pública, na qual recebeu 1,4 mil contribuições. Atualmente, encontra-se na Casa Civil, a última etapa antes de seguir para o Congresso.

    Projeto de lei busca regulamentar a coleta e tratamento de dados pessoais e torna obrigatória a comunicação de qualquer incidente que possa acarretar prejuízo aos donos da informação

    Além de regulamentar a coleta e tratamento de dados pessoais por empresas e governos e estabelecer direitos ao dono dessas informações, torna obrigatória a comunicação de “qualquer incidente de segurança que possa acarretar prejuízo aos titulares”.

    “É uma maneira de dar transparência ao que é feito com as nossas informações e gerar um fairplay no mercado”, diz Juliana Pereira, à frente da Secretaria Nacional do Consumidor no Ministério da Justiça.

    Para ela, independentemente de o anteprojeto se tornar lei ou não, hoje é possível que, ao menos na relação de consumidor, busque-se uma interpretação na legislação já existente para garantir que uma empresa que venda seus dados sem sua permissão sofra algum tipo de punição.

    “Não somos contrários ao compartilhamento de dados das pessoas, a questão é garantir que para ser feito, seja necessário o explícito consentimento dos titulares. Com a Lei de Proteção de Dados nós queremos garantir civilidade. Hoje é canibalismo. E a vítima maior é o cidadão.”

    “Com a Lei de Proteção de Dados nós queremos garantir civilidade. Hoje é canibalismo. E a vítima maior é o cidadão.”

    Juliana Pereira

    Ministério da Justiça

    Há um projeto em trâmite avançado em comissões no Senado baseado em versão antiga do Anteprojeto, o PLS nº181 de 2014, cuja relatoria é feita por Aloysio Nunes (PSDB-SP). Pela avaliação do pesquisador Danilo Doneda, o projeto é pouco específico quanto a vazamento de dados, menos detalhado, e não tem o poder de criar um órgão específico (chamado internacionalmente de 'Autoridade') para gerenciar o tratamento a dados pessoais no Brasil. Por isso, acredita que, futuramente, tramitarão em conjunto (apensados).

    João Emílio Gonçalves, da Confederação Nacional da Indústria, diz que para a entidade é consenso a necessidade de um marco sobre proteção de dados e que há uma discussão interna sobre a qualidade dos projetos citados.

    “O receio é de termos uma legislação muito rigorosa que impeça a inovação. A ideia é proteger até o nível que não barre a fluidez de novos negócios”, diz Gonçalves que admite estar olhando mais para “o texto do Senado”.

    “Intuitivamente, as pessoas querem proteção a seus dados, mas a grande questão é: quanto e quais dados precisam ser protegidos?”

     

    Todos os conteúdos publicados no Nexo têm assinatura de seus autores. Para saber mais sobre eles e o processo de edição dos conteúdos do jornal, consulte as páginas Nossa Equipe e Padrões editoriais. Percebeu um erro no conteúdo? Entre em contato. O Nexo faz parte do Trust Project. Saiba mais.

    Mais recentes

    Você ainda tem 2 conteúdos grátis neste mês.

    Informação com clareza, equilíbrio e qualidade.
    Apoie o jornalismo independente. Junte-se ao Nexo!