"Nunca houve tanta violação de dados pessoais”, diz promotor que investiga casos

21 de setembro de 201821 de setembro de 2018 Infoeconomico

Para Vinicius Mendes, gerente de estratégia em segurança da informação da FireEye, empresa de segurança digital, vazamentos e violações de dados são constantes há algum tempo, mas agora “o assunto aterrissou mais na mídia”.

A FireEye costuma ser chamada após as violações – ela auxilia o Banco Inter, por exemplo – e constata que, na maioria dos casos, os hackers já estavam na base de dados das companhias há muito tempo. “O atacante fica em média dentro da empresa 101 dias”, afirma o executivo, citando um estudo global da companhia.

O mais provável, portanto, é que, em algum momento, o ataque vai acontecer. E, assim, o mais importante acaba sendo ter camadas de segurança adicionais para que os dados mais sensíveis não vazem, e apresentar respostas rápidas. “As empresas já estão assumindo que o atacante está dentro dela, e então se caça essa pessoa dentro do ambiente. Não dá para achar que os meios preventivos funcionam em 100% dos casos”, diz Vinicius.

Segundo o MPDFT, a empresa afirmou que não houve vazamento de nomes, endereços e números de cartão de crédito dos clientes brasileiros (Foto: Pixabay)

Vazamento de dados pode acontecer não só por invasão externa, maspor ação maliciosa dentro da própria empresa (Foto: Pixabay)

Para evitar um vazamento por parte de pessoas autorizadas, a consultoria recomenda redobrar os esforços de auditoria e controles de acesso, “para que as pessoas só possam acessar o que elas realmente precisam”. Para Frederico Meinberg, no caso de chantagem envolvendo vazamento de dados, é importantíssimo não ceder ao criminoso. “Se ele sabe que a empresa não vai pagar, as informações que ele tem perdem valor.”

O coordenador da Comissão de Proteção a Dados Pessoais aponta o varejo e a telefonia como os setores mais vulneráveis a um ou outro tipo de vazamento de informações. Não porque as empresas sejam menos preparadas, mas porque, normalmente, contam com intermediários, como companhias de telemarketing, para coletar as informações de clientes.

“A pessoa que vende pacotes de uma empresa [de telefonia] geralmente vende das outras, também. Nessa área, há um problema seríssimo de privacidade dos dados, por conta dos intermediários”, diz Meinberg.

Já segundo Vinícius Mendes, apenas “5 ou 10% das empresas privadas no Brasil” têm o que se pode chamar de boas práticas de segurança. “Mas acredito que esse número vá aumentar exponencialmente, agora que o tema está sendo muito falado”, afirma.

Lei de Proteção aumenta segurança (e punições)

Tanto o promotor quanto o especialista em segurança digital concordam que a Lei Geral de Proteção de Dados, sancionada no mês passado e que passa a vigorar em 2020, deve motivar investimentos em segurança por parte das empresas. Nem que seja pelo medo da punição.

Pela lei, empresas que não cuidarem bem dos dados das pessoas físicas poderão sofrer desde advertência a multas de até 2% do faturamento da empresa (com limite de R$ 50 milhões), além de, eventualmente serem obrigadas a deletar algumas informações de seu banco de dados. Não está claro ainda que tipo de punição será dada a cada tipo de infração.

Segundo o gerente de estratégia da FireEye, já se vê, depois da sanção à lei, a maior procura no mercado por novas soluções de segurança e melhor compreensão das práticas para evitar os vazamentos. Consultas sobre tecnologia, para detectar invasões, e de inteligência, para compreender o funcionamento da deep web, “já estão na pauta de várias reuniões e eventos” de que a empresa vem participando, segundo ele.

Já o promotor lembra que, embora a lei traga diversas novas garantias, elas podem ter pouco valor se não for criada a Autoridade Nacional de Proteção de Dados, que estava prevista na peça mas foi vetada pelo presidente Michel Temer por incompatibilidades constitucionais – o Legislativo não poderia criar novos órgãos para o Executivo, segundo o entendimento jurídico adotado pelo Planalto.

Temer prometeu enviar ao Congresso um projeto de lei ou medida provisória para criar o órgão, mas, com a proximidade da eleição, é provável que a tarefa fique a para o próximo presidente. Para Meinberg, ter essa Autoridade constituída na forma de uma agência reguladora é “fundamental”, e não conflitaria com o trabalho de sua comissão.

A preocupação, porém, é que a autoridade, que serviria para avaliar os casos e eventualmente punir as empresas infratoras, seja criada como um “puxadinho de algum ministério”, o que poderia sujeitá-la a interesses partidários. “Precisa ser um órgão autônomo, com orçamento próprio. Não pode botar uma ou duas pessoas, dizer que é autoridade, mas não dar autonomia”, explica.

Fonte: Editora Globo – Notícias gerais

Páginas: 1 2