Marcos Cesar M. Pereira
Incidentes de segurança da informação estão se tornando cada vez mais recorrentes no Brasil, com números que ultrapassam as centenas de milhões de dados vazados. O uso da criptografia para proteção dos dados pode auxiliar na prevenção e mitigação dos danos causados, seja em âmbito financeiro ou social.
Notícias acerca de vazamentos de dados se tornaram rotina em variados veículos de mídia. Dados do Ministério da Saúde sobre 200 milhões de cidadãos brasileiros que utilizam SUS ou sistema privado ficaram disponíveis, em 2020, por falha de segurança, aspecto identificado pela Open Knowledge Brasil. Em janeiro de 2021, mais de 220 milhões de dados, incluindo CPF e número de celular, foram colocados à venda em fóruns da Internet. Outro vazamento de mesmo quantitativo possuía informações sobre benefícios sociais, como INSS e bolsa família.
Um estudo realizado pela Ponemon Institute e IBM Security, em 2020, buscou mensurar os impactos econômicos de vazamentos de dados em mais de 500 organizações em 17 países. Observou-se que o custo médio por vazamento de dados, entre 3.400 e 99.730 registros comprometidos, era de 3,86 milhões de dólares. Entre os dados comprometidos, 80% incluíam informações de identificação pessoal de clientes, sendo justamente nesses casos em que o prejuízo médio é maior, em média 150 dólares por registro.
Examinando o caso brasileiro, identificou-se o menor prejuízo médio entre os 17 países, de 1,12 milhão de dólares por vazamento. Entretanto, quando se versa sobre os indicadores relativos às práticas de segurança digital adotadas para evitar tal problema, o Brasil destaca-se negativamente, com 52% de não implementação de automação na segurança, 33% parcialmente implementada e apenas 15% totalmente implementada. Já para o tempo médio para identificação do problema e contenção, há novamente um destaque negativo, com uma duração de 265 dias para identificar e 115 para conter, assim levando 380 dias para toda resolução do vazamento – 100 dias acima da média e o maior entre os países inseridos na pesquisa.
Para além dos prejuízos nos lucros de uma empresa privada, dados vazados que estavam sob responsabilidade de órgãos públicos trazem um outra luz para o problema. O Estado possui uma gama de informações mais amplas e detalhadas sobre os cidadãos a depender do seu nível – municipal, estadual e nacional – não sendo sem razão os números gigantescos em somente um vazamento do Ministério da Saúde. Além disso, um incidente de segurança na esfera pública põe em risco o oferecimento de serviços públicos como programas sociais e provimento de bens críticos, como água e energia. Dessa forma, por ser o principal agregador de informações sobre os/as brasileiros/as, tais bancos de dados são amplamente cobiçados por agentes maliciosos.
LGPD E SEGURANÇA DA INFORMAÇÃO
O risco de vazamentos de informações deve ser encarado como constante e elevado por empresas e governos. Com isso em vista, o caráter da segurança da informação, a fim de evitar danos para os clientes ou cidadãos, deve, assim, ter centralidade em qualquer organização. Sobre esse aspecto, a Lei Geral de Proteção de Dados (LGPD) afirma, no Art. 46:
Os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.
Em seguida, na seção sobre “Boas Práticas e Governança”, afirma o Art. 50 que:
Os controladores e operadores, no âmbito de suas competências, pelo tratamento de dados pessoais, individualmente ou por meio de associações, poderão formular regras de boas práticas e de governança que estabeleçam as condições de organização, o regime de funcionamento, os procedimentos, incluindo reclamações e petições de titulares, as normas de segurança, os padrões técnicos, as obrigações específicas para os diversos envolvidos no tratamento, as ações educativas, os mecanismos internos de supervisão e de mitigação de riscos e outros aspectos relacionados ao tratamento de dados pessoais.
Boas práticas, conforme colocado pela LGPD e a fim de garantir a proteção de dados pessoais e a devida segurança devem ser efetivadas, centralmente, com base em princípios da segurança da informação, ou seja, a confidencialidade, integridade e disponibilidade dessas informações.
Ao efetivar o pilar da confidencialidade, a entidade pública ou privada garante que a informação seja acessada apenas por pessoas autorizadas, impedindo acesso de terceiros sem devida permissão; garantida a integridade, assegura-se que a mensagem ou informação não foi alterada, garantindo o não corrompimento e, consequentemente, comprometimento dos dados. A integridade das informações deve ser preservada tanto no processo de armazenamento quanto no processo de transmissão dos dados; por fim, a perspectiva da disponibilidade é a garantia de que os dados sejam capazes de ser acessados mediante solicitação legítima.
Criptografia, segurança da informação e incidentes de segurança
Uma das formas fundamentais a partir da qual os pilares da segurança da informação podem ser efetivados é através do uso sistemático e por padrão de criptografia forte para proteção dos dados em trânsito ou armazenados. Observando os mecanismos de funcionamentos criptográficos e os princípios que guiam seu funcionamento, somos capazes de notar uma proximidade com os três conceitos citados anteriormente.
O uso de criptografia é recurso-chave para o controle de acesso sobre informações e peça fundamental ao impedimento de acesso à mensagem ou informação seja por terceiros externos não autorizados, seja por agentes maliciosos internos às entidades responsáveis – governamentais ou privadas – pelo tratamento de dados. Logo, protocolos padronizados de criptografia para armazenamento e transferência de dados pessoais e informações de interesse público e econômico são pré-requisito para afastar possibilidades de incidentes de segurança, como os vazamentos. Ao mesmo tempo, protocolos de criptografia ponta-a-ponta, ao impedir o acesso às comunicações por parte dos próprios provedores dos serviços, também criam um modelo de segurança que, por design, impossibilita a coleta de certos dados e torna ainda mais improvável a vulnerabilização dos usuários.
No que diz respeito ao uso de criptografia por padrão nos sistemas administrados por empresas entrevistadas pela IBM, demonstrou-se que caso houvesse proteção por meio de criptografia no contexto de alguns vazamento de dados reportados, os prejuízos financeiros seriam reduzidos em aproximadamente 237 mil dólares. Considerando a amostra limitada da pesquisa e por não abarcarem mega vazamentos para termos de análise, podemos acreditar que os números e impactos positivos seriam ainda maiores em casos mais graves.
Dessa forma, a utilização de criptografia para a segurança da informação não possui apenas reflexos abstratos na forma com que os dados são armazenados, mas também efeitos econômicos concretos. Estes vão desde a diminuição de prejuízos, menor custo logístico de forças de segurança para empreender operações contra tais criminosos, mas também a diminuição de golpes em cidadãos brasileiros. Neste último caso, em golpes online, seria possível levantar a grave problemática da desigualdade socioeconômica e étnico-racial no Brasil, refletindo no uso de ferramentas tecnológicas e práticas de segurança digital por essa parcela significativa da população. A criptografia se associa positivamente, ainda, com as necessidades de literacia digital no Brasil diante da vulnerabilidade da população quanto a golpes e fraudes online.
Padrões e regulamentações mínimas
Considerando o papel da Autoridade Nacional de Proteção de Dados (ANPD) no cenário nacional e os recentes casos de vazamentos de dados, a entidade realizou, no início de 2021, tomada de subsídios para determinar gravidades de incidentes de segurança e a forma de reportá-los. A ANPD busca regulamentar o dever do controlador de comunicar à Autoridade Nacional a ocorrência do incidente, conforme determina o artigo 48 da LGPD, buscando delimitar diferentes gravidades de incidentes e o prazo para informar o caso.
Deve-se pensar, portanto, a segurança da informação também como forma de evitar, a partir de implementação prévia, que se chegue a respostas apenas a posteriori, modelo esse que demanda esforços e logística para contenção dos problemas para os quais medidas preventivas, com base no emprego de protocolos criptográficos, seriam eventualmente suficientes. É evitar, dessa forma, que dados sequer sejam expostos a riscos de incidentes de segurança.
Como afirma o artigo 46 da LGPD, citada anteriormente, é dever do agente de tratamento dos dados a adoção de boas práticas de medidas de segurança a fim de conferir proteção dos dados em tutela. Afirma-se, também, em seu parágrafo primeiro que:
§ 1º A autoridade nacional poderá dispor sobre padrões técnicos mínimos para tornar aplicável o disposto no caput deste artigo, considerados a natureza das informações tratadas, as características específicas do tratamento e o estado atual da tecnologia, especialmente no caso de dados pessoais sensíveis, assim como os princípios previstos no caput do art. 6º desta Lei.
Sob esse ensinamento, é possível observar a possibilidade da regulamentação de padrões técnicos mínimos por parte da ANPD envolvendo criptografia forte no que diz respeito à segurança dos dados tratados. O recém-publicado relatório “Qual é o impacto econômico das leis que enfraquecem a criptografia?” publicado pela Internet Society, aborda justamente o reflexo negativo das legislações que visam enfraquecer tal mecanismo – tomando como caso a Lei de Alteração das Telecomunicações e de Outras Legislações (LATO) da Austrália. Devido ao aumento de incerteza causada pela legislação, o relatório traz como exemplo positivos, com benefícios de bilhões de dólares, intervenções realizadas para diminuir tal instabilidade acerca da segurança digital. Portanto, a adoção de técnicas de criptografia fortes e dentro de padrões bem estabelecidos internacionalmente poderia garantir uma camada a mais para proteção de dados, tratando o problema de forma preventiva e com impactos econômicos a longo prazo. Enfim, a adoção de parâmetros mínimos auxiliaria tanto os próprios agentes de tratamento nas práticas de adoção de segurança, assim como grupos sociais vulneráveis à golpes devido à exposição de suas informações.
Considerando o aspecto sensível da temática e os diversos interesses envolvidos, de forma similar à tomada de subsídios realizada neste ano pela ANPD, uma possível política voltada para o aspecto criptográfico no âmbito das políticas de resposta (e prevenção) a incidentes de segurança merece atenção específica e um debate amplo. Deve ser realizada de forma multissetorial, aberta e transparente, especialmente considerando a crescente importância da criptografia para a privacidade e segurança da informação na contemporaneidade, envolvendo tanto direitos econômicos e políticos quanto a segurança nacional.
