RIO - A maioria das empresas ainda não tem o devido cuidado com vazamentos de dados e com treinamento de colaboradores para evitar fraudes, diz Rodolfo Avelino, especialista em segurança da informação e professor do Insper.
Para Avelino, a Lei Geral de Proteção de Dados (LGPD) é um instrumento importante para que o consumidor se proteja e evite expor suas informações a vazamentos que podem ser usados por fraudadores.
O Brasil está no topo das fraudes cibernéticas no mundo. Como mensurar isso e o que explica essa posição?
O mercado de fraudes é muito restrito. Quem detém o conhecimento é um grupo pequeno, contudo, o mercado de informações e dinheiro obtidos nos golpes é grande. As fraudes têm um contexto financeiro no Brasil. Em outros países, existe fraude de hacktivismo (junção de hacker e ativismo) como os Anonymous, com fins políticos. No Brasil, não. O grupo é bem formado e antigo, a maioria é composta por pessoas que são fraudadoras há um bom tempo.
Fraudes avançam: Métodos são simples e grupos, sofisticados. Especialistas cobram penas maiores
Como esses grupos criminosos se tornaram bem-sucedidos no país?
O Brasil poderia ser considerado líder em fraudes em outros contextos fora do mundo digital, temos grupos especializados em golpes na Previdência e em outros tipos de órgãos estatais. Isso foi replicado com o uso da tecnologia. Muito das fragilidades se deram em um processo, numa falta de cultura de segurança, tanto por parte do governo quanto por parte das empresas. Até alguns anos atrás, não existia sensibilização e treinamento corporativo, por exemplo. A tecnologia era vista como gasto pelas empresas, e não como investimento.
Isso tem mudado?
Sim, muito em razão da legislação que foi mudando. As empresas começaram a entender que, mesmo que não fornecessem produtos tecnológicos, eram empresas de tecnologia, porque seus processos demandam tecnologia e estão todos armazenados em meios digitais. Os grupos privados dos ramos financeiro e de seguradoras de saúde, por exemplo, são os mais avançados. São empresas que possuem uma maturidade de segurança interessante que destoa das demais empresas e do Estado.
Como é a questão da segurança no âmbito estatal?
O Estado em geral, nos níveis federal, estadual e municipal, na maioria dos casos, centralizou seus processos em empresas estatais ou de capital misto, como o Serpro. Não estou falando de segurança apenas tecnológica, os problemas são em sua maioria de falhas humanas, não de segurança. A gente acompanha quase que semanalmente vazamentos de bases públicas, e boa parte delas ocorreu devido à interação humana, com um profissional que manipula o sistema, por exemplo. No último ano, vimos grandes vazamentos de dados em grandes empresas privadas e entes públicos, como Serasa, Embraer, STJ (Superior Tribunal de Justiça). Isso é uma falha no processo. O dado tem um ciclo de vida, é criado, usado, armazenado e manipulado durante um tempo. Há níveis de acesso nesse ciclo de dados, e isso é o que nunca foi bem tratado no Brasil.
Limite: Empresa só deve pedir ao cliente informações essenciais ao fornecimento do produto ou serviço
Qual é o motivo?
Algumas falhas se dão porque colaboradores, por exemplo, têm um acesso amplo a informações que não precisaria acessar. O elo é humano. Um dos conceitos principais de segurança é dar o mínimo possível de privilégios e ter o controle do acesso. Você concede apenas ao que a pessoa precisa para exercer sua atividade. Quando muitas pessoas têm acesso amplo, o infrator ou fraudador tem mais chances de conseguir acesso ao banco de dados também.
Os principais ataques nesse ambiente ocorrem dessa maneira?
Sim, os relatórios de violação mostram que vários vetores de ataque foram por fragilidades humanas, desde usuários com uma senha fácil até pessoas que não se preocupam em verificar a veracidade de um link suspeito que recebe por WhatsApp. Isso não se resolve em reuniões de uma hora por ano, é um processo educacional. A disponibilidade de dados pessoais vazados no país é enorme, o que é usado pelos fraudadores para sofisticar os golpes.
Muitas empresas solicitam dados para fornecer vantagens.
Os dados pessoais hoje são um grande motor de modelo de negócios de empresas como Google, Facebook e Amazon. O faturamento do Facebook vem de entender quem é o usuário e, com base em suas preferências, oferecer uma propaganda direcionada. Para isso, precisa de muita informação. No Brasil, até farmácias cruzam dados para saber que medicação o paciente usa.
A LGPD ajuda o consumidor a se proteger? Como?
Ajuda. O que muda é que a empresa tem que trabalhar com os dados que justifiquem sua coleta. Não posso ser uma empresa de tecnologia e perguntar seus hobbies . Os dados que o usuário forneceu com consentimento só podem ser usados com a finalidade informada. Dificulta que uma farmácia, por exemplo, venda dados a um plano de saúde, porque precisa justificar o compartilhamento.
Como se proteger?
Precisamos ter cuidado com os contatos de empresas. Não podemos confiar completamente na tecnologia. Temos que questionar o porquê de preencher formulários não relacionados à atividade fim de um produto ou serviço. E, sempre que receber um suposto comunicado de banco ou empresa, não abrir arquivos em anexo nem clicar em links antes de ter certeza de que se trata de algo original.