A prisão dos supostos hackers envolvidos no megavazamento de dados de janeiro, realizada na sexta-feira 19 pela Polícia Federal (PF), é só a ponta do iceberg de um cenário de futuros vazamentos que devem ser revelados nos próximos meses, afirma o especialista em segurança da informação e presidente da Associação Nacional dos Profissionais de Privacidade de Dados (ANPPD), Davis Alves.
Os novos vazamentos devem surgir por causa da rápida adoção do home office em muitas empresas do Brasil desde o início da pandemia de covid-19, o que fez com que a segurança dessas companhias baixasse a guarda ao levar equipamentos para o ambiente caseiro sem as devidas proteções do escritório. “Agora a conta está chegando e os hackers divulgam o material na hora que lhes interessa”, explica o especialista.
O cenário, no entanto, pode ser ainda mais desafiador porque podem faltar meios de fiscalizar e proteger os cidadãos brasileiros. Alves cita que a Autoridade Nacional de Proteção de Dados (ANPD), órgão criado em 2019 para ser a agência reguladora do setor, tem menos de 40 funcionários, ante 700 pessoas que trabalham no órgão similar no Reino Unido. Além disso, ele aponta que a Polícia Federal, que deve investigar crimes desse tipo, não realizou concursos para atuar na divisão de cibercrimes. E, para completar o cenário, há poucos profissionais de tecnologia da informação aptos para trabalhar com privacidade e proteção de informações, o que torna difícil a estruturação de áreas de privacidade para companhias que querem seguir a Lei Geral de Proteção de Dados (LGPD).
“O maior desafio das empresas não é comprar ferramenta de proteção, não é tempo nem falta de investimento. É a falta de mão de obra qualificada”, diz Alves. “Nós temos muitos ratos soltos, que são esses hackers, mas faltam gatos”.
Abaixo, leia os principais trechos da entrevista ao Estadão:
A prisão dos supostos hackers envolvidos no megavazamento soluciona o problema?
(A prisão) É só a ponta do iceberg. Estamos colhendo os resultados do que aconteceu há um ano, que foi todo mundo indo para casa porque começou a pandemia de covid-19. Uma coisa é proteger os dados (dos funcionários e clientes) na empresa, porque o nível de segurança é mais alto e as redes estavam protegidas. E aí todo mundo foi para casa e as pessoas começaram a trabalhar no mesmo computador dos filhos. Não à toa, fechamos 2020 com aumento de 700% em ciberataques, comparado com 2019, segundo estudo da consultoria Oliver Wyman. Agora a conta está chegando. As invasões feitas no começo do ano passado começaram a ser divulgadas agora. Quando um banco de dados vazado é divulgado na mídia, é porque o hacker invadiu a rede há pelo menos 6 meses, apagou as brechas para não passar pelos sistemas de detecção e só aí fez a divulgação. Eu me preocupo porque só 20% a 30% dos ciberataques foram divulgados. Os hackers divulgam o material na hora que lhes interessa.
Então a prisão não significa nada?
Prender o hacker inibe. Mas a pergunta é: será que a Polícia Federal, apontada pela Supremo Tribunal Federal para o caso de vazamento, vai ter braço para investigar o aumento de vazamentos? Eles vão fazer concursos públicos? Vão realizar parcerias público-privada? Ainda não houve concurso da PF para atuar na divisão de cibercrimes. Além disso, essa prisão não é suficiente porque nossa autoridade tem menos de 40 pessoas. Será que isso dá conta de um país com 200 milhões de habitantes? Para comparação, existem 700 pessoas na autoridade supervisora (de proteção de dados e privacidade) do Reino Unido, a ICO. Na França, são 400 pessoas. Na Islândia, 300. Na América Latina, um país que é referência é o México, que tem cerca de 100 pessoas trabalhando. Nós vamos dar conta de fiscalizar o que acontece com os dados de milhões de brasileiros? Prender o hacker é só um tentáculo. Não nos conforta ouvir que a PF prendeu o hacker.
O que pode ser feito nesse cenário?
Faltam iniciativas do governo e das empresas. Não foram criados acordos de cooperação internacional até agora. Imagina um hacker que está na Inglaterra. Não existe nada que obrigue o governo inglês a cooperar com o governo brasileiro. O governo não deu direcionamento algum em 2 anos (de vigência) da LGPD e só agora estamos mexendo os pauzinhos. As empresas não têm mecanismos de segurança e elas têm que ter medidas técnicas e administrativas para proteger dados. Por fim, é culpa dos titulares e usuários. É necessária uma conscientização nacional sobre cibersegurança. Se isso não começar a ser pregado nas escolas, não vamos mudar a cultura de privacidade porque o adolescente passou 18 anos na escola sem ter uma matéria de segurança cibernética. É necessário que o MEC coloque como grade em diversos cursos as matérias de cibersegurança. Vamos ter um número maior de ciberataques enquanto não resolvermos o problema na raiz.
Quais fatores contribuem para esse aumento de ciberataques?
São vários. Advento do home office, porque em casa não tem proteção do mesmo nível das empresas. Depois, o início das leis de proteção de dados. Não é só aqui que aconteceu esse aumento de ciberataques. Foi em todos os países. Estamos criando leis que penalizam empresas e está ficando mais vantajoso para um hacker fazer chantagens: “pague para mim ou para a autoridade”. O big data é o terceiro fator: são muitos dados em circulação e, na internet das coisas, fica mais fácil invadir porque os dados pessoais estão no computador, no relógio, na catraca, nas câmeras. Quanto mais dispositivos conectados à internet, mais são favorecidos os vazamentos. Outro fator são as conexões mais evoluídas. O advento do 5G permite que mais dispositivos conectados à internet aumentem e muito o vazamento de dados. E a base para tudo isso é a indústria 4.0, que favorece a mobilidade, a inteligência artificial.
Isso tudo é um prato cheio para o vazamento de dados. E temos um problema enorme. A tecnologia evolui rápido e as coisas ficam mais conectadas, mas as medidas de segurança das empresas não estão crescendo na mesma proporção. Nos preocupamos em desenvolver e pouco em proteger.
Depois dos vazamentos, só nos resta chorar pelo leite derramado?
Há algumas recomendações para todos os brasileiros que tiveram seus dados vazados: mude suas senhas e não utilize a mesma senha para todos os e-mails. Comece a perguntar a empresas sobre a LGPD: “Como pode me garantir que meus dados estão com você?”. As pessoas têm que analisar se a empresa já divulgou sua política de privacidade e se já nomeou o seu DPO (Data Protection Office, em inglês, o protetor de dados), figura obrigatória da LGPD. Se as pessoas conseguirem pegar esses pilares, já começa a colaborar e muito. Quando essa pressão acontecer, ela passa dos titulares para as empresas e das empresas para os governos.
O que acontece agora é que prender um hacker é a mesma coisa que dar aspirinas a pessoas gripadas. Vou tratar um problema complexo com analgésicos, que tiram o sintoma, mas a doença continua. Precisamos tratar a doença de modo preventivo. Está acontecendo uma pandemia de ciberataques e a vacina é a conscientização.
Temos profissionais suficientes para proteger nossos dados?
Não. Temos 208 milhões de habitantes e cerca de 1,3 milhão na área de tecnologia. O Brasil forma por ano 40 mil, 50 mil profissionais de tecnologia da informação e a LGPD exige que toda empresa tenha um DPO. Se pensarmos em membros da Associação Nacional dos Protetores de Privacidade de Dados (ANPPD), temos 9 mil membros. Nas redes sociais, temos 30 mil profissionais que simpatizam com o tema. E temos 3 mil DPOs certificados. Ou seja, vão faltar profissionais aqui no Brasil. O maior desafio das empresas não é comprar ferramenta de proteção, não é tempo nem falta de investimento. É a falta de mão de obra qualificada. Temos muitos ratos soltos, que são esses hackers, mas faltam gatos.
Só existem exemplos ruins quando se trata de privacidade e proteção de dados no País?
Não podemos ter síndrome de vira-lata, em que tudo é melhor do que no Brasil. Temos casos de sucesso, como o Direito do Consumidor, que fez 30 anos e é muito mais avançado do que nos Estados Unidos, onde as leis são estaduais. Também nos EUA, não tem lei nacional de proteção de dados. Palmas para o Brasil. Independentemente de preferências políticas, o presidente Temer fez muito bem em ter assinado a autorização da LGPD, assim como foi uma conquista que não fosse prorrogada a lei. O presidente Bolsonaro colaborou com a multidisciplinaridade da profissão dos DPOs, coisa que não há em outros países. Assim como lá atrás, a presidente Dilma incentivou as discussões de privacidade e favoreceu o tema. Outro ponto positivo é que o currículo dos diretores da ANPD é plural: temos advogados, profissionais de TI e de processos, o que é muito louvado na lei.
Então, temos coisas boas. O que precisamos é que se continue a organização interna. Hoje, a ANPD está elegendo os membros do Conselho Nacional de Proteção de Dados e é importante que esse conselho tenha membros da área da advocacia e jurídica, de segurança, de processos. E é importante que a nossa autoridade chegue para o Brasil e divulgue os requisitos mínimos que uma empresa e população devem ter em termos de segurança. As empresas estão às escuras quanto às multas. É necessário que a autoridade divulgue quais são os requisitos, mas, para isso, precisa do conselho.
