Imagem: freepik

Em 18 setembro de 2020, o Brasil deu um passo importante em direção à conformidade com as melhores práticas de governança e compliance digital. Naquele dia entrou em vigor a Lei 13.709/18, mais conhecida como Lei Geral de Proteção de Dados Pessoais (LGPD), que regula as atividades de tratamento de dados pessoais e altera os artigos 7º e 16º do Marco Civil da Internet. Criada com o objetivo de elevar o Brasil ao patamar de países líderes em proteção de dados sensíveis, a LGPD foi colocada em xeque no decorrer dos últimos meses, marcados por megavazamentos de dados. O mais grave foi identificado em janeiro deste ano — foram disponibilizados em fóruns da internet pacotes de dados com informações pessoais de 223 milhões de brasileiros, além de 40 milhões de CNPJs. A fonte dos dados ainda é desconhecida. 

“Com 20 anos de mercado, nunca vi nada igual no mundo”, atesta Marco DeMello, CEO da PSafe, empresa que desenvolve soluções de segurança e privacidade e que identificou o megavazamento. A gravidade do incidente é ímpar, mas DeMello alerta que não é algo pontual. “Não estamos reportando para a imprensa nem 20% dos vazamentos que encontramos diariamente na deep web”, informa. 

Em 19 de março, no âmbito da Operação Deepwater, a Polícia Federal (PF) prendeu o principal suspeito do megavazamento. Marcos Roberto Correia da Silva, conhecido como Vandathegod, já foi alvo de operações da PF em 2019 e 2020 sob suspeita de invasão dos sites da Polícia Civil de Minas Gerais, do Ministério Público de Minas Gerais (MP–MG), do Tribunal de Justiça de Goiás, do Exército Brasileiro e do Tribunal Superior Eleitoral (TSE). 

Para especialistas, os últimos episódios mostram que, mesmo com a nova legislação, as empresas brasileiras ainda deixam a desejar na gestão e na proteção de dados. “Parece que o Brasil vai vazar dados até não ter mais o que vazar, assim o problema some”, critica Marcelo Cárgano, advogado do escritório Abe Giovanini e especialista em segurança e proteção de dados.  

O País também peca quando se trata de monitorar e identificar ciberataques — os vazamentos demoram, em média, 46 dias para serem identificados, segundo dados da PSafe. O único país abaixo do Brasil no ranking é a Turquia. “É importante ressaltar que não existe uma adequação jurídica, de segurança e de governança perfeita, capaz de eliminar a possibilidade de qualquer invasão à base de dados. Mas, no Brasil, é flagrante uma ausência de cuidados que reduzam a probabilidade de algo assim acontecer — e também a proporção do impacto de um possível vazamento”, pontua Cárgano. 

Prioridades na gestão de dados sensíveis 

Walmir Freitas, vice-presidente sênior e líder da prática de riscos cibernéticos da consultoria global Kroll, observa uma maior preocupação do mundo corporativo em relação aos cuidados necessários para gestão de dados sensíveis. Ainda existe, entretanto, certa resistência em aumentar medidas de segurança. “Nos anos 1990 e 2000, era uma batalha conscientizar executivos nesse sentido, já que proteção de dados era algo visto apenas como um gasto. Isso está mudando, mas o combate e o montante de recursos destinados a essa tarefa ainda deixam a desejar no Brasil”, afirma. 

DeMello, da PSafe, concorda com Freitas e complementa que existe uma falta de equilíbrio nas diferentes frentes da gestão de dados no Brasil. “As empresas brasileiras olham para os investimentos em captura e armazenamento de dados sensíveis como vitais para sua existência, mas não veem a proteção de dados da mesma forma”, destaca. “Existe uma lacuna enorme entre aquilo que é investido em capturar, armazenar, processar e monetizar dados e em protegê-los.” 

O problema não é restrito ao Brasil. Em dezembro de 2020, foi divulgada a notícia de que a Solarwinds, provedora de serviços de TI, teve um de seus softwares comprometido por ataques cibernéticos. O episódio recebeu atenção mundial por causa da lista de clientes da SolarWinds — a Casa Branca, o Pentágono, as dez maiores empresas de telecomunicações dos Estados Unidos e cerca de 425 companhias de grande porte. O dano desse tipo de vazamento às organizações foi mensurado pelas consultorias Interbrand e TI Infosys: elas concluíram que as 100 maiores marcas do mundo poderiam perder até 223 bilhões de dólares em valor de mercado em casos de violação de dados. 

Desconhecimento 

A situação se tornou tão delicada que cresce número de casos de ransomware, em que o criminoso criptografa aplicativos utilizados pela empresa e pede um resgate em troca da chave de acesso. “Nos Estados Unidos, já vi consultorias recomendarem a criação de carteiras de bitcoins para pagamento desses resgates”, relata DeMello, da PSafe. “Hoje, a questão não é mais ‘se’ isso vai acontecer com a sua empresa, mas ‘quando’. A prevenção é a única saída possível”, recomenda. 

No Brasil, falta um órgão regulador que oriente as empresas nessa frente. Segundo Cárgano, enquanto as companhias ainda desconhecem certos termos técnicos e não compreendem como utilizam a própria base de dados, a Autoridade Nacional de Proteção de Dados (ANPD) ainda está dando os primeiros passos. “A LGPD é uma lei complexa, que implica adequações nas frentes jurídica, de governança, de compliance, de padrões de segurança. Precisamos de um ‘professor’ que incentive e guie as companhias”, defende o advogado. 

Fato é que a busca por melhor governança na gestão de dados é uma corrida contra o relógio. Enquanto as empresas brasileiras colocam pouco empenho para se adequar à LGPD, hackers estão desenvolvendo ferramentas com tecnologias avançadas para invadir sistemas e bases de dados — dessa vez, com o uso de inteligência artificial (IA) e bots. Pelo jeito, estão em vantagem.