Vazamento de dados: sua empresa está preparada?

Recente Caso de Vazamento no Brasil

Em setembro de 2021, um vazamento de dados deixou expostos 426 milhões de dados pessoais de Brasileiros e 109 milhões de informações de CNPJs e placas de veículos.1 Nossa imaginação não precisa ser muito fértil para entender o potencial de estragos que este vazamento poderá causar.

Recentemente a empresa PSafe, líder de cibersegurança no desenvolvimento de aplicativos de segurança, destacou que no Brasil, "três em cada quatro empresas já tiveram seus dados vazados na internet"2, o que revela muito mais do que podemos imaginar.

Muitos ignoram a realidade e com isso, a possibilidade de ocorrerem vazamento de dados em suas empresas, situações em que deixariam expostos e vulneráveis os dados pessoais de toda a clientela e empregados.

Neste sentido, a pergunta mais importante que deve ser feita por um empresário não é "o que fazer" quando isso ocorrer, pois não estamos mais no campo das hipóteses caracterizado pela presença do advérbio condicional "se", mas pelo temporal "quando".

As estatísticas mostram que se ainda não aconteceu com sua empresa, irá acontecer muito em breve3. Só é uma questão de tempo. Portanto, sua empresa também deveria estar preparada.

Impactos Comuns dos Vazamento de Dados

Mas o que pode acontecer se nossos dados forem expostos na internet?

Dependendo dos dados vazados, cibercriminosos conseguem enviar e-mails maliciosos com vírus ou programa de back orifice (orifício traseiro4) para acessar máquinas de terceiros, descobrir informações confidenciais, tais como aquelas ligadas à saúde, senhas utilizadas em bancos e com isso abrir ou violar contas bancárias, fazer grandes compras em nome das vítimas e o que é mais comum, criminosos realizarem fraudes envolvendo cartão de crédito.

Talvez você já tenha sido vítima ou ao menos conhece alguém que se sentiu lesado pelo acesso indevido aos seus dados.

Imagine como se sentiria alguém que apesar de pensar possuir um bom histórico de crédito, fosse até o banco e tivesse negado um empréstimo para a reforma da própria casa, para pagar o casamento da filha ou ainda para pagar a sua conta de hospital ou a de um ente querido.

A depender do hacker, o simples acesso ao seu CPF e senha presentes no seu computador poderia permitir que consigam abocanhar outros dados preciosos, como endereço, renda, dados bancários e preciosas informações pessoais. Por isso, todo cuidado é pouco.

Outro bom exemplo de vazamento de dados é a prática de phishing (fraude na internet), que consiste no envio de e-mails maliciosos para acessar a máquina do usuário enganado.

No mundo empresarial, o estrago pode ser ainda pior, pois o número de pessoas atingidas pode chegar a milhões. O maior vazamento de dados do mundo é de 8,4 bilhões de senhas5, aliás.

Nem se mencione o perigo do ransomware. A prática consiste no sequestro dos dados das empresas, ameaçando-as caso não paguem resgate. Do sequestro, pode-se resultar em vazamentos de dados, violação de segredos industriais, entre outros.

Vazamento de Dados Já é Muito Comum no País

O vazamento de dados acontece há muito tempo tanto aqui quanto em países tecnologicamente mais avançados. Mas em razão de determinação legal imposta pela Lei Geral de Proteção de Dados Pessoais - LGPD, que ganhou o mundo jurídico brasileiro com o advento da lei 13.709/18, foi somente no ano 2020, após cumprida sua vacatio legis, período em que a lei ainda não havia entrado em vigor, que empresas do país passaram a se preocupar com a privacidade e a adotar práticas proativas de prevenção e respostas imediatas a vazamentos.

Recente pesquisa do Massachusetts Institute of Technology ("MIT") publicada no Journal of Data and Information Quality da ACM (Association for Computing Machinery) na edição de janeiro de 2021 aponta que vazamentos de dados aumentaram significativamente no país entre os anos 2018 e 2019. De um total de 34.600.000 de dados de brasileiros vazados de forma criminosa em 2018 pulamos para 205.186.219 em 2019.6

Se é Comum, Por Que Empresas no Brasil Não Notificam Vazamentos de Dados?

Além do fato de a lei que regula o tema ser nova no Brasil, existem algumas razões pelas quais as empresas, em geral, não divulgam os vazamentos de dados que controlam. Passemos a examinar algumas delas:

Quase tudo relacionado a dados e à economia movida por dados, é relativamente novo no país, de modo que os titulares dos CPFs por trás dos CNPJs precisam compreender a importância que esses dados possuem para seus titulares e, assim, certificarem-se que além deles, a ANPD também deverá ser notificada.

Com a notificação e a publicização dos casos de vazamento de dados, há possibilidade de seus titulares se associarem para que o ente representativo ajuize ações coletivas com o intuito de responsabilizar empresas que não tomaram as medidas de segurança adequadas e permitiram tais ocorrências. E estas ações judiciais coletivas promovidas por substitutos processuais, a exemplo de associações e sindicatos, envolvem uma quantidade muito grande de pessoas e costumam ser economicamente expressivas, o que aumenta o medo de se divulgar a ocorrência de um ilícito.

Há possibilidade de as empresas serem autuadas pela Autoridade Nacional de Proteção de Dados se não for constatado em processo administrativo que se prepararam e fizeram de tudo para evitar a ocorrência do ilícito.

Outra razão encontra fundamento na ligação que os titulares poderão fazer em relação aos cuidados que a empresa controladora deveria ter tido na guarda de seus dados.

Todas as razões acima expostas demonstram que existem riscos ao tornarem públicos os vazamentos de dados. Contudo, se as empresas mantivessem segredo sobre vazamento de dados, o risco de perdas financeiras, de clientes e de credibilidade seria ainda maior e demonstraria, no mínimo, falta de lealdade, cuidado e respeito com os titulares dos dados, seus clientes e empregados, o que causaria impactos negativos para imagem e reputação, que passam a ser vistas como não confiáveis e menos seguras

Desta forma, uma vez que em determinadas situações o ataque por criminosos é inevitável, o mais importante em uma situação como esta não é apenas levar a conhecimento o evento indesejado. Apesar de imprescindível, os controladores de dados também devem demonstrar que reagiram ao ilícito para proteger as vítimas.

Casos de Vulnerabilidade e Vazamentos de Dados

Por mais que existam empregados bem treinados em relação às políticas de segurança da informação nas empresas em que trabalham, incidentes podem ocorrer por diversas razões; principalmente por razões humanas.

Exemplifico a seguir apenas para nos darmos conta de situações corriqueiras em que se pode haver brechas para acessos indevidos a dados de terceiros:

• alguém poder esquecer um laptop aberto ou até mesmo um pen drive sem criptografia num táxi, durante uma viagem de negócios;
• algum empregado pode fornecer seu CPF para participar de um sorteio na internet;
• algum trabalhador pode receber um e-mail com um aviso da Receita Federal e, dada a importância do órgão e a aparência de legítimo, clicar no link malicioso.
• alguém, passando-se por agente do banco "X", pode enviar um e-mail solicitando atualização cadastral.

Os exemplos não param por aí, pois diante da novidade da tecnologia para grande parte da população, o belo fascina e não ostenta sua outra face, por vezes, maliciosa.

Como e Quando as Empresas Devem Avaliar se Precisam Notificar Incidentes de Vazamentos de Dados?

É interessante observar que quando ocorrem incidentes de segurança e constatação de vazamento de dados, as empresas geralmente não sabem como agir.

Uma dúvida comum de empresários que enfrentam o tema é quando devem notificar o vazamento de dados que controlam. Registramos que as notificações deverão ser feitas em até dois dias úteis após o incidente de segurança com vazamento de dados por meio do preenchimento de um formulário que está disponível no site da entidade.

Quanto ao dilema de se notificar ou não, eis algumas ponderações que as organizações devem pesar.

O primeiro ponto que as empresas que tiverem seus dados vazados deverão observar é se o vazamento irá, de alguma forma, prejudicar sua reputação. Em assim ocorrendo, devem notificar prontamente seus clientes para que as vítimas possam tomar providências a tempo de ocorrer alguma fraude com elas.

Outro ponto importante a observar numa tomada de decisão sobre notificação de vazamento de dados é se o evento tem o potencial de prejudicar a reputação dos titulares dos dados, seus clientes.

Por último, mas tão importante quanto as demais razões, estão as multas. No caso do Brasil, elas vão de 2% do faturamento da empresa até R$ 50 milhões por infração e não há previsão de majoração da punição para o infrator reincidente. Por curiosidade, destaca-se a existência de previsão de dobra da multa em alguns países, a exemplo dos EUA, do México e de diversos países da Europa.

Qual o Conteúdo das Notificações?

Três informações, ao menos, deverão conter nas notificações a serem feitas pelas empresas nas quais houve vazamento de dados:

1. O que vazou. Dentre os dados vazados, costumam ser encontrados números e informações sobre cartão de crédito; identificadores pessoais, como CPF, CNH e identidade; Informações da empresa; listas de clientes, contendo dados cadastrais de cada consumidor; processos de fabricação de produtos; código-fonte de software; folha de pagamento de funcionários; contratos com empresas parceiras, etc.
2. Por que vazou. Além de dizer o que vazou, as empresas devem dizer por que vazou, explicando os motivos pelos quais dados dos titulares foram acessados. Dentre os principais motivos, ataques cibernéticos: envolve a ação de malware (programas maliciosos), phishing, spyware (programas espiões) e ransomware; erros nas configurações de segurança do sistema: códigos falhos de criptografia, falta de conhecimento técnico e negligência dos próprios usuários: como a não realização de backups e download de arquivos suspeitos que podem conter mecanismos maliciosos e que causarão prejuízos à máquina.
3. Como os titulares podem agir para mitigar o risco de uso malicioso de seus dados. Uma vez constatado o vazamento de dados e exposição de seus titulares, a notificação deve ser rápida para que consigam se proteger do acesso e utilização dos dados pelos cibercriminosos. Dentre as medidas mais comuns, encontram-se: trocar a senha periodicamente; investir na criptografia; investir em capacitação da equipe; fazer backups constantes de seus dados; criar termos de uso e privacidade, entre outros.

Certo é que para que isto ocorra tão logo que seja constatado o incidente de segurança, a controladora deve, primeiramente, entender o que ocorreu; quais dados vazaram e qual foi a falha de segurança. Não só para reportarem aos titulares dos dados, mas também para que evitarem nova ocorrência por aquele motivo.

Quanto à comunicação, ela deve ser clara em relação ao ocorrido, e principalmente em relação a como proteger seus clientes que tiveram os dados expostos.

Assim, é possível concluir que para saber como notificar vazamentos antes que os incidentes de segurança ocorram, as empresas precisam agir proativa e preventivamente para estarem prontas para notificar quando forem constatados casos de vazamento de dados da maneira mais diligente.

Como as Empresas Devem se Preparar para Tratar Casos de Vazamentos de Dados?

As empresas precisam repensar e aprimorar, sempre que possível, suas ações internas como medidas de segurança focadas em tecnologia da informação. Além disso, devem adotar medidas mais seguras de proteção dos dados que controla, tais como a manutenção de informações em meio físico e gerenciamento dessas informações por pessoas autorizadas.

De todo modo, incidentes de segurança como vazamento de dados podem ocorrer e as empresas devem estar preparadas quando o indesejado evento acontecer.

E por preparadas, compreende-se que elas devem:

1. na medida do possível e por mais simples que seja, possuir uma gestão de dados e segurança da informação e observar as principais normas ISO que tratam de segurança e tecnologia da informação.
2. possuir um comitê de crise para lidar com vazamentos de dados.
3. instaurado o comitê, estabelecem-se os passos a serem seguidos quando um incidente for identificado. E uma ferramenta imprescindível para a gestão de incidentes de segurança é o protocolo do National Institute of Standards and Technology chamado de framework NIST. Ele sugere que as empresas tenham um planejamento para identificarem de pronto quais ferramentas estão ativas para detectar o vazamento, analisar o que ocorreu, recuperar os dados vazados e - se possível - evitar que outros incidentes ocorram por meio da internalização das lições aprendidas de modo a evitar novos incidentes.
4. possuir um plano de respostas a incidentes de segurança.
5. possuir um departamento ou um advogado especialista em privacidade de dados, alguém conhecedor da Tecnologia da Informação (TI) e que seja responsável por toda a organização sobre o que fazer, como fazer, com quem falar, quais outros profissionais devem ser acionados, qual perito deverá investigar e tratar a ocorrência, o que divulgar à imprensa e aos titulares dos dados, além de ações como chamar a polícia em determinadas situações, entre outros.
6. notificar os titulares dos dados vazados e a ANPD embasado no plano de respostas que já deveria estar pronto.

Encarregado ou Data Protection Officer (DPO) Especializado em Vazamento de Dados

À pessoa encarregada da gestão e proteção dos dados pessoais, a lei brasileira deu o nome de Encarregado, que é o equivalente ao Data Protection Officer, ou simplesmente, DPO.

A figura do Encarregado de Dados é obrigatória no trato entre a empresa e o Governo e entre a empresa e os titulares de dados, assumindo importância fulcral na lida diária com incidentes de segurança como vazamentos de dados.

Considerações Finais

De todos os pontos abordados neste artigo, chamo atenção para o fato de que vazamentos de dados acontecem. Por mais que empresas tenham um ótimo sistema de segurança, elas também estão vulneráveis. E no Brasil não é diferente.

Com nossos dados, cibercriminosos podem causar o terror na vida das pessoas e das empresas que além de dados pessoais, guardam segredos empresariais e, diariamente, são vítimas de ataques cibernéticos.

Então o que as empresas podem fazer se o risco de vazamento é alto? A resposta é simples: preparar-se. Devem estar prontas para reagir e evitar maiores prejuízos quando o incidente ocorrer, mas para agir com efetividade, tais ações devem estar previstas num plano de respostas a incidentes de segurança especialmente criado para tais eventos.

Assim agindo, a depender do plano de respostas aos incidentes de segurança que dará suporte às notificações, as empresas preparadas conquistarão a confiança de seus clientes que, por sua vez, permitirão que continuem a guardar seus dados e para eles continuem a vender. Por outro lado, as organizações que não estiverem preparadas, fatalmente perderão mercado e credibilidade.

A situação é perigosa e reclama cuidados. Portanto, as organizações devem estar prontas para reagir quando acontecer. Porque uma hora vai acontecer.

E sua empresa? Já está preparada para quando houver um caso de vazamentos de dados?