Sociedade

Vazamentos de dados e ataques hackers: o Brasil no centro dos cibercrimes

Especialistas apontam falta de cultura de proteção de dados no País; lei aprovada pelo Congresso é um avanço, mas aplicação é complexa

Foto: Nicolas Asfouri/AFP
Foto: Nicolas Asfouri/AFP
Apoie Siga-nos no

Uma falha no Ministério da Saúde expôs dados de mais de 200 milhões de brasileiros no início de dezembro. Segundo a pasta, “os incidentes reportados estão sendo investigados para apurar a responsabilidade da exposição de base cadastral do ministério”. O episódio aconteceu uma semana depois de vazarem dados de ao menos 16 milhões de pessoas com diagnósticos suspeitos ou confirmados de Covid-19.

 

Na última segunda-feira 7, hackers vazaram dados confidenciais da Embraer, em suposta retaliação pelo fato de a empresa ter se recusado a pagar pelo “resgate” das informações. Entre os dados vazados, há informações de funcionários, contratos e detalhes de simulações de voo.

No caso da Embraer, a ofensiva hacker se deu por meio de um ransomware, software que “infecta” dados e impede o acesso ao sistema até que os criminosos recebam o pagamento desejado.

“Esse vírus infecta o dispositivo da vítima e o sequestra. Em seguida, normalmente há o pedido de resgate. Há o sequestro, a codificação dos arquivos, a inviabilização do acesso do titular ao sistema e o pedido de resgate. As pessoas perguntam muito como acontece esse ataque: normalmente o computador é infectado por meio de links maliciosos, arquivos e apps vulneráveis”, afirma Nathalie Fragoso, coordenadora da área de Privacidade e Vigilância do InternetLab, centro de pesquisa interdisciplinar sobre direito e tecnologia.

Em novembro, o Superior Tribunal de Justiça (STJ) admitiu ter sido alvo de um ataque hacker que criptografou dados e levou o tribunal a suspender sessões e tirar seu site do ar. No mesmo mês, a distribuidora de energia Enel São Paulo sofreu um vazamento que atingiu dados de quase 290 mil clientes em Osasco, na região metropolitana de São Paulo.

Os casos são diferentes, afinal, nem todos se deram a partir de um ataque hacker. Mas o acúmulo de episódios que colocam em risco informações privadas de cidadãos brasileiros levanta dúvidas sobre a segurança dos dados em um mundo cada vez mais digital.

Para Marcelo Chiavassa, professor de Direito Digital da Universidade Presbiteriana Mackenzie Campinas, o Brasil sempre será visado por hackers, “por ser um dos maiores países do mundo”, o que faz com o que o impacto dos ataques cibernéticos seja “muito maior do que em boa parte dos países”. Mas, segundo ele, o Brasil ainda carece de uma cultura de proteção de dados.

“Isso colabora para que as nossas empresas, mas, principalmente, para que o poder público não esteja preparado para isso. É curioso que a LGPD [Lei Geral de Proteção de Dados] entra em vigor, as empresas privadas estão desesperadas, mas os piores incidentes estão vindo do poder público”, afirma.

Em setembro deste ano, entrou em vigor a maior parte da LGPD, marco legal aprovado pelo Congresso Nacional para regulamentar o uso, a proteção e a transferência de dados pessoais no Brasil. Ela prevê, por exemplo, a cobrança de multas no caso de uma empresa não proteger os dados pessoais de clientes.

No mês seguinte, o Senado aprovou os nomes indicados pelo governo de Jair Bolsonaro para compor a primeira diretoria da Autoridade Nacional de Proteção de Dados (ANPD), que tem a atribuição de “zelar pela proteção dos dados pessoais, assegurar a observância de segredos comerciais e industriais e punir eventuais descumprimentos à legislação”. O mandato dos membros da diretoria da ANPD é de quatro anos, mas, nessa primeira composição, tem duração variável entre dois e seis anos.

“O Brasil tem uma legislação, no que diz respeito a crimes cibernéticos, que ainda não é suficiente para os problemas que a gente tem hoje. O que a gente tem hoje, em termos de ataque cibernético, é o artigo 154-A do Código Penal”, explica Chiavassa. No entanto, de acordo com o professor, trata-se de um tipo penal restrito, com uma pena modesta para um crime que funciona mediante representação – ou seja, o Ministério Público só age se for provocado.

O artigo 154-A do Código Penal trata de “invadir dispositivo informático alheio, conectado ou não à rede de computadores, mediante violação indevida de mecanismo de segurança e com o fim de obter, adulterar ou destruir dados ou informações sem autorização expressa ou tácita do titular do dispositivo ou instalar vulnerabilidades para obter vantagem ilícita: Pena – detenção, de 3 (três) meses a 1 (um) ano, e multa”.

“É uma sanção relativamente branda para um crime tão grave. O que a gente tem no artigo é que eu tenho que invadir dispositivo informático alheio, mediante violação indevida de mecanismo de segurança. Então, se, por exemplo, não tiver mecanismo de segurança, não tem violação indevida. Se eu deixo meu celular desbloqueado e você entra e faz o que quiser, não tem violação indevida do mecanismo de segurança. Portanto, eu não consigo enquadrar no artigo 154-A”, exemplifica Chiavassa.

Embora potencialmente perigosos, vazamentos de dados como os do Ministério da Saúde não são os únicos sinais de alerta. Estudo publicado pela empresa Kaspersky, especializada em softwares de segurança, mostrou que, em uma amostra de 30 mil tentativas de sequestro de dados empresariais em todo o mundo entre janeiro e maio de 2020, o Brasil foi o país que mais registrou casos.

Segundo Nathalie Fragoso, o Poder Público e os agentes privados têm “a obrigação de adotar todas as medidas técnicas e administrativas capazes de proteger esses dados”.

“Nos últimos meses, a gente viu sistemas do governo federal e de tribunais sendo atacados, vazamento de senhas para acesso a informações do Ministério da Saúde. O Brasil ainda tem um déficit considerável no que diz respeito à segurança da informação. Apesar de ter havido um esforço nos últimos anos, com o fortalecimento das práticas de segurança, ainda há uma série de providências que precisam ser tomadas”, reforça a especialista.

“Instalação de medidas que permitam o controle de acesso, boas práticas de segurança no compartilhamento legal e justificado de dados, proteção contra malware, providências para que, diante desses incidentes, respostas eficazes sejam tomadas”, diz ainda Fragoso, citando algumas das práticas que devem ser adotadas a partir da entrada em vigor da LGPD para garantir o tratamento seguro de dados.

Leonardo Miazzo

Leonardo Miazzo Editor do site de CartaCapital. Twitter: @leomiazzo

Tags: , ,

Jornalismo crítico e inteligente. Todos os dias, no seu e-mail

Assine nossa newsletter

Assine nossa newsletter e receba um boletim matinal exclusivo

Um minuto, por favor...

Apoiar o bom jornalismo nunca foi tão importante

Obrigado por ter chegado até aqui. Nós, da CartaCapital, temos o compromisso diário de levar até os leitores um jornalismo crítico, que chama as coisas pelo nome. E sempre alicerçado em dados e fontes confiáveis. Acreditamos que este seja o melhor antídoto contra as fake news e o extremismo que ameaçam a liberdade e a democracia.

Se este combate também é importante para você, junte-se a nós! Contribua, com o quanto que puder. Ou assine e tenha acesso ao conteúdo completo de CartaCapital.

Leia também

Jornalismo crítico e inteligente. Todos os dias, no seu e-mail

Assine nossa newsletter

Assine nossa newsletter e receba um boletim matinal exclusivo

Um minuto, por favor...

Apoiar o bom jornalismo nunca foi tão importante

Obrigado por ter chegado até aqui. Nós, da CartaCapital, temos o compromisso diário de levar até os leitores um jornalismo crítico, que chama as coisas pelo nome. E sempre alicerçado em dados e fontes confiáveis. Acreditamos que este seja o melhor antídoto contra as fake news e o extremismo que ameaçam a liberdade e a democracia.

Se este combate também é importante para você, junte-se a nós! Contribua, com o quanto que puder. Ou assine e tenha acesso ao conteúdo completo de CartaCapital.