A Comissão de Ciência e Tecnologia do Senado acabou de realizar um debate sobre o vazamento mais de 220 milhões de registros de dados de brasileiros no começo do ano. Os dados são em maior número que os próprios brasileiros (estimados em 212 milhões) porque incluem informação de muita gente morta.

Requerida pelo senador Carlos Viana (PSD-MG), a audiência pública foi semi-presidencial e tratou da ocorrência (entendida como não investigada e esclarecida de forma correta) e da situação atual do país com relação a problemas de segurança cibernética.

publicidade

O debate contou com a presença de Waldemar Gonçalves Ortunho Júnior, diretor-presidente da Autoridade Nacional de Proteção de Dados (ANPD), Patrícia Peck Pinheiro, presidente da Comissão Especial de Privacidade e Proteção de Dados da OAB, Emilio Simoni, executivo-chefe da empresa de segurança digital PSafe e Carlos Bruno Ferreira da Silva, procurador da República em Minas Gerais. Ao final da audiência, houve abertura para respostas às perguntas feitas pelo telefone da Ouvidoria do Senado e pelo Portal e‑Cidadania.

Viana iniciou a sessão citando os problemas de segurança recentes com o Ministério da Saúde e demais órgãos e instituições de governo. No último dia 10 de dezembro, os sites do ministério comandado por Marcelo Queiroga e do ConecteSUS ficaram fora do ar após um suposto ataque hacker. O problema se estendeu para outras páginas e funcionalidades do governo federal.

O senador seguiu apontando que as guerras globais estão se transformando em guerras de dados, não sendo mais como as que já ocorreram ao longo da história. Em uma possível guerra futura, criar confusões em dados internos de um país pode ser um método de ataque poderoso.

Em seguida, Viana questionou se o Brasil está preparado, se nós, brasileiros, estamos realmente protegidos, como estão sendo usados os dados vazados, quem está com esses dados vazados e etc. Após a abertura, o senador convidou o procurador Carlos Bruno para iniciar sua participação.

Proteção de dados é um direito fundamental

Carlos Bruno apresentou um trabalho sobre proteção e vazamento de dados. O procurador apontou que vazamentos ocorrem frequentemente e mostrou alguns casos de vazamentos recentes. Além disso, indicou que há uma sensação equivocada de que esses problemas são só nossos, no Brasil.

Entretanto, em outros países, os casos de vazamento têm respostas. Por exemplo, a legislação nos EUA é mais compreensiva e rigorosa com relação a vazamento de dados. Para o procurador, é possível ter o mesmo tipo de ação no Brasil. Carlos Bruno também citou o benefício do STF ter reconhecido a proteção de dados como direito fundamental e citou a importância da Lei Geral de Proteção de Dados (LGPD).

procurador Carlos Bruno na audiência do Senado
Imagem: Reprodução/YouTube

A participação do procurador continuou, com ele mostrando diferentes formas de vazamentos de dados. Um ponto essencial de sua apresentação apontou que o controlador de dados tem obrigação na proteção das informações pessoais que controla, com a obrigação enorme de focar na segurança e na privacidade. Além disso, os dados precisam ser recolhidos da mínima forma possível. Controlador de dados é a pessoa natural ou jurídica, de direito público ou privado, responsável pelas decisões referentes ao tratamento de dados.

Para o procurador, a não manutenção de segurança causa responsabilização do controlador de dados. Carlos Bruno destacou os Artigos 42, 48 e 52 da LGPD, que tratam de responsabilização, incidentes de segurança e sanções previstas, respectivamente. Por fim, elogiou atuação da Autoridade Nacional de Proteção de Dados (ANPD) e citou a Convenção de Budapeste, um tratado internacional sobre direito penal e direito processual penal, firmado no âmbito do Conselho da Europa a fim de promover a cooperação entre os países no combate aos crimes praticados por meio da internet e com o uso de computadores.

Há um apagão de segurança digital no Brasil

Patrícia Pinheiro, da OAB, iniciou sua apresentação compartilhando slides mostrando a extrema relevância do tema de segurança cibernética junto ao vazamento de dados dos mais de 220 milhões de brasileiros. Para a advogada, o Brasil sofre hoje um apagão de segurança digital, sendo 2021 o ano da insegurança cibernética.

Entre seus questionamentos, Patrícia perguntou por que chegamos a esse ponto. Em seguida, ela afirmou que a sociedade digital depende tanto de infraestrutura digital, a ponto do exercício da própria liberdade depender dessa infraestrutura. Tudo em um contexto de dados pessoais sensíveis e do furto de identidade das vítimas dos crimes cibernéticos.

Advogada Patrícia debatendo no Senado sobre vazamento de dados
Imagem: Reprodução/YouTube

Como exemplo da gravidade da situação, a advogada apontou quando uma pessoa consegue se passar por outra – a fraude eletrônica foi o que mais aconteceu este ano e afetou, inclusive, o custo Brasil. Patrícia perguntou como será possível recuperar a confiabilidade das informações.

A advogada disse que é possível fazer contas, cartão de crédito, realizar cadastro em partidos políticos “como se fosse outra pessoa”. Em outro momento, ela citou casos de ataques de sequestro de dados e perguntou se nossa legislação criminal já ataca devidamente esse tipo de problema, chamando para uma reflexão nesse sentido.

Os EUA foram novamente citados como exemplo positivo e Patrícia apontou para os problemas com segurança nacional no Brasil diante do atual cenário de aumento extremamente elevado de ataques cibernéticos. Para a advogada, faltou ao Brasil fazer seu dever de casa nos últimos anos.

Com a pandemia, os brasileiros inevitavelmente ficaram mais digitalizados, ocorrendo um uso acentuado de recursos de nuvem e com a população ficando com medo dos problemas de segurança. Porém, Patrícia disse que não pode haver paralisia, e que é necessário haver investigação e ir adiante nos casos de vazamentos, com devida punição para os criminosos cibernéticos.

Segurança cibernética forte por meio da Educação

Para fortalecer a segurança, a advogada crê que campanhas públicas educativas auxiliarão a população para se proteger. Além disso, é necessário investimento em segurança (aumento de recursos em tecnologia, processos e pessoas).

Patrícia explicou que vazamentos de dados ocorrem por conta de incidentes de segurança, que causam inclusive paralisia do serviço público, com bloqueio, barreira e dificuldades graves para recuperação de forma confiável de dados. Ainda junto às causas de vazamentos, a representante da OAB disse que eles ocorrem por omissão e ação, por meio de uso de senhas fracas, por conta de facilitadores internos (pessoas), por falta de práticas como backup e por erros de configuração de sistemas digitais.

A advogada apontou para a necessidade de uma política pública de priorização da proteção de dados. A lei já está vigente e as instituições precisam colocar em prática o que a legislação determina. Patrícia citou o Decreto 10.222/2020, que aprova a Estratégia Nacional de Segurança Cibernética e disse acreditar que penas mais severas para crimes cibernéticos (sequestro e vazamento de dados), ao nível de ciberterrorismo, seriam válidas. Por último, a representante da OAB expôs que os problemas de segurança digital podem afetar gravemente setores críticos nacionais, como o fornecimento de água, de energia e outros serviços públicos.

O Brasil passa por um processo de mudança cultural

Waldemar Gonçalves, da ANPD, iniciou sua apresentação indicando que o vazamento de dados de 220 milhões de pessoas no Brasil afeta, praticamente, todos os cidadãos brasileiros. Para ele, a aprovação da LGPD foi positiva, sendo uma lei moderna.

O engenheiro eletrônico disse que estamos em processo educativo e mudança de cultura no Brasil. Entre os problemas atuais relacionados à essa condição social, está a pressa das pessoas antes de aceitar termos de serviços e uso de dados, por exemplo.

Engenheiro Waldemar, da ANPD
Imagem: Reprodução/YouTube

Waldemar citou trabalhos da ANPD junto ao MEC e ao Núcleo de Informação e Coordenação do Ponto BR (NIC BR) para o desenvolvimento de cartilhas educativas. As pessoas precisam entender quais são os seus direitos a respeito de seus dados e informações.

Quem controla os dados tem total responsabilidade pelos vazamentos

Com relação ao vazamento de dados de 220 milhões de brasileiros, o diretor da ANPD disse que o órgão tomou conhecimento do ocorrido no dia 19 de janeiro deste ano, e que desde então busca-se saber quem são os controladores que deixaram que esses dados fossem vazados. Tais controladores teriam total responsabilidade sobre o vazamento.

Waldemar disse que a ANPD possui um caráter de regulação e fiscalização da realidade cibernética do Brasil. Além disso, o órgão busca as melhores técnicas e os formatos mais modernos de ação, com o auxílio/orientação de autoridades de outros países sobre proteção de dados.

Um caso típico de preocupação citado pelo engenheiro foi a respeito do compartilhamento de dados entre Facebook e Whatsapp. Houve então uma atuação de forma conjunta da ANPD com outros órgãos e instituições para buscar um resultado positivo para todos, inclusive para as mídias sociais.

O diretor do órgão lembrou que qualquer ocorrência de vazamento de dados, conforme a LGPD, deve ser relatada pelos controladores de dados e que casos de invasões e de problemas de segurança digital sempre vão ocorrer. Os criminosos também melhoram suas formas de ataque, e o 5G vai agilizar as ações negativas, mas também as positivas. Para Waldemar, é necessário o uso de guias de boas práticas nesse sentido.

Já os controladores de dados apresentam falta de políticas eficazes de segurança. É preciso que seja entendido que os dados estão sob a responsabilidade do controlador, e que ele vai responder por quaisquer problemas relacionados aos dados pelos quais é responsável.

Foco em comunicação contra problemas de vazamento de dados

Como estratégias de mitigação e resposta aos problemas de vazamento, Waldemar aponta para uma comunicação confiável, trabalhada em avisos à comunidade, além de publicidade sobre incidentes e de resposta coordenada aos incidentes. Para ele, menos é mais (órgãos e controladores não devem ter mais dados pessoais dos cidadãos além daqueles que realmente são necessários).

Waldemar finalizou sua participação dizendo que a ANPD deseja alterar sua natureza jurídica e se tornar uma autarquia para melhorar suas ações. O diretor-presidente do órgão comparou os trabalhos da ANPD com os de outras agências semelhantes que agem junto à energia, transporte, saúde e alegou que sua estrutura, apesar de pequena, é bem atuante.

Comercialização de dados vazados ocorre não só na deep web

O representante da empresa de segurança digital PSafe, Emílio Simoni, começou sua participação sendo perguntado pelo senador Carlos Viana se houve realmente o vazamento de dados de mais de 220 milhões de brasileiros. O desenvolvedor e pesquisador de segurança parabenizou a iniciativa do Senado com a audiência e, em seguida, confirmou a ocorrência do vazamento.

Emílio disse que a PSafe realizou o monitoramento de fóruns, ofertas de vendas de dados (de empresas e individuais) e coletou amostras que foram compartilhadas com a ANPD. Foi identificado um site na internet utilizado para consulta por nome, cpf, endereço, em que pessoas mal intencionadas fizeram buscas por pessoas com alta renda. Tais ações indicavam que as informações eram usadas para cometimento de crimes cibernéticos e outros, por exemplo.

Houve comercialização de dados na deep web e até mesmo na internet normal e a PSafe confirmou que os dados pessoais eram reais. Emílio apresentou slides com dados da PSafe mostrando o crescimento desproporcional de ciberataques por conta da pandemia da Covid-19.

Emílio Simoni, da PSafe
Imagem: Reprodução/YouTube

Três grandes vazamentos foram destacados. Além dos mais de 220 milhões de dados pessoais de brasileiros, o desenvolvedor mostrou o caso dos 426 milhões de dados vazados de uma empresa de telefonia e a identificação do site na internet com dados de operadoras de telefonia e de streaming de TV (extremamente ricos em informação).

Uma abundância de dados vazados

Emílio disse que os cibercriminosos vêm criando bases enriquecidas que não são de uma única fonte. Suas atuações passam inclusive pela venda de informações pessoais por meio de painéis de consulta. Nessa situação, os criminosos recebem o nome, número de documento, telefone ou até mesmo perfil sócio-econômico de potenciais vítimas e retornam as informações aos interessados.

Em se tratando de um problema global, o desenvolvedor apontou para uma abundância de dados vazados que se torna um prato cheio para a prática de crimes digitais. Entre os números informados pela PSafe, há 17 bilhões de dados vazados em todo o mundo, sendo mais de 1 bilhão sob domínio “.br” (ou seja, brasileiros).

Emílio disse que os problemas com ransomware já causaram prejuízo de US$ 6 trilhões (mais de R$ 34 trilhões) no mundo todo, sendo os mais agudos na realidade atual. O representante da PSafe aponta que o reaproveitamento de senhas é um grave problema hoje e que a engenharia social tem sido muito usada para a prática de golpes.

Como exemplo do aumento dos casos de golpes na internet, foi citada a Black Friday deste ano, que teve crescimento de 10% nos problemas com relação à do ano passado. Já o ransomware aparece como uma grande ameaça desta “ciberpandemia” atual, principalmente tendo em vista a abundância de dados vazados. Além disso, as quadrilhas de ransomware perceberam um modelo de negócio muito lucrativo, onde o programador e a equipe que cria o ransomware já contam com um sistema de afiliados.

A situação é muito preocupante

No encerramento, entre as perguntas feitas pelos cidadãos e interessados, houve uma sobre quem vazou os dados de mais de 220 milhões de brasileiros. Waldemar respondeu que a Polícia Federal e a ANPD chegaram em dois criminosos, um de Uberlândia e outro de Petrolina. Entretanto, ainda aguarda-se a conclusão do inquérito.

Pelo grande volume, a coleta é resultado de anos de diversos vazamentos. Logo, há muita dificuldade para obter nomes de responsáveis por tais vazamentos. O engenheiro aproveitou para dizer que o Brasil precisa de um centro de tratamento de dados, com ferramentas, processos e apoio.

Senador Carlos Viana debatendo vazamento de dados
Imagem: Reprodução/YouTube

Outras perguntas foram no sentido de melhorias de leis, como focadas em mecanismos melhores de autenticação, e aplicação de multa. A representante da OAB respondeu que é necessário pensar no contexto do Brasil. Há um cenário desafiador que exige o início de um ciclo de fiscalização. Na parte criminal, Patrícia disse que é necessário haver um aumento na aplicação de penas, inclusive com relação ao sequestro de dados.

Quase ao final da audiência, foi observada a grande necessidade do fator duplo de autenticação do usuário na atual realidade, e que esse recurso deveria ser exigido de forma regulatória. O senador Carlos Viana finalizou o debate público mostrando muita preocupação, dizendo que o Brasil demorou demais para agir em termos de ciberataques. Para ele, o próprio Estado brasileiro ainda não se adequou com relação ao que a própria legislação nesse sentido exige.

Leia mais:

Já assistiu aos nossos novos vídeos no YouTube? Inscreva-se no nosso canal.