Em meados de setembro (2022), o Banco Central confirmou o quarto vazamento de informações relacionadas à chave PIX, desde o lançamento do meio de pagamentos em fevereiro de 2020. Na época, entre 1º de julho e 14 de setembro, cerca de 137 mil dados de natureza cadastral, sob a guarda e a responsabilidade da ‘Abastece Aí’, foram expostos em virtude de ‘falhas pontuais em sistemas da instituição de pagamento’ – de acordo com o BC. Mais recentemente, a ‘Porto Saúde’ divulgou uma nota na qual se dizia ciente sobre a exposição indevida de dados de algumas das empresas parceiras. Na última quinta-feira de novembro (24), de acordo com a investigação do Cybernews, quase 500 milhões de números de celular de usuários do WhatsApp estavam à venda na deep web. Ao todo, 84 países foram afetados pelo vazamento, sendo o Brasil o 20º da lista, com 8 milhões de números vazados. Por fim, listo – a título informativo – o vazamento de dados que expôs 5,4 milhões de contas do Twitter no início do ano e que, agora, foram novamente expostos em um fórum de hackers, de acordo com o BleepingComputer.
Percebe-se a ocorrência em várias fontes e o Brasil está na 12ª posição do ranking de países mais atingidos. No ano de 2018 foram registrados três grandes incidentes; em 2019, o número chegou a 16 – um aumento de 493%, segundo pesquisa do MIT (Massachusetts Institute of Technology). Já em janeiro de 2021, 223 milhões de dados pessoais foram vazados e, no mês seguinte, 102 milhões de contas de celular caíram na rede. Pelos dados da holandesa Surfshark, empresa de segurança cibernética, estima-se que 455 brasileiros tenham seus dados expostos na internet a cada minuto. O que corrobora para os cerca de 3,2 milhões de pessoas que, apenas no segundo trimestre de 2022, tiveram informações como RG, CPF, CNH, registros bancários, números de celular e outros documentos vazados no país. Diante das comunicações que garantem a segurança da operação, você sabe porque esses eventos acontecem?
Para explicar este contexto, faço uma analogia com uma empresa responsável por transportar valores em carro forte. Considere um banco com cofres, sistema de segurança e equipe devidamente treinada e fortemente armada em carros-fortes blindados. Vê como há todo um aparato para garantir que o transporte seja feito da maneira mais segura possível? Assim também ocorre com a montagem da governança e a segurança do processo de tráfego de dados. As empresas montam seus sistemas com firewall, criptografia e uma malha de cibersegurança que garante que o perímetro esteja seguro para manuseio, uso e transporte de dados, sempre respeitando a LGPD (Lei Geral de Proteção de Dados, promulgada para proteger os direitos fundamentais de liberdade e de privacidade e a livre formação da personalidade de cada indivíduo). Entretanto, assim como ocorre com as empresas de carro-forte, o risco não está apenas no transporte, mas nos inúmeros elementos que precisam ser previstos e monitorados ao longo do trajeto com o intuito de que todas as pessoas, rotinas e processos estejam alinhados e seguros, sem falhas nas barreiras de proteção.
No entorno da segurança de dados ocorre o mesmo. O risco não está somente no transporte dos dados entre as empresas. Cada pessoa, sistema, banco de dados e os demais elementos de todas as empresas envolvidas na operação precisam estar sob uma governança de segurança de dados que garanta que nenhuma tentativa de invasão seja bem-sucedida, que os acessos às informações e aos bancos de dados estejam somente com as pessoas responsáveis e que os procedimentos sejam seguidos rigorosamente por todos os funcionários (que devem estar bem e regularmente treinados) para que este tipo de ocorrência seja infrutífera. Em caso de alguma inconformidade, o sistema torna-se suscetível e tal vulnerabilidade é maior à medida que a preocupação e governança de segurança de dados é menor. Falhas humanas, na política de acesso a um sistema ou base de dados, assim como falhas no armazenamento da informação ou na segurança de algum equipamento da rede interna da empresa (como notebook, impressoras wi-fi, drives de DVD, pen-drives etc.) são alguns exemplos que culminam no vazamento de informações.
Tendo em vista que essas são as principais causas, existem algumas maneiras de prever e, consequentemente, mitigar as chances dessas falhas ocorrerem. O primeiro passo é contar com uma governança de segurança de dados bem estruturada, ativa e proativa para a criação de uma malha de cibersegurança. A segunda dica é potencializar treinamentos e simulações de situações que poderiam colocar a empresa em risco. No que tange a falha de acesso, a governança atua na definição de permissões para cada usuário e o nível de confidencialidade da informação que ele pode acessar. Já para mitigar a falha no armazenamento da informação, a governança define quais informações podem ser extraídas do perímetro seguro e quais podem ser manuseadas em áreas individuais. Por fim, as falhas de segurança dos equipamentos internos podem ser minimizadas com uso de firewall e antivírus sempre habilitados e atualizados, incluindo realização recorrente de testes preventivos que simulem possíveis ataques externos.
Resumindo, é a governança quem cria uma malha de cibersegurança para, essencialmente, garantir que o perímetro de segurança seja definido e assertivo em torno da identidade de uma pessoa ou elemento. Quando tal governança não está bem estruturada, abre-se precedentes para notícias como as supracitadas.
*Kendji Wolf ocupa o cargo de Diretor Executivo da Qads. Formado em estatística pela UNICAMP, com pós-graduação em Marketing pela FGV, MBA pela Fundação Dom Cabral com especialização no IEDE (Barcelona) e Internet of Things no MIT. Com mais de 20 anos trabalhando com Analytics, Machine Learning, Big Data, IA, conquistou sua carreira em empresas como VIA, Santander, Telefônica/Vivo, Bank Boston e TIM. É também professor do curso de Analytics aplicado a BIG DATA na PECE-POLI (USP) e do MBA em Customer Experience na SEDA Executive Education.