Recente invasão ao ConecteSUS e DataSUS expõe fragilidades em sistemas nacionais
Não é difícil encontrar oferta de datacenters ou pen-drives com dados confidenciais de brasileiros. Hackers vendem dados sigilosos de pessoas físicas e jurídicas. Existe uma rede de “tráfico de dados” no Brasil que precisa ser desmantelada. Reportagens denunciam como funcionam essas bases vendidas por criminosos, que possuem dados do presidente e ministros do STF.
Os dados completos de milhões de brasileiros estão expostos na internet em sites que podem ser acessados por quem se dispuser a pagar uma mensalidade que varia em torno de R$ 200. Todas as informações ficam organizadas no que os vendedores apresentam como “painéis”. Para acessá-los, é necessário ter um login e uma senha. É possível acessar qualquer informação sobre o usuário e nem precisa estar conectado na deep web, basta navegar normalmente e já é possível encontrar e negociar com estes “traficantes de dados”.
Apesar das proteções trazidas aos titulares pela Lei 13.709/2018, não há uma previsão específica na lei para o crime de venda de dados pessoais obtidos de forma ilícita. Mesmo a legislação consumerista não tem uma previsão de criminalização desta conduta adequadamente. Quando vamos para o Código Penal, há o crime de invasão (art. 154-A), o de estelionato e fraude digital (art. 171, conforme a Lei 14.155/2021, o de extorsão (art. 158, aplicado nos casos de sequestro de dados), mas em todos eles a punição se aplica a condutas resultantes ou da forma de obtenção ilícita de dados ou do seu uso ilícito. Mas não da comercialização em si.
A questão é que quando a origem dos dados é ilícita, aquele que os adquire corre o risco de sofrer penalidade de multa no seu tratamento, previsto pelo artigo 52 da LGPD. O preocupante é que essa prática cresce cada vez mais. Assim, vemos um caminho cada vez mais facilitado para que os cibercriminosos realizem práticas ilícitas. Temos que combater com mais rigor o crime organizado digital. O cidadão está desprotegido. O incidente mais comum é o de “furto de identidade” onde alguém consegue se fazer passar por outra pessoa em cadastros por ter seus dados e comete uma fraude.
A recente invasão ao ConecteSUS, Painel Coronavírus e DataSUS é um exemplo preocupante de onde surgem as fragilidades, já que foi detectado na rede do sistema federal o uso de senhas fracas, ausência de criptografia e de ferramentas de duplo fator de autenticação. Será que os brasileiros vão ter que conviver com o fato de que seus dados pessoais não têm proteção? E quem vai pagar esta conta pelos danos causados ao cidadão?
Esse tipo de ocorrência deixa nítido como nosso sistema está vulnerável. A invasão com a possibilidade de tornar indisponível toda a rede e alcançar não só uma instituição revela que o nosso nível de segurança cibernética está realmente aquém do que deveria, considerando a necessidade de garantir e proteger as informações dos brasileiros. O ambiente de nuvem dos órgãos federais deveria estar muito mais protegido.
Se 2021 foi o ano do apagão digital, 2022 deveria ser o da segurança virtual. Não adianta proteger só o seu perímetro. Para um ataque hacker, basta entrar pela porta dos fundos. O país não fez o seu dever de casa. A falta de prioridade com a cibersegurança fica evidente a cada novo incidente que presenciamos. Conforme divulgado pelo jornal O Globo, os investimentos para implantação de sistema de defesa cibernética nacional caiu de R$ 15 milhões em 2019, para R$ 12 milhões em 2020 e somente R$ 7 milhões até dezembro de 2021.
Primeiro, precisamos reconhecer que existe uma falha profunda em vários sistemas e a maior exposição está no ambiente da administração pública. E há necessidade de aplicação de medidas emergenciais pelas Autoridades.
Segundo, não há mais confiabilidade sobre os documentos de identificação e isso provoca não apenas a escalada da fraude como o aumento do custo Brasil. Esta situação exigirá a criação de um novo modelo que permita restabelecer a certeza da identidade – mas isso só pode ocorrer quando as Instituições estiverem com um padrão mínimo de atendimento à Lei Geral de Proteção de Dados Pessoais (LGPD).
Terceiro, está faltando fiscalização e ação efetiva e rápida de uma força tarefa especial de polícia especializada para combate ao crime organizado digital. É urgente identificar os agentes facilitadores que estão dentro das Instituições, que permitem o acesso aos dados que alimentam direta ou indiretamente a rede de oferta ilícita de dados. Estes precisam ser punidos de forma exemplar.
O que está por trás dos ciberataques
Independente da forma ou abrangência, essas ocorrências digitais sempre trazem impactos para a reputação das organizações atingidas. Normalmente elas ocorrem explorando brechas e vulnerabilidades que podem ser tanto técnicas como comportamentais, de forma intencional ou por mera facilitação ou negligência, e nem sempre estão atrás de ganhos financeiros. Há casos com motivação política, por vingança ou insatisfação, por descumprimento contratual ou até mesmo por motivos passionais.
Esse conjunto de ações também pode ser dirigido a testar e atacar sistemas de informação, roubar ou adulterar bases de dados. Alguns ataques podem ter objetivos reputacionais, quando atuam de forma a prejudicar pessoas, instituições ou empresas. Neste caso, pode atentar tanto contra equipamentos e sistemas que operam na rede – anulando seus serviços, invadindo bases que armazenam informação, espiando, roubando – ou usando as informações para fazer chantagens.
Mas o principal dano é o reputacional, que afeta a fundo o comércio, a imagem comercial e o potencial de geração de negócios. Se uma organização sofre um ciberataque, além de ter que lidar com todo o prejuízo e eventuais medidas legais, ainda precisa administrar a repercussão do evento e conquistar de volta a confiabilidade dos seus clientes/usuários e restabelecer um ambiente seguro para continuidade das relações e trocas de informações. Por isso, deve-se investir em prevenção, mas também ter um bom plano de resposta a incidente, para saber agir rapidamente no caso de uma ocorrência.
É preciso barrar o crime digital organizado
Vivemos um ano de apagão de segurança digital. O país se transformou em ameaça número 1 de ataques cibernéticos e sequestros de dados. É preciso melhorar a legislação criminal para punir de maneira mais enérgica o crime de sequestro de dados. Nosso ‘dever de casa’ é entender o motivo dos nossos dados estarem tão vulneráveis. Estamos atrasados em cumprir a LGPD, em alcançar a conformidade e auxiliar as instituições a se adequarem à nova legislação.
É preciso intensificar campanhas públicas educativas para auxiliar a população a se proteger e a denunciar práticas ilegais. Seria importante exigir que segurança digital venha de fábrica, ou seja, que o uso de segundo fator de autenticação venha habilitado por padrão em dispositivos móveis como celular e aplicações digitais para que o usuário já inicie o uso de forma mais protegida (e não que seja algo opcional). E isso pode ser feito via exigência legal (normativa).
O Conselho Nacional de Proteção de Dados (CNPD) tem essa missão de acompanhar e auxiliar o trabalho evolutivo junto à Autoridade Nacional de Proteção de Dados (ANPD) para execução de um plano de ação para que o Brasil alcance um grau de maturidade mais elevado nesta pauta e consiga inclusive a decisão de adequação junto à Europa. A Autoridade precisa ter uma fiscalização mais efetiva dos setores críticos. É preciso constituir uma força tarefa especial para combater o crime organizado digital e estabelecer uma política pública que permita as Instituições avançarem em segurança digital, com recursos humanos e orçamento de maneira a garantir um grau maior de proteção para os dados do cidadão brasileiro em 2022.
Um passo importante foi a recente adesão do Brasil à Convenção sobre o Crime Cibernético, celebrada em Budapeste, na Hungria, em novembro de 2001 (Projeto de Decreto Legislativo 255/2021). Essa atuação conjunta com órgãos e entidades da administração pública (competência fiscalizatória para atuação com autoridades de outros países e com órgãos e entidades públicas no processo de fiscalização) está presente inclusive no Regulamento do Processo de Fiscalização e do Processo Administrativo Sancionador, aprovado em outubro pela ANPD.
À época, o órgão passou a integrar a Rede Ibero-Americana de Proteção de Dados, justamente para estabelecer instrumentos de colaboração institucional entre Autoridades e promover a disseminação do direito à proteção de dados pessoais.
Como acontece com qualquer legislação nova, é preciso uma mudança de cultura e de procedimentos. Para isso, é necessário um trabalho conjunto, em que todas as organizações invistam na proteção de dados como prioridade e tenham também uma frente forte de conscientização, treinando e ensinando os funcionários para que sejam a primeira linha de defesa da instituição, empregando recursos em treinamento, cursos e materiais que desenvolvam e capacitem as habilidades dos colaboradores para lidar com situações de ameaça cibernética.
Por Patricia Peck, especialista em Direito Digital e sócia-fundadora do Peck Advogados. Postado originalmente no LexLatin.