Por Gabriel Shiozawa, analista e consultor na Istari
Nesta sexta-feira, 19/03, a Polícia Federal (PF) prendeu preventivamente um hacker na “Operação Deepwater”, que investiga o megavazamento de dados de pelo menos 223 milhões de brasileiros. Para quem teve os dados vazados – basicamente todos os brasileiros – o que isto significa?
Infelizmente, pouco. Mesmo que o hacker investigado seja de fato o principal responsável, os dados já foram vazados. Não há como “desvazar” informações que foram publicadas e vendidas. Assim, esses dados podem ser usados para uma infinidade de golpes que já existem e outros que serão criados.
Você pode – e deve – se proteger para diminuir os riscos, como debatemos neste post. Mas o problema é que um vazamento massivo como este não pode ser resolvido individualmente. Nem na proteção de cada um nem na responsabilização de um hacker.
Um problema de nível nacional merece soluções de nível nacional. Investigar quem foi e de onde vieram os dados é nada mais que o básico. Ao menos isto parece estar avançando, ao observarmos esta operação. Ainda assim, o ritmo é lento. Foram meses para prender alguém que supostamente vendia dados e falava sobre o vazamento em sua própria conta no Twitter – uma segurança operacional (OPSEC) tão baixa que não deve ter dificultado muito a investigação.
Risco de megavazamento e avisos ignorados
Pouco foi feito para remediar os possíveis danos e evitar novos vazamento gigantes. O pesquisador e professor Ronaldo Lemos continuamente falou sobre a concentração de dados. Ele apontou a centralização de dados por birôs de crédito, como SPC e Serasa, e os riscos inerentes. Não houve alteração e veio o megavazamento. Para o futuro, é necessário impedir estas concentrações.
Novos dados
Se os dados não podem ser “desvazados”, devemos proteger os do futuro. Isso não precisa ser distante: novos documentos, como uma carteira de identidade nacional, poderiam ser protegidos e priorizados, diminuindo o valor relativo dos dados já vazados. Não seria tão difícil assim. Afinal, uma nova carteira de identidade já tem previsão de ser adotada no país – embora continuamente adiada.
Proteção aprimorada
Dados e vazamentos desta magnitude devem ser protegidos de maneira mais eficiente. Essa função é da recente Autoridade Nacional de Proteção de Dados (ANPD), mas não só. Cabe integrar a proteção dos dados a órgãos de segurança, como a própria PF. Até mesmo o Comando de Defesa Cibernética (ComDCiber) do Exército Brasileiro deve acompanhar este processo. O vazamento das informações de todos os brasileiros é um problema não só de privacidade e segurança – compromete soberania e defesa nacional também.
Esta proteção, claro, não pode ser mais danosa que as ameaças. Passar por cima da privacidade dos dados para proteger os dados não faz sentido algum. Não deve haver grandes aparatos de vigilância, uso indevido de informações e backdoors. Além de violar a privacidade, direitos e liberdade, o efeito de longo prazo é tornar a internet menos segura e os dados mais vulneráveis.
