n
A série recente de megavazamentos de dados ocorridos no país, que afetou dos sistemas de saúde e Justiça a informações financeiras e de crédito de milhões de brasileiros, chamou atenção para o aumento dos riscos tanto para o cidadão quanto para o setor empresarial. Ao mesmo tempo em que esse processo gera mais visibilidade para o debate sobre a segurança e os crimes cibernéticos, outra pauta ganha força: a ampla iniciativa governamental para construir uma base de dados única e centralizada com as informações pessoais dos cidadãos – o Cadastro Base.
nn
De modo a trazer uma reflexão profunda sobre esse panorama, amparada no que se faz de mais atual na esfera técnica e científica, bem como no que tange a participação dos diferentes atores da sociedade, convidamos para uma conversa um especialista no tema, o professor do Departamento de Engenharia de Computação e Sistemas Digitais da Escola Politécnica da USP e membro do Laboratório de Arquitetura e Redes de Computadores da Universidade, Marcos Simplicio Jr. Vale a pena conferir.
nn
Lado D: Quais medidas podem ser tomadas pelas empresas com o objetivo de garantir a privacidade de dados dos usuários?
nn
Marcos Simplicio: Do ponto de vista técnico, existem algumas medidas possíveis, relacionadas a três princípios gerais: 1) Analisar os sistemas de TI sob a ótica da segurança, identificando riscos envolvidos; 2) Agir para mitigar os problemas detectados; 3) Manter o monitoramento constante para conseguir reagir em caso de falhas. Nesse contexto, ações pontuais incluem:
nn
> O uso de ferramentas de segurança diversas, que devem ser configuradas adequadamente, como sistemas de detecção/prevenção de intrusão e firewalls para a proteção dos serviços internos.
nn
> A adoção de boas práticas de segurança, por exemplo, o controle de acesso, para evitar que usuários internos vazem dados (propositadamente ou após terem suas contas invadidas); a inserção de questões de segurança como parte do desenvolvimento/implantação de sistemas (conceito conhecido como “segurança por projeto”), já que costuma ser muito mais difícil consertar problemas a posteriori; e procedimentos para aplicar atualizações e correções de software com agilidade.
nn
> Considerar a contratação de especialistas em testes de segurança, também conhecidos como testes de penetração (pentesting). Esse tipo de profissional realiza “ataques simulados” em busca de vulnerabilidades que possam ser exploradas no sistema, sugerindo formas de correção.
nn
É importante salientar que nenhuma dessas ações representam uma “bala de prata”, mas ajudam.
nnn
LD: E os próprios usuários, o que podem fazer?
nn
MS: Nesses vazamentos de grande porte, de empresas legítimas, não há muito como se precaver, porque você precisa entregar dados sob o risco de cometer falsidade ideológica. O melhor a fazer é cobrar segurança, por um lado, e por outro, nunca acreditar que só porque alguém tem seus dados, trata-se necessariamente da empresa em questão. Um dos possíveis usos de informações vazadas é exatamente personificar empresas na tentativa de cometer fraudes (por exemplo, enviar boletos de cobrança falsos). Mesmo sem megavazamentos, nossos dados já estão espalhados em muitos lugares na Internet, então toda cautela é pouca.
nn
Já de forma mais geral, é sempre bom evitar a entrega de informações pessoais se não for estritamente necessário ou se não houver um benefício claro. Por exemplo, não é incomum encontrar redes Wi-Fi gratuitas em estabelecimentos comerciais que pedem alguns dados de cadastro, sem especificar a necessidade. É interessante notar que, em parte para evitar abusos, a LGPD dita que as empresas devem informar qual o uso dos dados
n
no momento do pedido.
nn
LD: Na sua opinião, quais conceitos, ferramentas e tecnologias podem ser utilizadas pelas empresas e pelos usuários nesse processo?
nn
MS: Para as empresas, acredito que a resposta à pergunta 1 também se aplica. Já para os usuários, além das ferramentas “cautela” e “desconfiança”, mencionadas na resposta à pergunta 2, há algumas coisas úteis de se conhecer. Parte delas são medidas “clássicas”, por evitar invasões de forma geral, outras têm caráter mais específico:
nn
> Instalar antivírus nos computadores e celulares. No celular é menos crítico, mas ajuda principalmente a evitar a entrada de um malware disfarçado de aplicativo legítimo;
nn
> Manter o sistema operacional e aplicativos instalados atualizados. Antivirus modernos ajudam nessa tarefa.
nn
> Usar senhas fortes pelo menos para os serviços que são importantes, como o e-mail, que é usado para a recuperação de senhas de outros sites, por exemplo.
nn
> Sempre que o serviço suportar, usar um segundo fator de autenticação (por exemplo, ativar o PIN em aplicativos como WhatsApp, Telegram e Signal). Navegadores modernos também facilitam esse processo, seja salvando as senhas do usuário ou criando senhas aleatórias para sites.
nn
> Já como ações mais de “nicho”, voltadas a aumentar o anonimato na rede,
n
pode-se usar ferramentas de e-mail descartáveis (ex.: https://www.guerrillamail.com/pt/); o navegador Tor (https://www.torproject.org/) para navegar na Internet sem revelar o seu endereço IP; e ferramentas que bloqueiam scripts e propagandas e/ou deletam cookies, dificultando mecanismos de rastreamento comumente utilizados por gigantes de tecnologia, como Google e Facebook, para a construção do perfil de usuários. Não são exatamente ferramentas essenciais para o dia a dia, mas em algumas situações podem ser bastante importantes.
nn
LD: O Governo brasileiro trabalha na construção de uma base de dados única e centralizada com as informações pessoais dos cidadãos, o Cadastro Base. O objetivo seria de simplificar a prestação dos serviços públicos. Mas quais os riscos dessa concentração?
nn
MS: Depende de como seria o processo. Se for simplesmente “juntar todos os dados em um único local físico”, cria-se o que é chamado “ponto único de falha”. Aí, o risco é que instabilidades nesse serviço central impeçam a execução de vários outros. A proteção desse banco de dados contra vazamentos (seja por atacantes externos ou pelos próprios usuários do sistema) torna-se mais crítica.
nn
Porém, pode ser uma centralização do ponto de vista “lógico”, ou seja, permitir que os diferentes serviços consigam se intercomunicar e cruzar dados com base em identificadores únicos de usuário. Cada serviço pode manter sua autonomia e coletar apenas as informações que precisa para sua operação. Nesse caso, buscam-se “dados básicos” em um repositório centralizado, potencialmente mantendo cópias locais para que não sejam necessárias novas consultas, exceto para atualização cadastral (em relação a campos que possam ser atualizados, obviamente).
nn
Enfim, esse parece ser um bom exemplo de cenário em que o conceito de segurança por projeto é fundamental. Embora seja bastante razoável promover uma espécie de “cadastro unificado” para facilitar a vida dos cidadãos, é importante considerar aspectos de segurança na construção do sistema. É comum haver boas soluções, equilibrando segurança e usabilidade, para diversos problemas da humanidade. É uma questão de tentar achá-los.
nnn
LD: Considerando as últimas notícias sobre vazamentos de dados, inclusive de bases do Ministério da Saúde, o Brasil está preparado para lidar com possíveis ataques cibernéticos que venham a ocorrer?
nn
MS: Segurança de dados não costuma ser uma prioridade em sistemas computacionais quando comparada a requisitos mais “palpáveis”, como desempenho e custo. Isso vale tanto para o setor público como no privado, com raríssimas excessões. Por exemplo, bancos brasileiros costumam tentar se colocar na vanguarda da questão. Os mecanismos empregados não previnem completamente fraudes, mas certamente ajudam a evitar.
nn
Então, respondendo à pergunta, eu diria que: 1) É possível construir sistemas bastante resilientes a ataques, embora 100% de segurança seja uma utopia inatingível; 2) Sem investir tempo e dinheiro no projeto, implantação e manutenção dos mecanismos de segurança necessários para cada solução, é muito provável que os sistemas resultantes sejam bastante frágeis. Talvez a LGPD ajude a promover sistemas mais seguros no futuro, mas ainda é bem cedo pra dizer que a exceção está próxima de virar regra. A cultura dominante no Brasil (e em boa parte do mundo), hoje, não costuma ser voltada à proteção de dados.
nnn
LD: O Brasil já conta com uma infraestrutura de chaves públicas que garante a segurança jurídica, a integridade e a autenticidade das transações realizadas em diversas esferas, especialmente no judiciário, no sistema fiscal-tributário e no sistema bancário. De que maneira os certificados digitais podem ser melhor utilizados como forma de proteção aos dados pessoais?
nn
MS: O benefício provavelmente é indireto. Se um serviço como a abertura de uma conta bancária, por exemplo, exige a apresentação de uma assinatura digital pela entidade que é a dona de um certificado digital válido, não adiantaria muito para um atacante obter apenas dados de identificação pessoal. Afinal, sem descobrir a chave privada do usuário, ele não conseguiria forjar a assinatura necessária. E a parte boa é que chaves privadas não precisam (nem devem) ser entregues em serviços diversos, ao contrário de informações pessoais como nome, RG, CPF etc.
nn
Portanto, é de se esperar que, com o uso amplo de mecanismos de assinatura digital, seja mais difícil cometer crimes envolvendo roubo de identidade e o efeito nocivo de vazamento de dados de identificação se torne menor.
nnn
LD: Mais de 220 milhões de brasileiros foram vitimas do último megavazamento de dados. Nesse contexto, como os processos de autenticação de usuários podem ser repensados, de modo a impedir o acesso indevido de pessoas não autorizadas, que podem utilizar-se das informações vazadas?
nn
MS: Um bom processo de autenticação de usuário deve usar informações que não sejam fáceis de roubar e/ou de usar após um roubo. Um exemplo do primeiro caso são as chaves privadas, usadas em esquemas de assinatura digital com certificação (conforme abordado na pergunta anterior). Já o segundo caso envolve dois fatores: 1) Senhas que possam ser trocadas rapidamente uma vez que se perceba um vazamento; 2) Informações biométricas, desde que sejam coletadas presencialmente em local controlado, e não remotamente, já que o envio de dados falsos pela rede não costuma ser muito difícil. Basta procurar por vídeos com o termo “deepfake” para entender como é possível burlar mesmos os mais avançados mecanismos de biometria facial.
nn
O ponto crítico que persiste, entretanto, refere-se ao cadastro inicial do usuário. Como verificar se uma pessoa é de fato quem diz ser, antes de cadastrar para ela uma senha/biometria ou emitir um certificado digital em seu nome? Realizar esse processo de forma totalmente on-line nunca foi muito seguro para as empresas. Embora certamente seja mais prático para os usuários, o cadastro on-line também aumenta a facilidade para os fraudadores que, de alguma forma, consigam as informações pessoais de seus alvos. O vazamento de dados só piora a situação, ao potencialmente aumentar o leque de informações à disposição dos criminosos.
nn
Assim, talvez o mais razoável seja, por um lado, incluir esse aumento de risco no modus operandi da empresa e, por outro, considerar a possibilidade de limitar as ações do usuário que não completou seu cadastro presencialmente. É interessante notar que essa abordagem já acontece com vários serviços bancários. Qualquer pessoa pode instalar um aplicativo de banco em seu celular. Mas para acessar uma conta específica, primeiro é necessário ir a um caixa eletrônico de posse de seu cartão/senha/biometria e habilitar aquele celular para aquela conta. Para empresas 100% on-line, que não dispõem de um local físico, não deveria se descartar uma parceria com entidades capazes de fazer essa verificação presencial. Novamente, não existe solução perfeita, mas existem algumas alternativas que balanceiam segurança e facilidade de uso.
nnn
LD: Com a prestação on-line de serviços, especialmente públicos, muito vem se falando sobre identidades digitais, mas os brasileiros ainda têm pouca informação concreta – e técnica – sobre o tema. Poderia explicar aos nossos leitores no que consiste uma identidade digital?
nn
MS: É basicamente uma representação digital de um usuário, que pode identificá-lo em diferentes sistemas. O próprio certificado digital pode ser usado como uma identidade, por exemplo. Em alguns casos, é também comum o uso de endereços de e-mail (vide serviços como “Login com o Google”) ou contas em redes sociais (“Login com o Facebook”).
nn
No setor público brasileiro, o termo “identidade digital” costuma ser usado como sinônimo de Documento Nacional de Identificação (DNI). Seria uma unificação dos diversos documentos que usamos hoje, como certidão de nascimento, RG, CPF, título de eleitor, carteira de habilitação. Nesse caso, o objetivo continua o mesmo: com um só documento, usuários podem ser identificados em vários serviços públicos distintos.
nn
LD: Quais são as boas práticas em relação à emissão e uso de identidades digitais?
nn
MS: Em linha com a resposta à pergunta 7, é essencial que o órgão emissor consiga verificar a identidade real do usuário, mitigando fraudes. A partir daí, é questão de ter mecanismos de autenticação efetivos. Por exemplo, se a identidade incluir um certificado digital, pode-se usar um mecanismo de desafio-resposta e assinaturas digitais (entenda como “se você é de fato o dono desse certificado, assine digitalmente uma resposta contendo este valor aleatório aqui”).
nn
Já do ponto de vista dos usuários, é importante usar mecanismos de proteção disponíveis, para que terceiros não consigam roubar sua identidade por descuido. Vale novamente um exemplo: quando se usa um e-mail como identidade, a senha desse e-mail deve ser bem construída, com uma frase ou letras de uma frase longa, para garantir um comprimento mínimo (ver https://olhardigital.com.br/2020/02/25/seguranca/fbi-recomenda-o-uso-de-frases-chave-em-vez-de-senhas-complexas/). Usar mais de um método de autenticação (como, além da senha, por dispositivo celular) também é importante.
Deixe um comentário