Ok, olha eu aqui mais uma vez escrevendo sobre vazamento de dados e, pior, sobre dados pessoais de milhões de brasileiros e inclusive de algumas figuras políticas. (do Presidente, ministros e outros figurões).
Eu estou ficando sem criatividade para os títulos como no trocadilho de “parem as máquinas” (fechem as torneiras) que na época de jornais impressos esta era a frase temida, pois significaria a necessidade de revisar o jornal que estava sendo impresso e que logo cedinho sairia para informar a população. Mas pense bem se não seria esse o momento de pararmos para revisar o que está acontecendo com a tecnologia e as informações em meio aos compliances e leis. Não seria a hora de parar as máquinas e fechar as torneiras?
Pouco tempo atrás tivemos o STJ sendo hackeado, eleições e um novo hackeamento (sobre este não temos ainda muitas informações). E agora o Ministério da Saúde com cerca de 16 milhões de pessoas que tiveram suas informações vazadas. Às vezes me pergunto qual o fetiche dos invasores com o estado? Ou será que os hackeamentos de empresas privadas não são tão divulgados?
Relacionado: O custo de um vazamento de dados e como pode arruinar o seu negócio
Bem, o caso da vez foi um vazamento de dados e não uma invasão em algum sistema super sofisticado. O que aconteceu foi que, durante uma parceira do Ministério da Saúde com o hospital Albert Eistein para um estudo sobre a pandemia do Covid-19, um rapaz achou que seria legal fazer um teste no GITHUB publicando uma lista de usuários e senhas que davam acesso aos sistemas E-SUS-VE (reúne casos suspeitos e confirmados de COVID-19) e Sivep-Gripe (registra internações por Síndrome Respiratória Aguda Grave — SRAG). O nobre rapaz em sua defesa disse que seria um teste e que tinha esquecido de apagar a lista. Alguns amigos e clientes ficam bravos comigo quando falo do perigo dos sistemas de colaboração e que eles deveriam ser menos dependentes de ferramentas que às vezes estão lá só para embelezar ou para servir de muleta para “preguiçoso” que quer tudo pronto.
Entre as pessoas que tiveram a privacidade violada, com exposição de informações como CPF, endereço, telefone e doenças pré-existentes, está o presidente Jair Bolsonaro e familiares; o ministro da Saúde, Eduardo Pazuello; outros seis titulares de ministérios, como Onyx Lorenzoni e Damares Alves; o governador de São Paulo, João Doria, e mais 16 governadores, além dos presidentes da Câmara, Rodrigo Maia, e do Senado, Davi Alcolumbre.
E agora?
Depois do estrago causado por este rapaz, eu continuo acreditando que conscientizar as pessoas sobre segurança e cyber security é ainda uma das formas mais eficazes de combater vazamentos e brechas de segurança. Isso aconteceu em uma empresa privada que vazou dados que deveriam ser resguardados por um órgão público, o que torna a situação ainda mais intragável quando falamos da LGPD. Se fosse uma empresa privada vazando dados de seus clientes / colaboradores, o tratamento seria diferente? Já teríamos uma multa milionária com base na LGPD? Acho que não vamos ter essas respostas, mas queria deixar claro que punir ainda é uma forma de educar e prevenir que esses dados sejam tratados da forma errônea e desprezível. Outro ponto importante para o pós-vazamento, seria revogar e auditar todas as contas vazadas de forma que seja possível mensurar o tamanho do prejuízo e trabalhar numa correção. Neste ponto, é óbvio que vou fazer meu jabá, pois com nossas ferramentas seria uma “mão na roda” esse meio de campo do cyber security, seja auditando ou seja protegendo contra ameaças internas ou externas.
Se bem que, no caso em que você dá a chave da casa para o bandido, não há segurança ou câmeras que possam impedi-lo de entrar.
