Certamente, muito se fala sobre as implicações da LGPD em empresas de capital privado e a importância dela para o funcionamento desses negócios. No entanto, quando analisamos a LGPD para órgãos públicos, podemos perceber que ainda há muito o que ser discutido.
Continue no texto e entenda quais são os riscos de uma má implementação da Lei e confira informações sobre os principais casos dos últimos anos, envolvendo o setor público. Boa leitura!
Vazamentos de dados em órgãos públicos
O Capítulo IV da Lei dispõe as diretrizes sobre o tratamento de dados pessoais pelo poder público, e perpassa inclusive a Lei de Acesso à Informação, n° 12.527 tendo em alguns momentos a ressalva de que as mesmas aplicações previstas para empresas de capital privado e misto estão sujeitas à União, aos Estados e Municípios.
Em resumo, o poder público lida com dados cadastrais de toda a população, seja para a implementação de políticas públicas, seja para o registro e conformidade das bases sobre os cidadãos.
E na realidade, esses órgãos administrativos coletam uma imensa quantidade de dados, como nome completo, RG, órgão emissor, CPF, nome da mãe, CNH, registros de porte de arma, endereço, renda, entre outros.
Se todas essas informações não estiverem realmente seguras, podem ser um prato cheio para ataques de cibercriminosos. E como veremos neste texto, infelizmente não é muito difícil que eles consigam acessar essa base de dados tão rica, com informações de milhões de cidadãos.
Vazamento de dados do SUS
Em 2019, uma matéria do UOL relatou o vazamento de dados de cerca de 2,4 milhões de usuários do SUS (Sistema Único de Saúde), supostamente expostas no dia 11 de abril daquele ano.
O vazamento envolveu um banco de dados com informações sensíveis, como nome, nome da mãe, endereço, CPF e data de nascimento de pessoas cadastradas no serviço.
Além disso, a matéria ainda revelava que o vazamento foi previamente informado pelo atacante ao portal e ainda, que ocorreria a exposição desses dados em um site. De acordo com a reportagem, o governo foi notificado assim que o ataque foi informado, para que seguisse com a investigação. A brecha explorada pelo criminoso estaria em uma API —um conjunto de protocolos utilizado para que duas plataformas se comuniquem — que permite acessar dados de usuários do SUS.
Já sobre o episódio, o Ministério da Saúde (MS), em resposta ao Tecnoblog, informou que “não há indícios de que as informações disponibilizadas são de origem da base de dados de usuários do Cartão Nacional de Saúde – CNS”, e informou que o Departamento de Informática do SUS (DATASUS) reforçou sua segurança para garantir a proteção dos dados.
Ainda que o Ministério tenha negado o caso, o hacker responsável pelo ataque, identificado como Tr3v0r, expôs os dados em formato .SQL e .CSV em um site, com a possibilidade de download da base e alertou para a corrupção de servidores dentro do SUS que, segundo ele, vendiam credenciais para o acesso ao CADSUS.
Infelizmente, esse não foi o único ataque dos últimos anos. Ainda em 2020, houve o vazamento de mais de 243 milhões de pessoas, incluindo informações de falecidos. O caso teve repercussão internacional pela falta de segurança na codificação das informações, feita por Base64, facilmente decodificável.
Em 2021, em pleno surgimento de uma nova variante do coronavírus, um ataque a alguns portais gerenciados do ministério, como a página principal, o Conecte SUS e o Portal Covid, foram vítimas de um ataque ransomware, resultando no desaparecimento dos dados por cerca de um mês.
A ocorrência desses casos demonstra como é frágil a cibersegurança no poder público e que ainda existem muitos desafios na adequação e cumprimento da LGPD para órgãos públicos.
Vazamentos de dados em outros setores
Uma pesquisa efetuada pela SurfShark apontou que o Brasil ocupa a 12ª posição mundial no ranking de vazamento de dados e além disso, os casos não se limitam ao setor da saúde. Em dezembro de 2021, uma reportagem da Folha expôs um esquema sofisticado de venda de dados sensíveis.
Segundo a matéria, o esquema nem fazia questão de atuar de forma sigilosa, na deep web, como fazem muitos hackers. A comercialização desses dados ocorria abertamente em grupos de Facebook. O “vendedor” que oferecia as bases de dados, ainda dava acesso à uma experimentação gratuita da plataforma, a qual o jornal teve acesso.
Na base, era possível encontrar dados como cadastros vazados do CadSUS, da Secretaria Nacional de Trânsito (Senatran), da Receita Federal, do Instituto Nacional de Segurança Social (INSS), do Sistema Nacional de Armas (Sinarm), da Polícia Federal, e ainda, da empresa privada Boa Vista.
As informações ficavam expostas em painéis específicos, e continham todo o tipo de dados sensíveis, como nome completo, RG, CPF, nome dos pais, endereço, renda aproximada, foto e assinatura da CNH, e ainda contava com informações de benefícios sociais e muito mais. E tudo isso por apenas R$ 200,00 mensais.
Esses vazamentos criam um grande problema, pois são dados sensíveis que podem servir para a aplicação de golpes variados, desde o famoso golpe do boleto, esquemas com linhas de crédito e empréstimos indevidos em nome de terceiros e até crimes de extorsão.
LGPD e ANDP
Os casos acima citados representam grandes desafios para a implementação da LGPD e para a Agência Nacional de Proteção de Dados (ANPD), órgão responsável por garantir o cumprimento da lei, que na maioria das ocorrências, não foi notificado, já que os órgãos, por vezes, não reconheceram os ataques e se esquivaram da responsabilidade, evitando as investigações.
Fica evidente a falta de segurança apropriada aos ativos digitais do setor público. Há ainda a ressalva de que o orçamento para os gastos com TI vem sendo diminuído nos últimos anos. O que não faz sentido visto o cenário desfavorável para a cibersegurança das pastas.
O fato é que a ANPD tem muitos desafios pela frente. São inúmeros os temas que necessitam de regulamentação — propaganda por e-mail, definições de perfis, uso de cookies, vigilância por vídeo, biometria nas empresas, armazenamento na nuvem, regras para subcontratação, uso de dados sensíveis. Enfim, uma infinidade de questões que necessitam de parâmetros claros no que diz respeito à proteção de dados pessoais.
Diretrizes de funcionamento
Para fazer jus à Lei n° 13.709/2018 (LGPD), é necessário o cumprimento de todas as suas diretrizes. Sendo esses os 10 princípios e bases legais que dão suporte à legislação:
- Finalidade: as empresas devem comunicar previamente a finalidade de uso de todos os dados coletados;
- Adequação: as informações coletadas precisam condizer com a justificativa apresentada;
- Necessidade: corporações têm que avaliar a coleta e restringi-la às informações estritamente necessárias;
- Acesso livre: o titular tem direito irrevogável de consultar o que foi armazenado sobre ele;
- Qualidade dos dados: a empresa que mantém a base precisa se certificar sobre sua validade e veracidade;
- Transparência: tudo deve ser comunicado com antecedência e nenhuma informação deve ser utilizada para além do que foi coletada;
- Segurança: garantir que as bases estão seguras de ataque de terceiros;
- Prevenção: atuar na prevenção de risco e adotar medidas que previnam incidentes;
- Não discriminação: responsabilidade em lidar com os dados sensíveis;
- Responsabilização: todo negócio precisa comprovar a adoção de medidas de adequação à Lei.
Leia também: Se adequar a LGPD: 7 passos para MSPs e empresas de TI
As diretrizes orientam todos os processos de coleta de informações, desde a estruturação de uma política de privacidade e termos de uso, até a operação e armazenamento dos dados. Ou seja, todo o ciclo de vida das informações durante o tratamento.
Backup em Nuvem para órgãos públicos
Nos dias atuais, ter uma solução de backup em nuvem é indispensável para a continuidade dos negócios, sejam grandes corporações ou pequenas empresas, de qualquer tipo de capital, seja público ou privado.
Como pudemos notar, por mais que a lei esteja em vigor desde 2020, ainda existem grandes desafios para a adequação da LGPD para órgãos públicos e o debate não se encerra aqui.
No entanto, alguns casos de vazamento de dados e exploits de segurança, como o ransomware que afetou o sistema de saúde brasileiro por um mês, poderiam ter sido evitados caso houvesse políticas mais rígidas de seguranças.
No caso do vazamento de informações sensíveis do sistema de saúde, até antecedentes de retirada de medicamentos e histórico de consultas médicas foram vazados. Esse tipo de informação é extremamente valiosa para a indústria farmacológica e provedores de planos de saúde.
A estratégia de backup em nuvem é uma das formas de proteger sistemas de possíveis ataques.
Já foi o tempo em que a nuvem podia ser considerada apenas uma tendência, precisamos encarar a realidade e as necessidades de garantir que os dados estejam seguros. Afinal, a implementação de um sistema de nuvem híbrida com segurança robusta e criptografia poderia ter evitado possíveis danos às bases.
Depois do lançamento das Normas de Cloud Computing pela ABNT, o Governo Federal lançou em 2016 um guia de orientações para Contratação de Cloud Computing. A diretriz é para orientar os órgãos públicos na contratação de nuvens híbridas, de fornecedores públicos ou privados. Ao mesmo tempo minimizar os riscos e otimizar os custos de cada modelo.
A opção por nuvem híbrida se justifica porque o Estado trabalha com uma parcela de informações dos brasileiros que são protegidas por sigilo e que precisam ter a privacidade respeitada. E por isso permanecerão em data centers em território nacional.
Quer saber mais sobre o assunto? Nós, da Datasafer, preparamos um e-book sobre “LGPD e Nuvem: implicações e formas de adaptação”. Clique no banner abaixo e baixe gratuitamente.