Quando um avião cai, os profissionais da aviação não estão muito interessados em quem foi o culpado, em quem fabricou o avião ou qual era a companhia aérea responsável. O interesse está nas causas do acidente (ou incidente) e nos detalhes que podem ajudar a impedir outro problema semelhante. Ataques cibernéticos são bem diferentes, mas a indústria de segurança digital tem tratado a questão mais ou menos da mesma forma: o que importa são os detalhes técnicos que ajudam a impedir novos ataques, não as vítimas.
É por isso que a divulgação de ataques, desacompanhada de qualquer informação sobre suas vítimas, é a regra em qualquer relatório de segurança. Sabemos os países atacados, às vezes o ramo de atuação das empresas ou organizações, mas não sabemos o nome das vítimas.
Quantas informações exatamente podem ser dadas sobre a vítima é uma questão complicada. Dependendo das circunstâncias da vítima em seu próprio país, certas informações podem acabar gerando especulação, como aconteceu na semana passada com um banco brasileiro.
Mas esse lado da discussão não leva em conta o consumidor, que frequentemente acaba impedido de ter conhecimento das práticas de segurança e ataques sofridos pelas organizações com a qual lida e que muitas vezes são responsáveis por guardar suas informações pessoais.
É nesse cenário que entra uma lei já existente em alguns países do mundo e em alguns estados dos Estados Unidos: a obrigação de que empresas que sofrem ciberataques devem comunicar o ocorrido aos seus consumidores, detalhando quais tipos de informações foram obtidas de forma não autorizada por terceiros.
O Brasil não tem lei semelhante, o que incentiva as empresas a não serem transparentes com os problemas que sofrem. Afinal, se o mercado inteiro está escondendo os seus problemas, qualquer empresa que resolver tomar a iniciativa e ser transparente apenas será tida como menos segura que seus concorrentes, mesmo que estes tenham, na verdade, ainda mais problemas de segurança.
Pelo contrário, as empresas que atuam no Brasil têm muitos incentivos para negar qualquer incidente de segurança. Afinal, mesmo que a mentira possa ser provada, não há previsão de qualquer penalidade.
Essa mentalidade não nos leva a criar uma infraestrutura digital mais segura e nem recompensa as empresas que de fato se preocupam com a segurança dos seus clientes.
Outra comparação com acidentes aéreos: hoje, não temos órgãos específicos para investigar incidentes cibernéticos. Quem acaba responsável por isso - no mundo todo, não só no Brasil - é a autoridade policial. No geral, porém, a investigação e a divulgação dos ataques - que são crimes - vêm sendo monopolizadas por empresas particulares, não pelas autoridades. Ainda assim, o Brasil também está atrasado: muitos países têm ao menos órgãos do governo responsáveis por emitir alertas nacionais de segurança digital, algo que o Brasil não tem.
No mundo "real", o privilégio de ser vítima e não ser identificado praticamente não existe. Sabemos quando um avião cai, quando alguém invade uma empresa de valores, quando um depósito é arrombado. No mundo "virtual", nada disso é tão óbvio, e temos que nos perguntar até que ponto a sociedade merece saber.
Mas, antes de pensarmos sobre esses temas polêmicos, já passou da hora do Brasil fazer ao menos básico e exigir alguma transparência das empresas para com os consumidores e aprovar uma legislação adequada sobre a proteção de dados pessoais, que hoje dependem de apenas alguns dispositivos no Marco Civil da Internet.
É por isso que a divulgação de ataques, desacompanhada de qualquer informação sobre suas vítimas, é a regra em qualquer relatório de segurança. Sabemos os países atacados, às vezes o ramo de atuação das empresas ou organizações, mas não sabemos o nome das vítimas.
Quantas informações exatamente podem ser dadas sobre a vítima é uma questão complicada. Dependendo das circunstâncias da vítima em seu próprio país, certas informações podem acabar gerando especulação, como aconteceu na semana passada com um banco brasileiro.
Mas esse lado da discussão não leva em conta o consumidor, que frequentemente acaba impedido de ter conhecimento das práticas de segurança e ataques sofridos pelas organizações com a qual lida e que muitas vezes são responsáveis por guardar suas informações pessoais.
É nesse cenário que entra uma lei já existente em alguns países do mundo e em alguns estados dos Estados Unidos: a obrigação de que empresas que sofrem ciberataques devem comunicar o ocorrido aos seus consumidores, detalhando quais tipos de informações foram obtidas de forma não autorizada por terceiros.
O Brasil não tem lei semelhante, o que incentiva as empresas a não serem transparentes com os problemas que sofrem. Afinal, se o mercado inteiro está escondendo os seus problemas, qualquer empresa que resolver tomar a iniciativa e ser transparente apenas será tida como menos segura que seus concorrentes, mesmo que estes tenham, na verdade, ainda mais problemas de segurança.
Pelo contrário, as empresas que atuam no Brasil têm muitos incentivos para negar qualquer incidente de segurança. Afinal, mesmo que a mentira possa ser provada, não há previsão de qualquer penalidade.
Essa mentalidade não nos leva a criar uma infraestrutura digital mais segura e nem recompensa as empresas que de fato se preocupam com a segurança dos seus clientes.
Outra comparação com acidentes aéreos: hoje, não temos órgãos específicos para investigar incidentes cibernéticos. Quem acaba responsável por isso - no mundo todo, não só no Brasil - é a autoridade policial. No geral, porém, a investigação e a divulgação dos ataques - que são crimes - vêm sendo monopolizadas por empresas particulares, não pelas autoridades. Ainda assim, o Brasil também está atrasado: muitos países têm ao menos órgãos do governo responsáveis por emitir alertas nacionais de segurança digital, algo que o Brasil não tem.
No mundo "real", o privilégio de ser vítima e não ser identificado praticamente não existe. Sabemos quando um avião cai, quando alguém invade uma empresa de valores, quando um depósito é arrombado. No mundo "virtual", nada disso é tão óbvio, e temos que nos perguntar até que ponto a sociedade merece saber.
Mas, antes de pensarmos sobre esses temas polêmicos, já passou da hora do Brasil fazer ao menos básico e exigir alguma transparência das empresas para com os consumidores e aprovar uma legislação adequada sobre a proteção de dados pessoais, que hoje dependem de apenas alguns dispositivos no Marco Civil da Internet.
0 comentários :
Postar um comentário