Em tempos onde a quantidade de “likes” e “seguidores” valem mais do que a ética, o que esperar dos criminosos? Nada menos que tudo. Com o dinamismo da tecnologia, novos golpes aparecem a cada dia e há muito tempo os criminosos perceberam que é mais fácil ganhar um real de um milhão de pessoas do que um milhão de reais de uma única pessoa ou empresa.
Alguns golpes e informações têm uma vida útil muito curta. Malware (ameaça cibernética) ou páginas de phishing (essa prática tem o objetivo de “pescar” informações e dados pessoais importantes através de mensagens falsas), por exemplo, após serem descobertos perdem a validade e novos tipos são desenvolvidos ou adaptados. Os criminosos aprenderam que enquanto algumas informações são voláteis, informações pessoais são quase eternas. Quais seriam as implicações e possíveis golpes quando alguém tem acesso a esses tipos de informações?
Vamos imaginar que uma pessoa está com um ente querido hospitalizado e recebe uma ligação de alguém se passando por um representante do hospital, que sabe o que está havendo e prova confirmando algumas informações pessoais. Então, é oferecido um tratamento revolucionário que já salvou várias vidas, porém a origem não é divulgada. A pessoa, em um momento de fraqueza e sensibilidade, faz um depósito. O tratamento nunca ocorre, porque não existia. Essa história parece comum? É um dos típicos golpes!
De onde pode vir esse tipo de vazamento?
Uma pesquisa divulgada no ano passado pela Intel Security, através de seu McAfee Labs, aponta que, na chamada Deep Web (conteúdo da internet que não é indexado pelos mecanismos de busca padrão), é possível comprar dados médicos de milhares de pacientes por valores entre US$ 0,03 e US$ 2,42 por registro. Apesar disso, vazamentos de dados podem vir de diversas fontes, e somente uma investigação detalhada poderia apontar a origem. Mas, é fato que se isso acontece temos vulnerabilidades no processo de como os dados dos pacientes são armazenados. Por exemplo, ter websites problemáticos, funcionários ou terceiros com acesso privilegiado ou até mesmo falha de infraestrutura na tecnologia da informação.
A quem isso interessa?
Seus dados médicos, incluindo internações e resultados de exames laboratoriais, interessam principalmente a você mesmo.
Se uma pessoa necessita de um exame, ela se dirige ao hospital ou laboratório e solicita a autorização ao plano de saúde. Nesta situação, os planos não têm acesso ao resultado e se uma pessoa faz exames regulares de um mesmo tipo, a intenção pode ser verificar um possível problema e talvez esteja incluída em algum grupo de risco. A quem interessa essa informação? Quando pensamos em maldade, vários “atores” têm ou podem ter interesse em seus dados.
Um plano de saúde poderia recusar um cliente ou cobrar adicionais se soubesse o resultado de exames ou as tendências de futuros problemas de saúde que o cliente poderia ter.
Um laboratório poderia oferecer tratamento especial para uma pessoa baseando-se nos exames prévios realizados, além de promoções especiais de medicamentos, pois já sabe que este cliente é consumidor.
Um criminoso poderia chantagear uma pessoa ameaçando expor a público seus dados médicos e resultados de exames.
Legislação
Infelizmente o Brasil não tem leis, regulamentos ou auditorias a respeito de como os dados de pacientes (registros médicos, exames etc.) devem ser tratados, armazenados e transmitidos. Também não temos leis ou regulamentações que obriguem empresas que sofreram algum tipo de vazamento de informação a pagar multas e fazer uma comunicação pública sobre o caso.
Para dados de cartões de crédito as empresas têm adotado com sucesso a certificação PCI DSS, com auditorias internas e testes de segurança, visando evitar vazamentos. Isso ajuda a empresa a ver e tratar os riscos relacionados a área de TI.
Para dados de pacientes, existe uma norma americana chamada HIPAA (Health Insurance Portability and Accountability Act) que tem como um de seus objetivos a proteção e a confidencialidade de dados e informações de pacientes quando transmitidos, recebidos, manipulados ou compartilhados.
Ter uma certificação ou ter passado por uma auditoria não impede o vazamento de informações, que pode acontecer por vários vetores, mas minimiza o risco, mostrando inclusive se a empresa estava preocupada ou negligente.
Ou seja, o cenário “apocalíptico” descrito aqui já é realidade. Dados de cartões de crédito são comercializados na Deep Web, assim como dados pessoais. Como esses dados vazaram? As possibilidades são inúmeras e, independente do segmento, as empresas têm que entender suas responsabilidades com os dados de outras pessoas.
Desenvolvedores não foram treinados a projetar com segurança. A implementação de seguro pode levar a um tempo de entrega maior e como muitos engenheiros de software e clientes não conhecem sobre o assunto, a segurança não entra na especificação dos projetos. Quando o problema ocorre, a correção e os danos são enormes.
Testes de segurança regulares ajudam a manter o ambiente mais seguro e os executivos mais confortáveis, pois caso alguma falha seja descoberta, eles serão alertados por um parceiro e não por um criminoso.