Casos envolvendo vazamentos e vendas de dados não são mais novidades no Brasil. Esses episódios têm revelado um padrão oculto de falha de cibersegurança nacional, que contribui para o fortalecimento do comércio de dados ilícitos na dark web do País. O artigo "Vazamento de dados e o ‘broking’ no Brasil", publicado na nova edição da MIT Sloan Review Brasil, apresenta uma imersão nos principais aspectos desse problema.
O texto assinado por Janaina Costa, João Victor Archegas e Fabio Steibel mostra a atuação dos data brokers, empresas dedicadas a compilar e vender informações de consumidores na internet, que se alimentam de numerosas fontes comerciais (governamentais e públicas; dados primários e derivados; online e offline). Essa intermediação de dados, o "data broking", é considerada atividade lícita no Brasil e no mundo, mas esses "corretores" estão ganhando concorrência desleal na dark web, onde o serviço é prestado sem qualquer regra ou restrição - e se torna o pesadelo da privacidade e da disciplina de proteção de dados dos cidadãos.
Porém, o que acontece quando data brokers da dark web ocupam o espaço dos data brokers com CNPJ e, em vez de adquirir dados, contratam pessoas para vazá-los e remuneram o ecossistema ao redor disso?
Segundo a publicação, o primeiro resultado é uma série de serviços sustentando um lucrativo ecossistema na dark web. O segundo é que as maiores aplicações dos dados e modelos complexos podem estar sendo gerados com dados roubados, especialmente do governo, e comercializados de maneira ilegal.
A origem do problema - Segundo pesquisa do Massachusetts Institute of Technology (MIT, ao qual a publicação é ligada), entre 2018 e 2019 o número de vazamentos de dados no Brasil aumentou 493%. Em 2018, foram três grandes incidentes. Já em 2019 houve 16, que impactaram mais de 200 milhões de pessoas, volume gigantesco para um país com 211 milhões de habitantes.
O crescimento exponencial dos vazamentos no Brasil é uma tragédia anunciada. Desde 2010, os investimentos públicos em tecnologia da informação (TI) são mensurados em todos os poderes federais. Conforme análise feita pelo Tribunal de Contas da União (TCU), de 2010 a 2015, investir no governo digital foi uma espécie de mantra, mas a aplicação de recursos em tecnologia permaneceu no mesmo patamar. Ou seja, os dados brasileiros ficaram pouco protegidos e muitos problemas aconteceram.
Segundo o AV-Test Institute, organização de pesquisa voltada à segurança de TI, a presença de malwares cresceu 100 vezes entre 2012 e 2020. Em 2021, até o mês de abril, já há casos mais significativos do que no ano passado inteiro. As consequências de um ambiente tão propício a ciberataques e vazamentos são perversas, com o fomento de uma rede criminosa que transforma dados vazados em lucro. Além disso, os vazamentos semanais vistos no País geram uma perigosa contrapartida: o data broker da dark web .
Vazamento como serviço - O mercado de ciberataques como serviço contribuiu muito para o crescimento do crime cibernético, pois os desenvolvedores dos ataques não precisam se envolver nas demais atividades da cadeia de valor. Os cyberattack-as-a-service (CAaaS) são atividades que usam a dark web para fazer negócios, atendendo demanda tanto de criminosos quanto de empresários.
A geração de valor do ecossistema está na combinação de fornecedores, desde os atores que participam da invasão de um sistema aos que exploram as vantagens derivadas desse crime. No Brasil, os reflexos disso são claros: dados pessoais são vendidos por apenas um dólar, com redução desse valor em caso de negociação pelo milhar, segundo a PSafe, líder no desenvolvimento de soluções de segurança e privacidade. As autoridades nacionais têm agido para combater o mercado ilegal de dados, mas não há sinais de um cenário controlado.
Caminhos corretivos - O quadro é severo, mas não irreversível. Algumas providências podem ser tomadas de modo relativamente rápido. Uma delas é a implementação mais estruturada de colaboração multissetorial por entes governamentais. Outra forma de conter essa atuação seria criar a identidade digital, garantindo, assim, forte sistema de autenticação de usuário. A Lei Geral de Proteção de Dados também contempla maior segurança aos cidadãos, mas o problema é que o Brasil demorou para elevar seu ecossistema de dados pessoais.
Três cenários futuros - De acordo com a revista, é provável a ocorrência de muitos outros vazamentos não relatados e, às vezes, nem percebidos. Os serviços comercializados na dark web e as investigações realizadas até o momento permitem afirmar a existência de um ecossistema similar ao dos data brokers lícitos para dados ilegais. Com base nesse contexto, o artigo considera o surgimento de três cenários futuros:
• Pior cenário: o aumento de serviços de governo digital vira uma escalada de vazamento de dados, a ponto de as fraudes realizadas com dados pessoais se tornarem superiores, em perdas para economia e garantias individuais, aos ganhos com o digital.
• Cenário intermediário: em áreas-chave do governo atingimos maturidade similar à do setor financeiro brasileiro. Ainda há vazamentos e comercialização de dados de modo ilícito, mas a infraestrutura nacional é preservada. Avanços na universalização da identidade digital permitem que cidadãos e empresas controlem parte dos impactos negativos gerados pelos vazamentos.
• Melhor cenário: o Brasil sai da 70ª posição do ranking mundial de cibersegurança com o aumento de profissionais da área, melhorias na regulação e implementação. Preocupações com segurança de dados fazem parte do desenvolvimento de projetos novos de governo digital e o mercado ilícito de dados pessoais é combatido de modo eficiente.
A nova edição da MIT Sloan Review Brasil pode ser comprada individualmente ou por meio de assinatura no website oficial: https://www.mitsloanreview.
