Reforçar o sistema de segurança interno das empresas e aumentar as multas por violações são duas medidas prioritárias para conter os vazamentos de dados Foto: Lori / Legion Media
Os criminosos envolvidos no caso da companhia de seguros suíça Zurich tomaram posse de endereços, locais de trabalho e números de telefones celulares dos clientes. Porém, os especialistas acreditam que essas pessoas não correm risco em decorrência do vazamento de dados em grande escala. “Há a possibilidade de que os compradores das bases de dados dos clientes da seguradora sejam estruturas criminosas, mas é muito mais provável que os dados acabem caindo nas mãos dos próprios concorrentes”, afirma o diretor-geral da empresa de segurança cibernética Zecurion, Aleksêi Raévski.
Se para os usuários o maior problema seria ter a caixa de entrada inundada de spams, cabe à Zurich avaliar os danos do vazamento de dados para a empresa. “As perdas diretas resultantes desse incidente serão provavelmente pequenas. Atualmente, a multa máxima pelo desrespeito à lei sobre dados pessoais é de 500 mil rublos [US$ 15.000] e aplica-se somente em casos de violações reincidentes”, comenta Raévski. “Mas, se falarmos de perdas indiretas, elas podem ser avaliadas em milhões de dólares. Se uma base de dados de um cliente da Zurich cair nas mãos de concorrentes, nos próximos seis meses, mais da metade dos clientes poderão mudar a companhia de seguros”, prevê o especialista.
Entre as organizações comerciais mais propensas a vazamentos estão as operadoras de telecomunicações. Em 2003, O roubo da base de dados dos clientes da empresa MTS, em 2003, é exemplo disso. Na ocasião, os criminosos se apossaram não só dos nomes e números de telefone dos assinantes, mas também de seus detalhes de passaporte. Pelo caráter do crime, as operadoras chegaram a afirmar que o acontecido teria provavelmente se dado de forma centralizada, com a ajuda de órgãos legislativos.
“Quanto às estruturas estatais, há pouco tempo era possível adquirir os bancos de dados da alfândega, do imposto, polícia de trânsito e outros departamentos. Atualmente a situação melhorou um pouco, mas principalmente devido à luta contra os vendedores. De um modo geral, há razões para crer que a situação com a proteção de bancos de dados nessas organizações do Estado não melhorou significativamente”, explica Raévski.
Para minimizar o risco de vazamentos, não é suficiente lutar contra os vendedores de bases de dados roubadas, garante o especialista. “É necessário que as empresas e as próprias agências parem para pensar em proteger os seus dados. Isso requer o apoio da chefia, que muitas vezes não considera a segurança da informação uma tarefa prioritária”, acrescenta Raevski.
A legislação russa também poderia estimular as empresas e agências quanto à proteção da segurança de seus dados pessoais. Mas a lei relativa à proteção de dados pessoais na sua forma atual, de acordo com Raévski, “parece um pouco estranha”. Nela, há uma lista dos requisitos técnicos que aos quais a organização deve atender, mas não está prevista a responsabilidade por vazamentos. “Parece que o principal objetivo da lei não é de fato assegurar a proteção de dados, mas sobretudo garantir o respeito aos dos requisitos”, considera o chefe da Zecurion.
A ausência de normas obrigatórias para informar os clientes sobre vazamentos de dados confidenciais também gera dúvidas. “Essa exigência existe na lei de alguns países da União Europeia, e lá é possível lidar eficazmente com os vazamentos”, observam os especialistas da empresa russa de antivírus Dr.Web. Como resposta ao recente escândalo, os membros do Conselho da Federação (câmara alta do Parlamento russo) estão preparando alterações à lei “Sobre Dados Pessoais”, que deverão reduzir o nível de requisitos técnicos para as organizações e, paralelamente, vão elevar as multas por vazamentos.
Todos os direitos reservados por Rossiyskaya Gazeta.
Assine
a nossa newsletter!
Receba em seu e-mail as principais notícias da Rússia na newsletter: