Página Inicial



twitter

Facebook

  Notícia
|

 

PENALIZAR EMPRESAS POR VAZAMENTOS DE DADOS É POLÊMICA ENTRE ESPECIALISTAS

04/05/2011

Nos Estados Unidos, à medida que várias multas começam a ser cobradas contra as organizações já atacadas ou com empregados que violaram políticas de privacidade de dados, alguns especialistas sobre a matéria questionam-se sobre se o governo não estará penalizando uma das vítimas dos crimes ? em vez de mitigar riscos de roubo de identidade e de dados, objetivo maios da implantação das leis.

A prática começa a preocupar também as empresas brasileiras, em função da iniciativa do ministério da Justiça de criação de uma Lei para Proteção de Dados Pessoais. Nos últimos meses, a sociedade brasileira teve a oportunidade de debater o texto do projeto de lei que será submetido ao Congresso. Entre os pontos cobertos pela Lei estarão o monitoramento online, a interconexão entre os bancos de dados, o papel e a competência da ?autoridade de garantia?, das propostas para fiscalizar e regulamentar as atividades relacionadas à coleta, tratamento e armazenamento de dados pessoais, bem como requisitos para a coleta, gestão e segurança no tratamento dos dados pessoais.

A proposta de formalizar um marco regulatório para a proteção de dados pessoais, sobretudo na Internet, apoia-se em experiências internacionais da União Européia, dos EUA e alguns países da América Latina, que já possuem legislação específica sobre o tema. Ademais, acompanha a movimentação legislativa recente para instituir um Marco Civil da Internet no país.

Vejamos alguns exemplos práticos do que poderá ocorrer aqui. Considere-se a acão da Procuradoria-Geral do estado de Massachusetts contra o dono do restaurante da cadeia Briar Group. Algumas semanas atrás, o procurador-geral anunciou ter fechado um acordo com a organização, levando-a a pagar 110 mil dólares em multas.

O acordo decorre de alegações de que a cadeia de restaurantes não protegeu adequadamente os dados de pagamentos feitos por clientes após uma aplicação nociva ter sido instalada nos seus sistemas. O malware esteve instalado na rede de Abril a Dezembro de 2009.

O grupo é acusado de não alterar as informações de autenticação dos funcionários e continuar aceitando cartões de crédito e de débito, mesmo depois de descobrir a vulnerabilidade, explicou o Procurador-Geral do Massachusetts. Os queixosos também acusam a cadeia de negligência quanto à segurança dos meios de acesso remoto e das redes sem fios.

Não são práticas de segurança que mereçam aplauso. No entanto, especialistas afirmam ? devido ao elevado estado de insegurança de aplicações e sistemas de TI ? que as empresas podem ter todas as tecnologias de segurança adequadas, políticas e procedimentos em vigor, e ainda acabar processadas. ?Essas leis sobre notificação de violações de bases de dados não tinham a intenção de definir normas de prevenção ?, diz Mark Rasch, director da consultora de segurança informática e protecção da privacidade Computer Sciences Corporation.

?Destinavam-se a ajudar os consumidores cujos dados foram roubados e para evitar o roubo de dados de identidade?, explica. ?O fato é que as empresas podem fazer tudo bem e terem as suas infraestruturas violadas, e podem prescindir de tomar medidas e não sofrer qualquer violação reconhecível?, acrescenta.

O director-executivo da Enloe Medical Center (Califórnia), Mike Wiltermood, concorda. A Enloe decidiu lutar contra a aplicação de uma multa a que foi sujeita no ano passado, depois de ter informado as autoridades sobre a descoberta de que os registos médicos de um paciente foram indevidamente acedidos em várias instâncias.

O centro médico diz que descobriu as violações através das suas próprias ações de monitoramento e investigação. O resultado? O Departamento de Saúde Pública da Califórnia (CDPH) optou por multar a Enloe. O centro médico achou que as ações do Estado não tinham justificativa.

?O Enloe Medical Center vai além das exigências da lei para proteger a privacidade dos pacientes, razão pela qual fomos capazes de detectar o vazamento?, diz Wiltermood num comunicado. ?Da nossa perspectiva, a detecção precoce da violação de privacidade das informações do paciente, juntamente com as nossas medidas de precaução de longa data e os processos de garantia de privacidade, não foram tidos em consideração, como a lei prevê quando a CDPH optou por aplicar a multa de 130 mil dólares ?, argumenta Wiltermood.

?Se o objetivo dos reguladores aqui é aumentar a divulgação de vazamentos, falharam, e se é elevar a segurança, também falharam?, diz Pete Lindstrom, diretor de investigação da Spire Security. ?A lição para outras organizações é que mais vale esconder os seus incidentes?, diz ele.
 
 
 
 
Fonte: IDgnow

 
Indique esta notícia Indique esta notícia para um amigo

Início Notícias  | Voltar