LGPD Ware - Dor de Cabeça As a Service!
LGPD-Ware - Headaches as a Service
Técnicas que poderão ser populares para medidas contra a concorrência, ou para atividades ilícitas.
O termo LGPD-Ware não existe (ainda), mas não é impossível que venha a coabitar com tantos malwares que já conhecemos. Tampouco existe (de forma oficial), HaaS - Headaches as a Service (Dores de cabeça como serviço), mesmo que tal coisa seja muito comum para nossos profissionais, na atualizade.
Na verdade, trata-se apenas de uma brincadeira utilizando a palavra, que escolhi com o fim de chamar a atenção para algumas das possibilidades de “complicações” com as quais, talvez tenhamos que conviver com o tempo.
Não apoio ou incentivo qualquer atividade ilegal ou antiética
Quero recordar-lhes que estou citando situações hipotéticas sobre situações, com fins ilustrativos. De nenhuma forma apoio ou considero correta qualquer iniciativa, ação ou operação que atente contra a ética profissional, a honestidade, e o profissionalismo (por favor, leia esta frase de novo).
Para começar com esta brincadeira, responda, mentalmente, e memorize, as seguintes perguntas:
a) Quanto tempo demora um processo completo na sua empresa, para obter a compliance de LGPD?
b) Quanto custará este processo?
c) Ter sua empresa fora do mercado, pode ser interessante para a concorrência?
d) Quanto a concorrência estaria disposta a investir para ter sua empresa fora do seu caminho?
Não se preocupe com muita precisão nas respostas, mas memorize-as, porque vamos utiliza-las posteriormente. Se preferir, anote-as. Serão de utilidade para sua próxima conversa sobre LGPD com o "manda chuva" da empresa!
Agora, consideraremos, de comum acordo, as consequências de uma denúncia realizada a um órgão de fiscalização ou aos meios de comunicação:
Uma denúncia implica danos por todo lado!
Danos à Imagem - Nenhuma empresa que se preze deseja ter seus “podres” expostos à opinião pública. Recorde que a Lei especifica que os vazamentos ou descumprimentos devem ser comunicados.
Danos Morais - Idem ao anteriormente citado.
Perda de Produtividade - Uma empresa em processo de auditoria por um ente regulador, normalmente, sofre uma queda significativa de produtividade, em consequência da necessidade de que seus colaboradores dediquem parte de seu tempo a cumprir com solicitações por parte do órgão auditor (que tem prioridade).
Perda de Clientes e Fornecedores - Clientes e fornecedores que já estejam em compliance ou que estejam em processo para chegar a tal condição, estarão obrigados a cancelar contratos com empresas que não cumprem com a Lei. Além disto, concorrentes que estejam em compliance, utilizarão esta situação para captar clientes.
Multa - Possibilidade de ser multado pelo órgão regulador (ANPD, MPF, ou equivalente. A Lei prevê que a ANPD pode derivar os processos à outras entidades).
Bloqueio de Banco de Dados - Determinação, por parte do órgão regulador, de interrupção do tratamento dos dados, por parte da empresa, até que a mesma possa cumprir com a legislação.
Dano financeiro - Decorrente dos anteriores, dispensa maiores comentários.
Vamos brincar um pouco com cenários, situações, ações, e alternativas e o leitor pode buscar em qual (ou quais) consegue identificar-se ou identificar sua empresa:
Cenário I - Sem implementação
A empresa A decidiu não adotar nenhuma providência em relação à LGPD. Não importa o motivo. Pode ser porque apostou que “Esta Lei não vai pegar”, ou que “O Prazo será prorrogado”, “Não vão me fiscalizar”, etc.
Situação a - Um ex-funcionário descontente, que sabe tal situação, uma vez demitido pela empresa A, e contratado pelo concorrente B, relata o ocorrido para alguém interessado em atingir mercado por meios duvidosos (leia-se “Concorrência Desleal”. Você já ouviu falar disto? Existe algo assim, em um universo como o nosso?). Este alguém decide tomar uma ou mais das seguintes ações:
Ação 1 - A empresa B solicita a um colaborador (ou mesmo a um terceiro), que solicite seu exercício de direito à empresa A. A empresa A deve responder a solicitação em tempo hábil.
- Alternativa a - A empresa A nega-se a fornecer os dados solicitados. Uma denúncia anônima (ou não) à ANPD ou ao MPF sobre o incumprimento com a Lei força uma auditoria na empresa, com previsíveis consequências: Perda de produtividade, danos morais, de imagem pública, perda de clientes, fornecedores, multa, etc.
- Alternativa b - A empresa A fornece informações fictícias sobre seu tratamento de dados. Sabendo detalhes mais precisos sobre o tratamento dos dados pessoais da empresa A (recorde que o funcionário descontente sempre possui informações relevantes), a Empresa B realiza a mesma denúncia (que pode ou não ser anônima), conseguindo similares resultados: Danos morais, financeiros, multa e perdas de produtividade.
- Alternativa c - A empresa A decide contratar a uma consultoria, em ritmo de urgência, para cumprir com a solicitação, e entrar em compliance. Recorda as duas perguntas iniciais? Quanto tempo e quanto custa? Será que uma empresa que faça consultoria a ritmo de emergência cobrará o mesmo valor? Se você recorda sobre “quanto tempo”, então entenderá que a empresa não poderá cumprir devidamente com a solicitação de exercício de direito em tempo hábil. Os mesmos ardis da alternativa anteriores podem ser utilizados, com semelhantes consequências (somado o custo, e os riscos, de uma consultoria de emergência).
Ação 2 - A empresa B solicita a um grupo de colaboradores ou terceiros que realizem o mesmo da ação anterior, em datas diversas.
- Todas as alternativas da ação anterior são possíveis, com o agravante do volume de solicitações, e da importância dada pelo órgão regulador, à um número maior de denúncias contra a mesma empresa.
Situação b - Um funcionário da empresa A recebe uma boa proposta de trabalho da empresa B (você recorda o quanto a concorrência está disposta a investir?). Estando na empresa B, fornece informações (sem nenhuma má intenção) que levam às mesmas ações e alternativas anteriores.
Situação c - A empresa B contrata um engenheiro social (recorda quanto a concorrência se dispõe a investir para tirar sua empresa do caminho) para analisar a empresa A. Com os dados obtidos, procede às mesmas ações anteriormente citadas.
Situação d - Um engenheiro social mal intencionado, um cracker, ou um indivíduo dotado de suficientes conhecimentos para tal, recolhe suficientes dados como para denunciar a empresa A. Vamos chama-lo de “meliante” apenas para fins de simplificação.
Ação 1 - O meliante junta estes dados e recorre à chantagem contra a empresa A, de forma similar ao procedimento adotado pelos ransomwares.
- Alternativa a - A empresa A cede à chantagem, paga o solicitado pelo meliante, ficando à mercê do mesmo, para ações posteriores, assim como à outros eventuais meliantes que desejem realizar semelhante tarefa.
- Alternativa b - A empresa A se nega a ceder à chantagem. O meliante denuncia a empresa ao órgão competente, com as já conhecidas consequências.
- Alternativa c - A empresa A se nega a ceder à chantagem. O meliante decide proceder à “Ação 2”, descrita à seguir:
Ação 2 - O meliante procura a concorrência, oferecendo à mesma, as informações obtidas. Recordemos a disposição da concorrência em investir para obter mercado. As Alternativas e ações por parte da empresa concorrente de posse destas informações, já são nossas conhecidas.
Situação e - Uma empresa de consultoria que ofereceu seus serviços à empresa A, e não obteve aceitação, sabendo que a mesma não adotou processos de compliance, realiza uma ou mais das ações anteriormente citadas, com o objetivo de obter um contrato, ou apenas com o fim de prejudicar a empresa (“dar-lhes uma lição, diriam muitos”).
Situação f - Uma empresa de software fornecedora da empresa A, coloca uma pequena parte de seu software à serviço do “lado escuro”, coletando alguns dados pessoais tratados pela empresa. De posse da informação de que a empresa não está em compliance, procede a alguma das situações ou ações anteriores.
Situação g - Um terceiro, contratado pela empresa A para realizar trabalhos de rede, ou telefonia, ou qualquer coisa, vislumbra a possibilidade de tomar alguma das ações antes apresentadas.
Situação h - Um cliente descontente decide complicar a vida da empresa, tomando qualquer das ações antes apresentadas.
Situação i - Um desenvolvedor com suficiente conhecimento decide criar um malware (pode até chamar-se LGPD-Ware, só para ter mais contexto e graça) com a finalidade de coletar dados pessoais que trafeguem na rede da empresa, Uma vez coletados os dados, podem-se tomar ações de chantagem ou comércio de informações à concorrentes
Situação j - Um organismo do governo, responsável pela fiscalização, decide embutir, em sistemas ou aplicativos de verificação de compliance, ou de simples consultas, meios de cruzamento de informações que possam dar melhores indícios de empresas que não estejam cumprindo com a Lei, e sejam passíveis de uma operação “pente fino”.
Observação: Você achou que as duas últimas situações extrapolaram? Não tenha tanta certeza!
Para a situação i, pesquise na internet para saber quantos malwares são criados por dia. Inclusive por brasileiros, que são muito hábeis para criar vírus, ransomwares e malwares em geral.
Já para a situação j, se você não viveu esta época, pergunte para quem tenha experiência com os programas fornecidos pela Receita Federal para preencher o Imposto de Renda, no passado, sobre os cruzamentos que os mesmos faziam para levantar empresas mais “possíveis de visitas”.
Cenário II - Implementação parcial
A empresa A contratou uma empresa para realizar o processo de adequação. O processo foi realizado em partes, com algumas limitações por questões financeiras.
Teria sido mais barato fazer desde o começo
Situações: Todas as situações anteriores se aplicam. A única redução de danos que se poderia prever em tal situação seria a questão de multas e bloqueios de bancos da dados, já que o fato de estar em processo de compliance poderia ser considerado um atenuante. Danos morais, à imagem, etc., seguirão sendo um risco a considerar, e os custos para “terminar” o processo mal feito podem chegar a ser maiores (dada a situação de emergência) que os custos originais.
Com certeza, será comum escutar aquela frase: “Teria sido mais barato fazer desde o começo. Agora, corrigir o que já está feito pela metade será muito mais caro!”.
Cenário III - Implementação adequada
A empresa A realizou todos os trabalhos necessários à adequação da LGPD. Mantém seu pessoal treinado e diligente.
Situações: Todas as situações anteriores também são aplicáveis. No entanto, a empresa poderá responder com agilidade a todas as solicitações de titulares ou à órgãos reguladores/fiscalizadores.
As chantagens serão inertes, podendo ser diretamente ignoradas, ou, mediante boa campanha de marketing, revertidas para obtenção ou fidelização de clientes.
Programas (malwares) de origem oficial ou de terceiros também serão tornados sem efeito, já que as declarações da empresa em seu processo de compliance correspondem à realidade, não podendo, tais softwares, causar danos maiores que o custo de estar sempre atento e vigilante.
Se houver um vazamento real, a empresa possuirá mecanismos para realizar a contenção, dentro do possível e do aceitável, assim como os meios para comunicar à titulares, parceiros e autoridades sobre o ocorrido. A avaliação dos riscos será uma constante, e as medidas de segurança serão adotadas com um alto nível de aderência.
É claro que as dores de cabeça, preocupações e os sustos decorrentes das ações mal-intencionadas existirão. Mas o preparo dos funcionários, e da empresa, como um todo, fará toda a diferença.
Aqui só “passeamos” por alguns cenários hipotéticos, para exercitar a mente do leitor. Comece a pensar em outras alternativas possíveis, ou coloque a sua empresa em um determinado cenário, exercitando as simulações de situações e custos correspondentes.
Agora, vamos voltar ao título do artigo: O LGPD-Ware. Software com finalidades de coletar dados pessoais, ou de segurança da empresa, e utilizar os mesmos de forma prejudicial à mesma.
Eu entendo, perfeitamente, que muitos leitores acreditem ser um exagero meu. Mas vamos lá: você já viu a quantidade de esforço investido pela indústria de malware para criar ransomwares, nos últimos anos? Até RaaS (Ransomwares as a Service) já temos. Você paga para poder utilizar um ransomware contra empresas.
E você consegue mensurar o quanto fácil é desenvolver tais soluções? Para quem já dispõe da tecnologia para ransomware, embutir busca de dados pessoais ali vai ser uma barbada.
E funcionários descontentes, terceiros contratados, etc.? Estes têm a faca e o queijo na mão, quando se trata de empresas negligentes em quanto à compliance com a LGPD.
Considere a hipótese (é só hipótese, ok?) que a sua empresa não possui princípios de desenvolvimento seguro, e possui seu próprio setor de desenvolvimento de software. Pergunte ao seu melhor programador, quanto tempo ele demora para colocar uma bomba de tempo nos sistemas que você utiliza. Se ele disser qualquer valor maior que trinta minutos, demita-o por incompetente!
Agora, ainda considerando a hipótese de que sua empresa não possui desenvolvimento seguro, pergunte ao seu responsável de desenvolvimento, quanto tempo ele demora para detectar uma bomba de tempo no código desenvolvido pelo seu pessoal. Se ele disser que detecta em menos de um dia, seu código é muito pequeno, ou seu funcionário é um gênio. Ou as duas coisas! Melhor demita-o, por qualquer motivo!
Criar malwares é rápido. Detectar e mitigar demora muito mais!
Detectar uma bomba de tempo em programas que não são desenvolvidos dentro de princípios adequados de desenvolvimento seguro, pode levar meses, ou anos, em alguns casos. Quem desenvolve o seu sistema (seu ERP, seu CRM, seu programa de RH, ou seja qual foi ele), conhece o programa de tal forma, que pode criar partes de código completamente oculto, com um nível de requinte que só depende do conhecimento do programador. E criar tal código leva minutos, para quem, realmente, conhece o sistema.
Agora pergunte-se se o governo federal (leia-se entidades de fiscalização) possuem profissionais com suficiente conhecimento para coisas deste tipo. E se os programadores de sua empresa, ou da empresa que desenvolve para você, possuem tais conhecimentos.
Pense nestas (e outras) alternativas, e depois responda para si mesmo (responder em público será considerado vazamento, rsrsrs), se a sua empresa, ou se a empresa de seu cliente, se enquadra em alguma destas situações ou riscos.
Estarrecedora previsão do futuro? Assustadores cenários? É só o cafezinho. Muitos me chamarão, agora, “O arauto do caos”.
Mas prefiro pensar no que pode acontecer, antes que aconteça, do que correr atrás para corrigir, tombando lágrimas depois de derramado o produto lácteo!
Bem-vindas serão as críticas, observações e compartilhamentos.
Abraços e grato pela sua leitura!
Mais artigos do autor, sobre o tema LGPD, que podem interessar.