Ontem enviei pelo meu twitter (@LuisAsensio) um link para uma matéria na Globo sobre o vazamento de dados sigilosos da Receita Federal, sobre algumas pessoas influentes e até candidatos para algumas vagas políticas nessas eleições. Fora o fato de isso aparecer nessa época de eleição o que destaco é que na investigação se chegou até o computador que fez a consulta e o usuário estava logado nesse momento.
Nesse ponto tem alguns fatos interessantes:
1. O computador não é o mesmo que é usado pela pessoa logada.
2. As consultas foram pontuais, a pessoas influentes.
3. As consultas foram realizadas no horário normal de almoço. Entra 12h00min e 13h00min
4. O funcionário responsável pela identidade que foi usado no sistema para consulta confirmou que compartilhava a senha com mais duas pessoas.
Aqui estou expondo o que pode acarretar o compartilhamento de senha e não para julgar quem é o culpado ou motivo.
Nessa relação de fatos é que o compartilhamento de senha foi o ponto chave para o acesso a informações que não poderiam ser acessadas e muito menos serem usadas para outros fins. Como no caso essa senha que a principio estaria apenas de posse dessa funcionária, ao compartilhar pode-se espalhar de forma viral, deixando exposto um sistema inteiro.
Falando em legislação, não existe nada que possa responsabilizar essa pessoa criminalmente por compartilhar a sua senha, sendo que seja comprovado que a própria pessoa não tenha feito uso dessas informações (se existir alguma coisas na lei que responsabilize o compartilhamento, por favor, me ratifique).
Existem alguns pontos na lei que se enquadraria o fato dela compartilhar a senha:
Lei 8.112/90
- Lei nº. 8.112/1990, artigos 104, 116 e 117, que estabelecem direitos e deveres do servidor público federal;
§ Art. 116. São deveres do servidor:
§ I - exercer com zelo e dedicação as atribuições do cargo;
§ III - observar as normas legais e regulamentares;
§ IV - cumprir as ordens superiores, exceto quando manifestamente ilegais;
§ XII - representar contra ilegalidade, omissão ou abuso de poder.
Nesse ponto mostra que ao compartilhar a senha no caso do servidor publico federal exerce falta de zelo de suas atribuições ao deixar quase que exposto dados sigilosos.
A falta de uma legislação que responsabilize a pessoa sobre o compartilhamento de sua identidade (falando de sistemas informatizados) facilita essa pratica onde deixa um risco grande em todas as empresas sejam elas públicas ou privadas, pequenas, médias e grandes a terem dados estratégicos expostos.
Claro que é fácil mostrar as feridas, mas como solucionar ou minimizar esse risco?
• Haver uma discussão pública sobre a responsabilidade sobre uma identidade dentro das empresas.
• Criar uma legislação que contemple como crime o compartilhamento de identidade em sistemas ou redes que necessita algum grau de sigilo.
• Gerenciar e monitorar as identidades por meio de sistemas e traçar uma estratégia para que possa coibir essa pratica de forma pró-ativa.
• Fazer campanhas de conscientização dentro das empresas sobre a importância da sua identidade dentro da corporação.
As soluções acima estão descrita de uma forma muito superficial. A questão e mais complexa, mas com um nível de importância alto e que muitas vezes não levado a sério ou até mesmo ignorado (por falta de conhecimento) por muitas empresas.
A questão é muito ampla, mas devemos todos discutir e levantarem a bandeira de um problema que só tem a possibilidade de crescer ainda mais.
Luis Asensio
Nenhum comentário:
Postar um comentário