Penalização por fuga de dados colocada em dúvida

Penalizar as empresas por lhes terem roubado dados pode ser mais nocivo do que benéfico no controlo da seguranças dos dados.

As multas por fugas de dados pessoais aplicadas a empresas com bases de dados de clientes, protegem realmente o consumidor? Ou haverá nisso excesso de zelo?

Nos Estados Unidos, à medida que várias multas começam a ser cobradas contra as organizações já atacadas ou com empregados que violaram políticas de privacidade de dados, alguns especialistas sobre a matéria questionam-se sobre se o governo não estará a penalizar uma das vítimas dos crimes – em vez de mitigar riscos de roubo de identidade e de dados, o objectivo da implantação das leis.

Considere-se a acção da Procuradoria-Geral do estado de Massachusetts contra o dono do restaurante da cadeia Briar Group. Algumas semanas atrás, o procurador-geral anunciou ter fechado um acordo com a organização, levando-a a pagar 110 mil dólares em multas.

O acordo decorre de alegações de que a cadeia de restaurantes não protegeu adequadamente os dados de pagamentos feitos por clientes após uma aplicação nociva ter sido instalada nos seus sistemas. O malware esteve instalado na rede de Abril a Dezembro de 2009.

O grupo é acusado de não alterar as informações de autenticação dos funcionários e continuou a aceitar cartões de crédito e de débito, mesmo depois de descobrir a vulnerabilidade, explicou o Procurador-Geral do Massachusetts. Os queixosos também acusam a cadeia de negligência quanto à segurança dos meios de acesso remoto e das redes sem fios.

Não são práticas de segurança que mereçam aplauso. No entanto, especialistas afirmam – devido ao elevado estado de insegurança de aplicações e sistemas de TI – que as empresas podem ter todas as tecnologias de segurança adequadas, políticas e procedimentos em vigor, e ainda acabar processadas. “Essas leis sobre notificação de violações de bases de dados não tinham a intenção de definir normas de prevenção “, diz Mark Rasch, director da consultora de segurança  informática e protecção da privacidade Computer Sciences Corporation.

“Destinavam-se a ajudar os consumidores cujos dados foram roubados e para evitar o roubo de dados de identidade”, explica. “O facto é que as empresas podem fazer tudo bem e terem as suas infra-estruturas violadas, e podem prescindir de tomar medidas e não sofrer qualquer violação reconhecível”, acrescenta.

O director-executivo da Enloe Medical Center (Califórnia), Mike Wiltermood,  concorda. A Enloe decidiu lutar contra a aplicação de uma multa a que foi sujeita no ano passado, depois de ter informado as autoridades sobre a descoberta de que os registos médicos de um paciente foram indevidamente acedidos em várias instâncias.

O centro médico diz que descobriu as violações através das suas próprias acções de monitorização e investigação. O resultado? O Departamento de Saúde Pública da Califórnia (CDPH) optou por multar a Enloe. O centro médico achou que as acções do Estado não tinham justificação.

“O Enloe Medical Center vai além das exigências da lei para proteger a privacidade dos pacientes, razão pela qual fomos capazes de detectar a fuga”, diz Wiltermood num comunicado. “Da nossa perspectiva, a detecção precoce da violação de privacidade das informações do paciente, juntamente com as nossas medidas de precaução de longa data e os processos de garantia de privacidade, não foram tidos em consideração, como a lei prevê quando a CDPH optou por aplicar a multa de 130 mil dólares “, argumenta Wiltermood.

“Se o objetivo dos reguladores aqui é aumentar a divulgação de fugas, falharam, e se é elevar a segurança, também falharam”, diz Pete Lindstrom, director de investigação da Spire Security. “A lição a reter por outras organizações é que mais vale esconder os seus incidentes”, diz ele. “Quando as lojas são roubadas ou os empregados furtam da loja, as autoridades não multam os lojistas”, acrescenta Rasch.

Penalização de fuga de dados colocada em dúvida

Penalizar as empresas por lhes terem roubado dados pode ser mais nocivo do que benéfico no controlo da seguranças dos dados.

As multas por fugas de dados de clientes aplicadas a empresas com bases de dados de clientes, protegem realmente o consumidor? Ou haverá nisso excesso de zelo?

À medida que várias multas começam a ser cobradas contra as organizações já atacadas ou empregados que violaram políticas de privacidade de dados, alguns especialistas sobre a matéria questionam-se sobre se o governo não estará a penalizar uma das vítimas dos crimes – em vez de mitigar riscos de roubo de identidade e de dados, era o objectivo da implantação das leis.

Considere-se a acção da Procuradoria Geral do estado de Massachusetts contra o dono do restaurante da cadeia Briar Group LLC. Algumas semanas atrás, o procurador-geral anunciou ter fechado um acordo com a organização, levando-a a pagar 110 mil dólares em multas. O acordo decorre de alegações de que a cadeia de restaurantes não protegeu adequadamente os dados de pagamentos feitos por clientes após uma aplicação nocivater sido instalada nos seus sistemas. O malware esteve instalado na rede de Abril de 2009 a Dezembro de 2009. O grupo é acusado de não alterar as informações de autenticação de empregados e continuou a aceitar cartões de crédito e débito, mesm depois de descobrir a vulnerabilidade, explicou o Procurador-Geral de Massachusetts. Os queixosos também acusam a cadeia de negligência quanto à segurança dos meios de acesso remoto e das redes sem fios.

Não são práticas de segurança que mereçam aplauso. No entanto, especialistas afirmam – devido ao elevado estado de insegurança de aplicações e sistemas de TI – que as empresas podem ter todas as tecnologias de segurança adequadas, políticas e procedimentos em vigor, e ainda acabar processadas. “Essas leis sobre notificação de violações de bases de dados não teriam a intenção de definir normas de prevenção “, diz Mark Rasch, director da consultora de segurança informática e protecção da privacidade, na Computer Sciences Corporation. “Destinavam-se a ajudar os consumidores cujas foram roubadas e para evitar o roubo de dados de identidade”, explica.

“O facto é que as empresas podem fazer tudo bem e terem as suas infra-estruturas violadas, e podem prescindir de tomar medidas e não sofrer qualquer violação reconhecível”,acrescenta.

O director-executivo da Enloe Medical Center (Califórnia), Mike Wiltermood, concordará. A Enloe decidiu lutar contra a aplicação de uma multa a que foi sujeita no ano passado, depois de ter informado as autoridades sobre a descoberta de que os registos médicos de um paciente, foram indevidamente acedidos em várias instâncias diferentes. O centro médico diz que descobriu as violações através das suas próprias acções de monitorização e investigação. O resultado? O Departamento de Saúde Pública da Califórnia (CDPH) optou por multar a Enloe.

O centro médico achou que as acções do Estado não tinham justificação.

“O Enloe Medical Center vai além das exigências da lei para proteger a privacidade dos pacientes, razão pela qual fomos capazes de detectar a fuga”Penalização de fuga de dados colocada em dúvida

Penalizar as empresas por lhes terem roubado dados pode ser mais nocivo do que benéfico no controlo da seguranças dos dados.

As multas por fugas de dados de clientes aplicadas a empresas com bases de dados de clientes, protegem realmente o consumidor? Ou haverá nisso excesso de zelo?
À medida que várias multas começam a ser cobradas contra as organizações já atacadas ou empregados que violaram políticas de privacidade de dados, alguns especialistas sobre a matéria questionam-se sobre se o governo não estará a penalizar uma das vítimas dos crimes – em vez de mitigar riscos de roubo de identidade e de dados, era o objectivo da implantação das leis.

Considere-se a acção da Procuradoria Geral do estado de Massachusetts contra o dono do restaurante da cadeia Briar Group LLC. Algumas semanas atrás, o procurador-geral anunciou ter fechado um acordo com a organização, levando-a a pagar 110 mil dólares em multas. O acordo decorre de alegações de que a cadeia de restaurantes não protegeu adequadamente os dados de pagamentos feitos por clientes após uma aplicação nocivater sido instalada nos seus sistemas. O malware esteve instalado na rede de Abril de 2009 a Dezembro de 2009. O grupo é acusado de não alterar as informações de autenticação de empregados e continuou a aceitar cartões de crédito e débito, mesm depois de descobrir a vulnerabilidade, explicou o Procurador-Geral de Massachusetts. Os queixosos também acusam a cadeia de negligência quanto à segurança dos meios de acesso remoto e das redes sem fios.

Não são práticas de segurança que mereçam aplauso. No entanto, especialistas afirmam – devido ao elevado estado de insegurança de aplicações e sistemas de TI – que as empresas podem ter todas as tecnologias de segurança adequadas, políticas e procedimentos em vigor, e ainda acabar processadas. “Essas leis sobre notificação de violações de bases de dados não teriam a intenção de definir normas de prevenção “, diz Mark Rasch, director da consultora de segurança  informática e protecção da privacidade, na Computer Sciences Corporation. “Destinavam-se a ajudar os consumidores cujas foram roubadas e para evitar o roubo de dados de identidade”, explica.

“O facto é que as empresas podem fazer tudo bem e terem as suas infra-estruturas violadas, e podem prescindir de tomar medidas e não sofrer qualquer violação reconhecível”,acrescenta.

O director-executivo da Enloe Medical Center (Califórnia), Mike Wiltermood,  concordará. A Enloe decidiu lutar contra a aplicação de uma multa a que foi sujeita no ano passado, depois de ter informado as autoridades sobre a descoberta de que os registos médicos de um paciente, foram indevidamente acedidos em várias instâncias diferentes. O centro médico diz que descobriu as violações através das suas próprias acções de monitorização e investigação. O resultado? O Departamento de Saúde Pública da Califórnia (CDPH) optou por multar a Enloe.

O centro médico achou que as acções do Estado não tinham justificação.

“O Enloe Medical Center vai além das exigências da lei para proteger a privacidade dos pacientes, razão pela qual fomos capazes de detectar a fuga”, diz Wiltermood num comunicado. “Da nossa perspectiva, a detecção precoce da violação de privacidade das informações do paciente, juntamente com as nossas medidas de precaução de longa data e os processos de garantia de privacidade, não foram tidos em consideração, como a lei prevê quando a CDPH optou por aplicar a multa de130 mil dólares “, argumenta Wiltermood.

“Se o objetivo dos reguladores aqui é aumentar a divulgação de fugas falharam, e se é elevar a segurança, também falharam”, diz Pete Lindstrom, director de pesquisas da Spire Security. “A lição a reter por outras organizações é que mais vale esconder os seus incidentes”, diz ele.

“Quando as lojas são roubadas ou os empregados furtam da loja, as autoridades não multam os lojistas”, acrescenta Rasch.
, diz Wiltermood num comunicado. “Da nossa perspectiva, a detecção precoce da violação de privacidade das informações do paciente, juntamente com as nossas medidas de precaução de longa data e os processos de garantia de privacidade, não foram tidos em consideração, como a lei prevê quando a CDPH optou por aplicar a multa de130 mil dólares “, argumenta Wiltermood.

“Se o objetivo dos reguladores aqui é aumentar a divulgação de fugas falharam, e se é elevar a segurança, também falharam”, diz Pete Lindstrom, director de pesquisas da Spire Security. “A lição a reter por outras organizações é que mais vale esconder os seus incidentes”, diz ele.

“Quando as lojas são roubadas ou os empregados furtam da loja, as autoridades não multam os lojistas”, acrescenta Rasch.




Deixe um comentário

O seu email não será publicado