Você sabe onde está sua identidade? Roubo de dados pessoais escapa às soluções fáceis
A ChoicePoint, empresa fornecedora de dados pessoais, fornece informações pessoais de pelo menos 145.000 pessoas a criminosos que se fazem passar por pequenas empresas. Hackers roubaram informações pessoais de 32.000 pessoas que utilizam o banco de dados Lexis-Nexis. O Bank of America perdeu fitas de back-up contendo 1,2 milhão de registros de funcionários federais. Praticamente todos os dias há registro de um novo incidente de roubo de dados pessoais (muitas vezes, o roubo ocorre sem que seja registrado) seguido de uma nova rodada de perguntas: os fornecedores de dados deveriam se submeter a algum tipo de regulação? O roubo de informações sobre identificação pode prejudicar o comércio eletrônico? De que forma os indivíduos podem se proteger? Infelizmente, de acordo com professores da Wharton e de outras instituições, não há respostas simples, sobretudo porque é muito fácil conseguir a informação pessoal desejada nos vários buscadores disponíveis.
Enquanto isso, o custo desse tipo de roubo tende a crescer cada vez mais. De acordo com uma pesquisa realizada pela FTC (Comissão Federal do Comércio dos Estados Unidos) e divulgada em setembro 2003, ano dos últimos dados disponíveis, cerca de 10 milhões de americanos já foram vítimas de algum tipo de roubo de informações sobre identidade, disso resultando um prejuízo de US$ 47,6 bilhões para várias empresas. As vítimas gastaram em média 30 horas na tentativa de reparar os prejuízos sofridos num total de US$ 5 bilhões.
Esses números devem crescer no futuro, dado o volume de incidentes relatados até o momento este ano. Além disso, uma vez que uma recente lei da Califórnia exige que toda empresa em operação no estado informe todos os casos de perda de informações pessoais, os incidentes continuam a vir à tona rapidamente: no dia 8 de março, por exemplo, a DSW Shoe Warehouse reportou o roubo de dados de compras e de números de cartões de crédito de clientes de 103 lojas. Já a Universidade do Estado da Califórnia, em Chico, informou que hackers obtiveram informações pessoais, como nomes e números do registro de inscrição na seguridade social, ao violarem um sistema de informações sobre serviços de moradia e fornecimento de alimentos.
“Se não fosse por aquela lei da Califórnia, jamais tomaríamos conhecimento dessas falhas”, observa Kendall Whitehouse, diretor sênior de Tecnologia da Informação da Wharton.
A senadora democrata Diane Feinstein, da Califórnia, propôs um projeto de lei em 24 de janeiro pelo qual todas as empresas do país seriam obrigadas a expedir uma notificação pública sempre que houvesse violação de dados. Tomando como modelo a lei estadual da Califórnia, o projeto foi apresentado na última reunião do Congresso, mas não foi aprovado, diz Howard Gantman, diretor de comunicações de Feinstein. Desta vez, acrescentou, “temos esperança que a lei seja aprovada”. Na verdade, observa Eric Clemons, professor de Gestão de Operações e de Informações da Wharton, o projeto tem boas chances de passar em razão do número cada vez maior de incidentes de roubo de identidade e da frustração pública com as conseqüências disso. “É preciso que tenhamos meios para punir os responsáveis por esse tipo de roubo”, assinala Clemons. “Alguém tem de se responsabilizar por isso.”
Alguns observadores temem que uma lei dirigida a empresas que fornecem informações pode resultar na restrição ao comércio. John A. Greco, Jr., CEO da Associação de Marketing Direto, observou que “é preciso chegar a uma situação de equilíbrio bastante sensível”, que impeça o roubo de identidade e ainda assim permita aos clientes de fornecedores de dados obter as informações necessárias para concessão de crédito e verificação de dados, permitindo também que as transações sejam processadas rapidamente.
Outros, porém, acreditam que melhores condições de segurança não devem afetar a velocidade das transações. Na verdade, de acordo com Dan Hunter, professor de Estudos Jurídicos da Wharton, a diminuição do roubo de identidade será benéfico para o comércio. Isto porque à medida que as empresas divulgarem com uma freqüência cada vez maior os casos de violação de dados, o roubo de identidade pode começar a prejudicar a compra online. “A avalanche de roubos de identidade dificilmente convencerá minha avó de que ela realmente deve fazer compras online”, diz Hunter.
Por enquanto, porém, os consumidores não se sentiram incomodados o suficiente com esse tipo de roubo a ponto de exigir a introdução de uma regulação mais severa. Para o consumidor, o roubo de identidade é “só mais um episódio entre vários outros”, diz Hunter. “Eles só darão a devida importância ao fato no dia em que forem vítimas.”
A necessidade de divulgar as violações
De acordo com Clemons, as violações de segurança na ChoicePoint e na Lexis-Nexis podem aumentar as chances de aprovação do projeto de lei de Feinstein. Na verdade, embora Clemons fosse inicialmente contra uma lei nacional de divulgação do roubo de identidades, hoje ele acredita que ela seja necessária. Sem uma lei que obrigue a divulgação de tais episódios, observa Clemons, e se não houver penalidade alguma para os casos de vazamento, as empresas jamais se preocuparão com a proteção dos dados sob sua guarda. E por quê? Porque as empresas que hoje deixam vazar informações não são responsáveis pelos prejuízos causados. As instituições financeiras é que pagam a conta das fraudes bancárias, dos números de cartão de crédito roubados etc. “Se 100% dos prejuízos fossem pagos pelo sujeito que consentiu com o roubo dos dados, a atitude em relação à segurança seria outra”, diz Clemons. “Transparência faz sentido. A aplicação de sanções financeiras também seria bem-vinda.”
Hunter concorda com a necessidade de uma lei, porém observa que sua introdução seria extremamente difícil em razão da resistência das companhias de marketing que dependem da definição do perfil do consumidor para o seu negócio. Empresas como a ChoicePoint, que operam em grande parte sem nenhum tipo de regulação, certamente não verão com simpatia leis que regulem suas políticas de segurança. Além disso, diz Hunter, a atitude em relação à integridade dos dados pessoais precisa mudar. “Temos essa idéia absurda de que os dados coletados pelas empresas ‘pertencem’ a elas graças à teoria de que foram elas quem os coletaram ou compraram. Portanto, podem fazer o que bem entenderem com eles. Contudo, se parássemos um instante para considerar o tipo de custos sociais e individuais com que têm de arcar pessoas sem culpa alguma quando sua identidade é roubada, instituiríamos padrões mais elevados de segurança, acesso e edição de informações de identificação pessoal.”
Clemons diz que há necessidade de uma lei nacional por três motivos: em primeiro lugar, a divulgação desse tipo de roubo vem ganhando importância financeira cada vez maior, tendo se tornado uma questão extremamente preocupante para os consumidores. Em segundo lugar, a divulgação de episódios dessa natureza dá aos indivíduos e às instituições financeiras tempo para se protegerem; além disso, é justo que tais partes sejam notificadas imediatamente, já que são elas as responsáveis por grande parte do risco financeiro da operação. Na verdade, observa Whitehouse, dar ao consumidor tempo hábil para que ele reaja ao roubo de identidade é um dos pilares do projeto de lei de Feinstein. “Acho que os consumidores devem ser informados rapidamente”, de modo que possam “relatar o acontecido às agências de crédito e com isso minimizar os riscos próprios desse tipo de situação. Sem transparência, você só dá pelo acontecido quando a fraude vem à tona, e aí já é tarde demais”.
Em terceiro lugar, não há nada de negativo no fato divulgar as violações ocorridas, exceto pelo embaraço por parte das empresas obrigadas a reconhecer a existência de vazamento de informações. Uma lei que obrigasse a divulgação desses casos pelo menos redirecionaria parte desse risco ao comprometer a reputação das partes que causaram o prejuízo ou que permitiram sua ocorrência.
Assim, por exemplo, desde que os problemas de segurança da ChoicePoint tornaram-se conhecidos, a empresa parou de comercializar dados como o número de inscrição da seguridade social e da carteira de habilitação — a menos que isso resulte em uma transação favorável ao consumidor, ou que lhe proporcione algum benefício—; ou ainda, a menos que tais produtos atendam a propósitos do governo federal, estadual, local e da justiça criminal. A empresa nomeou Carol A. DiBattista, atual administradora interina da Administração de Segurança dos Transportes dos EUA, para o cargo de executiva encarregada do credenciamento, conformidade e da política de privacidade da companhia. “São mudanças que decorrem diretamente de atividades fraudulentas recentes”, disse Derek Smith, CEO da ChoicePoint.
Roubo de identidade: operação fácil e freqüente
Por que então o roubo de identidade mais parece uma bola de neve rolando morro abaixo? Porque é fácil demais. No momento em que determinadas informações pessoais de um indivíduo qualquer chegam à Internet, não saem mais de lá. Segundo Hunter, basta passar um certo tempo na Lexis-Nexis para que se tenha à mão registros de propriedades, impostos pagos e outras informações pessoais. “Enquanto não nos dermos conta de que o conhecimento dos dados pessoais é parte importante da vida do indivíduo, e não simples componente da conta de lucro de empresas como a Reed-Elsevier (controladora da Lexis-Nexis), teremos de enfrentar, no mínimo, uma nova violação a cada três dias”, observa Hunter.
Mas a pergunta que se deve realmente fazer é a seguinte: quem precisa da Lexis-Nexis quando se tem o Google? Joshua Pennell, CEO da IOActive, seguradora com sede em Seattle, participou recentemente de uma conferência sobre aplicação de leis em que demonstrou a facilidade com que é possível localizar identificadores pessoais utilizando o Google. “O Google não quer saber se você é um hacker imbuído de más intenções”, diz Pennell. “Qualquer um pode digitar o que bem entender ali.” Pennell acessou mais de 1.000 registros, bem como documentos corporativos sobre desempenho de pessoal, planilhas de Excell e passaportes escaneados. Como esses dados foram parar na Web? Empresas, ou indivíduos, colocaram essa documentação ali na crença de que ninguém teria acesso a elas. “Estamos diante de uma questão cultural”, diz Pennell. “Você pode ter o melhor firewall do mundo, mas se tiver posto algum documento na Web, outros poderão acessá-lo. Não há segurança absoluta.”
É por esse motivo que Pennell acredita que a aprovação de uma lei poderia impulsionar a segurança. “Para que haja uma mudança cultural, temos de obrigar as empresas a expor a roupa suja. Quem gostaria de dizer ao mundo que as informações que tinha a seu respeito foram perdidas?”
David Farber, ex-professor de Ciência da Informação da Universidade da Pensilvânia, atualmente na Carnegie Mellon, diz que a Internet facilita a coleta de pequenas informações que são depois costuradas até compor a identidade de um indivíduo qualquer. Os dados pessoais que vão para a Web são como o gênio que se recusa a voltar para a garrafa. “O fato de vivermos em um mundo interligado torna ainda mais difícil a convivência com esse tipo de situação”, diz.
Solucionando o problema
Uma vez que o roubo de identidade é fácil e decorre de procedimentos de segurança pouco rígidos por parte das empresas, consumidores e companhias que trabalham com dados pessoais precisam chegar a um acordo para evitar a ocorrência desse tipo de roubo, diz Farber. “Os procedimentos corporativos têm de ser mudados, e os consumidores precisam ficar mais antentos.” No que diz respeito ao consumidor, Farber faz eco às opiniões de muitos outros que aconselham às pessoas a destruir documentos e a não fornecer informações pessoais. Ele utiliza apenas um cartão de crédito para transações online, de modo que só precisa cancelar um cartão no momento em que sua segurança fica comprometida. Farber também não responde a e-mails que solicitam informações tais como número do cartão de crédito e da seguridade social; além disso, ele verifica constantemente seu extrato bancário.
Até que outros fatores vinculados aos dados sejam mais seguros, ou até que a lei obrigue as empresas a serem mais vigilantes em relação aos dados, o ônus de proteger seus dados pessoais cabe ao consumidor. Clemons diz que se o consumidor fornece uma informação mínima que seja, isto já é material de trabalho suficiente para um ladrão. “Um ladrão pode recorrer a informações simples e imediatas, como o número do seguro social do indivíduo, do seu telefone ou o nome dos pais para construir” uma identidade e assim “obter informações cada vez mais importantes e de um modo muito fácil”.
Do lado da empresa, é improvável que haja grandes mudanças se não for instituído algum tipo de regulação em nível federal, assinala Clemons. E por quê? Na ausência de penalidades associadas a percalços que envolvam dados pessoais, não haverá grandes retornos de investimentos que justifiquem o aumento dos procedimentos de segurança. “Não houve retorno algum sobre os investimentos feitos para controle da poluição até que a legislação e vários litígios redirecionaram grande parte do custo decorrente da poluição para os poluidores”, diz Clemons. De igual modo, serão feitos investimentos para “tapar buracos” no “primeiro momento em que um agregador de dados for avaliado com base na extensão total dos prejuízos causados aos bancos e emissores de cartão de crédito em face de sua incapacidade de proteger os referidos dados”. Em economia, a situação atual dos agregadores é conhecida como “externalidade”, diz Clemons. “Uma parte desfruta dos benefícios, enquanto a outra arca com os custos.”
Tecnologia: fórmula mágica?
Embora a tecnologia tenha, evidentemente, contribuído para facilitar o roubo de identidade, será possível utilizá-la também para tornar seguras as informações?
Na verdade, não, diz Whitehouse. Para proteger a identidade, é preciso construir um sistema com múltiplas camadas de segurança. Para acessar os dados, seria preciso passar pelas diversas etapas dos procedimentos de segurança. Para reforçar a segurança seriam necessárias duas coisas: aceitação por parte do consumidor e aplicação de novos procedimentos para transações financeiras. O problema é que esse tipo de solução não é simpática, sobretudo, por exemplo, se levar um pouco mais de tempo para aprovação do crédito. Clemons explica que uma coisa tão simples quanto a perda de uma senha se tornaria ainda mais inconveniente. “Uma vez que seria mais difícil determinar que você é você, seria mais difícil também garantir-lhe o direito de usar sua senha”, observa.
Outra alternativa seria deixar de usar o número da seguridade social como identificação, mudar freqüentemente de senha e usar números de cartões de crédito virtuais que mudam a cada compra feita, de modo que os verdadeiros números nunca são revelados. Se todas essas alternativas forem integradas aos sistemas de informação, o valor dos dados vazados seria praticamente zero, observa Clemons.
Uma vez que tais soluções não aparecem da noite para o dia, sobra pouca coisa para aliviar o sofrimento do consumidor, exceto, talvez, rezar para que sua identidade não seja roubada, diz Hunter. “Essa área é um enorme vespeiro, e não há indício de que a situação deva melhorar no curto prazo.”
fonte : http://www.wharton.universia.net/index.cfm?fa=viewArticle&id=955&language=portuguese&specialId=