Share on facebook
Share on twitter
Share on linkedin
Share on whatsapp
Share on telegram
Share on pocket

Mais uma vez o Enem, mantido pelo Ministério da Educação é destaque pela péssima gestão de terceiros no que tange à segurança da informação (o primeiro absurdo ocorreu em 2009, com o vazamento dos dados das provas).

Dados de estudantes inscritos entre 2007 e 2009 estariam disponíveis para consulta na Rede Mundial de Computadores em 03/04/2010, com informações como RG, CPF, data de nascimento, nome da mãe, perfil sócio-econômico e notas.

Especulava-se que a autoria do vazamento seria proveniente de uma das instituições que teria acesso legitimo ao conteúdo através de senha. Os descobridores? Alunos de primeiro e segundo grau de um colégio de São Paulo. Hackerismo? Nenhum, mero acesso aos links indicados no site governamental.

Segundo o INEP (Instituto Nacional de Estudos e Pesquisas Educacionais), tal instituição suspeita teria disponibilizado o “link” com a lista, que foi suspenso imediatamente quando constatado o delito. Tratava-se tais dados de informações confidenciais e restritas a um grupo, as instituições, que faziam uso destes dados nos processos seletivos.

Porém, como pode prosperar a tese de que uma empresa poderia ter “vazado” com os dados, sendo que o INEP almeja iniciar uma pericia digital nos arquivos para rastrear a autoria do vazamento?

A história não está bem contada e tudo indica ser falha técnica do site. Ou como a empresa transgressora disponibilizaria o link da lista se a tal tela deveria preceder uma autenticação? Não é possível que imaginássemos uma página do Governo que não se baseasse em autenticações de sessões ou outros mecanismos robustos como criptografia.

Mas foi exatamente o que ocorreu: programação insegura, eis que após acesso à página com os dados de inscrição do candidato, o link poderia ser copiado e aberto em outros computadores sem a necessidade da senha, o que é uma precariedade para qualquer técnico de informática ou programador de sistemas que fosse consultado.

E as senhas das instituições, será que tínhamos uma senha para todas? Um absurdo mas tudo indica que sim, pois caso as senhas fossem diferentes para cada instituição seria fácil analisar os logs de autenticação e descobrir qual a instituição negligente, o que não parece ser o caso, eis que até rastreamento de arquivos terá de ser feito na investigação forense digital para apurar a autoria do crime praticado.

Nesta esteira, identificamos inúmeras transgressões pelo MEC, dentre as quais, a que atenta contra as diretrizes do exame, que prevê que os dados fornecidos pelos estudantes são sigilosos e que resultados só podem ser divulgados mediante autorização do candidato.

A norma técnica ISO 27001, que trata da gestão da segurança da informação, é arranhada em diversos controles pelo MEC. Além disso, tal postura do MEC fere a Constituição Federal, que garante a todos os cidadãos, dentre os direitos e garantias fundamentais, a proteção a intimidade e vida privada, que sabemos se estendem ao direito de controlar quem pode acessar seus dados e informações.

Considerando que no Brasil invasão ainda não é crime, pessoas que eventualmente divulgaram tais listas poderão responder pelo delito de divulgação de segredo, art. 153 do Código Penal, ou seja, divulgar sem justa causa, informações sigilosas ou reservadas, assim definidas em lei, contidas ou não nos sistemas de informações ou banco de dados da Administração Pública, cuja pena vai de detenção de um a quatro anos e multa.

Logicamente que os alunos descobridores não podem e nem devem ser punidos, eis tinham uma mais que justa causa para divulgarem a falha, qual seja, a segurança de 12 milhões de estudantes expostos.

Já caso seja apurado que o vazamento teve a participação de servidores públicos, estes responderão pelo delito de violação de sigilo funcional, previsto no art. 325 do Código Penal, pela conduta de permitirem ou facilitarem mediante atribuição, fornecimento e empréstimo de senha ou qualquer outra forma, o acesso de pessoas não autorizadas a sistemas de informações ou banco de dados da Administração Pública. A pena varia de seis meses a dois anos de detenção.

De qualquer modo, todos os inscritos que tiveram seus dados sensíveis expostos na Internet, independentemente do tempo ou de qualquer utilização indevida por criminosos ou fraudadores, tem o direito de requerer a indenização ao MEC pelo ato da exposição, que violou inúmeras diretrizes e legislações no Brasil. Ademais, os próprios contratos do INEP e MEC prevêem a indenização em caso de vazamento de dados de modo que ambas as instituições deverão se entender sobre as reparações aos alunos, nos termos do artigo 934 do Código Civil.

Com efeito, segundo o Código Civil brasileiro, aquele que, por ação ou omissão voluntária, negligência ou imprudência, violar direito e causar dano a outrem, ainda que exclusivamente moral, comete ato ilícito e tem o dever de indenizar pelos danos causados.

Os alunos poderão provar a negligência praticada pelo MEC com os dados da imprensa, bem como com a propaganda intensiva e ostensiva de segurança feita por representantes do MEC e INEP, inclusive após o incidente, o que reforça ainda mais que tais órgãos asseguravam o que na prática estão longe de ter: segurança da informação.

Informações sobre o histórico negativo do MEC em relação à segurança da informação, como o episódio de 2009 do vazamento da provas, também devem ser utilizadas pelos estudantes nos pedidos à Justiça.

O Estado cada vez mais nos solicita informações sensíveis para seus atos, porém deve aprender a custodiá-las adequadamente, impedindo que o vazamento gere danos aos cidadãos, como o nitidamente causado no caso Enem.

Tal indenização que os alunos tem direito na Justiça deve ser o suficiente para compensar os danos causados, mas principalmente, ter efeito difuso, inibidor e educacional, impedindo que instituições como o MEC e INEP sejam mais que negligentes na custódia de dados de cidadãos, mas que principalmente, nunca mais desprezem ou minimizem os danos decorrentes dos vazamentos de informações, danos estes que todos nós bem conhecemos e que são potencializados na Internet. [Webinsider]

…………………………

Conheça os serviços de conteúdo da Rock Content..

Acompanhe o Webinsider no Twitter.

Avatar de José Antonio Milagre

José Antonio Milagre (@periciadigital) é Perito e Advogado especializado em Tecnologia da Informação. Site: www.legaltech.com.br.

Share on facebook
Share on twitter
Share on linkedin
Share on whatsapp
Share on telegram
Share on pocket

3 respostas

  1. Sao várias as instituicoes no Brasil que possuem graves falhas em seus sistemas de seguranca. A propria Receita Federal tem este tipo de problema.

    Infelizmente, há um mercado comprador muito ávido por tais informacoes.

  2. Para mim isso é caso clássico da qualidade de desenvolvimento pelas repartições públicas.

    A equipe que desenvolveu o sistema provavelmente concursados que não são cobrados, não podem ser demitidos, não estavam nem aí para a qualidade do produto (muito menos para a privacidade dos dados dos alunos).

    Tendo algo na página para falar: está pronto, era o suficiente.

    Inclusive, conheço uma certa universidade pública, onde alguns dados dos alunos são expostos de forma semelhante a essa do enem, sem segurança nenhuma, se for analisar os dados, dá pra fazer muita coisa.

    Ok, nem todo serviço público digital é uma porcaria. Mas com certeza a porcentagem é muito maior que nos serviços privados.

  3. Excelente artigo, esclarece bem as questões de segurança da informação totalmente ignoradas(pelo MEC quanto jurídicas mostrando que temos direitos assegurados e consequencias para a fala de respeito.

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *