Entidades alertam para perigos à privacidade na IoT
Em suas contribuições para o Plano Nacional de Internet das Coisas (IoT) na consulta pública do Ministério da Ciência, Tecnologia, Comunicações e Inovações encerrada nesta semana, a ênfase das entidades sociais e de defesa do consumidor é na questão da segurança, em especial no tráfego e uso dos dados gerados pela tecnologia. Mas levantam pontos não tão presentes nas outras contribuições, como possíveis backdoors, franquias de dados e a quebra da anonimidade dos dados por meio de contextualização e cruzamento de informações.
Para a associação de consumidores Proteste, o Plano Nacional de IoT permitiria um sistema regulatório que contemple os aspectos do novo mercado, priorizando a garantia dos direitos fundamentais como privacidade, segurança e direito à personalidade. Mas a entidade mostra preocupação com uma possível verticalização do fornecimento de serviços e produtos sob justificativa da interoperação. E que essa interoperabilidade precisa utilizar sistemas abertos em todas camadas (exceto em “hipóteses específicas e excepcionais”) e com padrões mínimos de segurança em todos os níveis.
Afirma ainda que as leis de propriedade industrial e de direitos autorais precisam ser revistas para “conferir um maior grau de certeza e racionalidade aos novos mercados”. Ela entende que os serviços de telecomunicações possuem regulação robusta, enquanto os serviços de valor adicionado (SVA) estão “sub-regulados”. Por isso, pede uma regulação dos SVA, ampliando regras também para o mercado de IoT.
Na visão do Instituto de Defesa do Consumidor (Idec), representado pelo pesquisador Rafael Zanatta, o desenvolvimento da IoT no Brasil levanta questões “fundamentais” relacionadas ao Código de Defesa do Consumidor, especialmente por automatizar funções ou oferecer controle remoto em servidores pela Internet. “Veículos com direção autônoma e ‘fogões inteligentes’, por exemplo, tornam-se exemplos cotidianos de riscos reais relacionados à invasão de sistemas e riscos direcionados aos consumidores (sistemas de freios que podem ser modificados ou controle de temperatura e liberação de gás à distância)”, diz, ressaltando ainda a falta de experiência da indústria tradicional “offline” para tratar com segurança da informação online. Assim, sugere o indicado pelo órgão norte-americano Federal Trade Commission (FTC), aplicando regras de segurança diretamente no design.
O Idec também aponta a relação de uso de IoT não apenas como instrumento para ataques de negação de serviço (DDoS), mas em como isso pode afetar o consumo de franquia mensal de dados do usuário, caso esse modelo seja liberado na banda larga. “Será preciso pensar não somente nos padrões de segurança adequados, mas também nas regras de responsabilidade em caso de lesão ao consumidor por negligência do fornecedor.”
Proteção de dados
A Proteste diz ser imprescindível a aprovação do PL 5.276/2016, que trata da proteção dos dados pessoais e prevê a criação de uma autoridade fiscalizadora e reguladora. O projeto de lei também é defendido pela Coding Rights, afirmando que a redação possui “as melhores regras” para big data e IoT, “equilibrando flexibilidade e desenvolvimento econômico com direitos e garantias da(o) cidadã(o)”. Mas ressalta que a anonimização dos dados, apesar de útil, pode permitir a reidentificação de titulares por meio de cruzamento com outros bancos de dados. O PL exige determinados padrões e garantias para esses dados, que seriam fiscalizados pela entidade independente. Para o Idec, o fomento à IoT sem a aprovação de uma lei geral de proteção de dados pessoais seria “extremamente danosa”. Diz também que é preciso “enforcement aos artigos 11 e 12 do Marco Civil da Internet, sob pena de criar um regime regulatório frouxo, onde há incentivos para aqueles que descumprem os deveres de proteção de dados pessoais e privacidade”. E que se deve manter a regra de responsabilidade solidária por lesão causada ao consumidor.
O ITS Brasil ressalta que a responsabilidade sobre falhas deve ser “bem regulamentada e esclarecida, delimitando os diferentes casos que podem envolver o fabricante do dispositivo, o proprietário do dispositivo, a empresa responsável pela infraestrutura e serviço de rede, agências reguladoras desses serviços e até mesmo o governo dependendo do serviço em questão”. E considera que o machine learning será uma ferramenta importante, mas também mostra preocupação por poder apresentar riscos à privacidade.
Por sua vez, o Idec propõe utilizar “minimização de dados” – ou seja, o uso do princípio da necessidade na coleta de dados pessoais – como medida de segurança para empresas. Assim, diz que políticas públicas devem incentivar o uso mínimo e desincentivar uso desproporcional de dados. E que o Estado deve ter as mesmas preocupações com privacidade e proteção dos dados, sem “excepcionalismo regulatório”.
Backdoors e criptografia
A possibilidade de criação de backdoors em todas as camadas de infraestrutura, de aplicativos aos algoritmos de criptografia para comunicação segura e componentes eletrônicos é alertada pela Coding Rights. A entidade sugere que se acrescente o tema como mais uma ameaça – as outras dez mencionadas pelo texto do MCTIC são: interface Web insegura; autenticação insuficiente; serviços de rede inseguros; ausência de transporte seguro; privacidade; nuvem segura; interface móvel segura; configurações de segurança insuficientes; software e firmware inseguros; e segurança física deficiente. A presença de backdoors também é citada pela Proteste como elemento a ser endereçado na regulamentação.
A Coding Rights explica que backdoor na criptografia torna todo o sistema mais frágil, uma vez que a porta fica disponível também para criminosos ou instituições mal intencionadas. Trata-se de uma referência às tentativas de interceptar dados por meio de ordem judicial, como ocorreu no caso do FBI contra a Apple nos Estados Unidos, e da PF contra o WhatsApp no Brasil. “Ou a criptografia é forte para todos ou ela não o é para ninguém. No momento em que você coloca um ponto de entrada, uma quebra, um backdoor para que alguém tenha acesso, isto a torna fraca para todos.” A sugestão é que os padrões e protocolos sejam pensados com a segurança e privacidade como valor fundamental (by design) e criptografia fim a fim com foward secrecy (“sigilo daqui para frente”) que utiliza uma chave efêmera descartada no momento em que a mensagem chega. A Proteste entende que mecanismos como a criptografia devem estar presentes em dispositivos IoT, lembrando que no art.13 do Marco Civil da Internet já há normativa orientando o uso desse tipo de ferramenta para segurança dos dados pessoais.
Bruno do Amaral, Teletime, 10 de fevereiro 2017