política de cibersegurança

Após vazamento, Sergipe cria política de proteção de dados

Da Redação
11/10/2021

O Governo do Estado de Sergipe publicou no dia 5 de outubro de 2021, terça-feira da semana passada, um decreto instituindo a Política Estadual de Proteção de Dados Pessoais do Poder Executivo Estadual e criando o Conselho de Governança da Política Estadual de Proteção de Dados Pessoais. A iniciativa ocorreu menos de uma semana após o Banco do Estado de Sergipe (Banese) ter informado no dia 30 de setembro a descoberta de uma brecha de segurança e o acesso indevido de “dados cadastrais de pessoas que não são clientes do banco”. Segundo comunicado do Banco Central (BC), não foram expostos dados sensíveis, como senhas, valores movimentados e saldos nas contas. Os telefones de clientes, no entanto, foram capturados por pessoas de fora da instituição. Segundo informou o Banese, 395.009 chaves Pix, exclusivamente do tipo telefone, foram obtidas “mediante engenharia social”.

Veja isso
Banco Central informa vazamento de chaves Pix
Ataque a banco do Paquistão leva US$ 6 milhões

O decreto determina que a política “dispõe sobre o conjunto de diretrizes, projetos, ações e metas estratégicas para a adequação dos atos de tratamento de dados pessoais realizados no âmbito da administração pública estadual direta e indireta do Poder Executivo Estadual, ressalvadas as entidades de direito privado que atuam em regime concorrencial, em conformidade com a Lei (Federal) nº 13.709, de 14 de agosto de 2018, Lei Geral de Proteção de Dados Pessoais – LGPD”.

A advogada criminal Cláudia Bonnard de Carvalho, Legal Advisor em Cybercrime e Cybersecurity, acredita que “essa é apenas uma medida inicial, que precisa de regulamentação, de forma a esboçar melhor as ações que devem ser tomadas, à semelhança do que fez o Banco Central na Resolução Bacen 4893/21, que estabeleceu regras para contratação de serviços de nuvem. Além disso, há que se ter recursos suficientes destinados a este propósito, para financiar uma politica de proteção de dados pessoais eficiente, bem como mão de obra capacitada, que possa agir de forma efetiva na prevenção de ataques cibernéticos e impedir a ação de cibercriminosos”.

O mesmo decreto criou também o “Conselho de Governança da Política Estadual de Proteção de Dados Pessoais – CGPEPDD”, que é descrito como “instância colegiada de natureza normativa e deliberativa, a quem cabe a governança da referida Política Estadual e especificamente”. O conselho terá apenas cinco membros, representando a Procuradoria-Geral do Estado, as Secretarias da Administração, Transparência e Controle, Fazenda e Secretaria Geral de Governo.

Apesar de informar que a atividade maliciosa não compromete senhas, extratos, históricos e informações financeiras, o banco relata que o sistema ao qual os invasores tiveram acesso, chamado Diretório de Identificadores de Contas Transacionais (DICT), também guarda dados como nome, CPF, banco em que a chave está registrada, agência, conta, data da abertura da conta e data de registro da chave Pix.

Segundo o BC, as informações obtidas não permitem movimentação de recursos nem acesso às contas ou a outras informações financeiras. As pessoas com dados vazados serão notificadas exclusivamente por meio do aplicativo da instituição financeira, sem avisos por chamadas telefônicas, aplicativos de mensagem, SMS ou e-mail.

De acordo com o comunicado do BC, o vazamento decorreu de “falhas pontuais” nos sistemas do Banese. O órgão informou ter adotado as ações necessárias para a apuração detalhada do caso e aplicará as medidas sancionadoras previstas na regulação.

Com informações da Agencia Brasil

Compartilhar: