Bacafá

Bacafá

terça-feira, 26 de junho de 2018

Compliance digital e segurança na internet

Tem-se falado e escrito muito ultimamente sobre compliance digital, segurança na internet, preocupações com acessos indevidos ou vazamento de dados. Notícias quase cotidianas dando conta problemas dessa natureza e a entrada em vigor no último dia 25 de maio do GDPR (Regulamento Geral de Proteção de Dados da União Europeia) contribuem para o aumento dessas discussões.
A preocupação não é para menos. Segundo estudo da Ponemon Institute/IBM (2017 Cost of Data Breach Study), as causas de violação de dados foram divididas em três grandes grupos: ataques maliciosos ou criminosos; falhas no sistema e erros humanos. O mais impressionante é a participação de cada grupo: 44%, 31% e 25% respectivamente. Ou seja, mais da metade do problema é de dentro e não de fora, como era de se esperar. Deve ser considerado ainda que, neste estudo, hackers ou criminosos internos (empregados, contratados ou terceiros) são considerados igualmente como responsáveis ​​por ataques maliciosos ou criminosos.
Ou seja, o problema interno pode ser, conforme o caso, percentualmente ainda maior. Nesse prisma verifica-se que o incidente de vazamento pode decorrer de um colaborador desatento ou de um colaborador mal intencionado.
Outros dados interessantes da pesquisa (p. 12):
“Brazilian companies that had a data breach involving less than 10,000 records averaged a cost of R$ 2.02 million. Data breaches involving 50,000 or more records had an average per capita cost of R$ 6.73 million.”
São, realmente, valores que não podem ser desprezados. Sem contar o quanto a imagem da empresa pode ficar arranhada perante seus clientes, fornecedores e concorrentes.

Programas de compliance.

Compliance (ou programa de integridade) nas empresas é, possivelmente, o melhor caminho para diminuir os riscos de danos (financeiros diretos e à imagem). Programas de integridade realizados por profissionais preparados e que consigam não apenas entender, mas, principalmente, fazer o elo entre a legislação vigente e os meandros tecnológicos e de TI, além de compreender o negócio do cliente, tornaram-se indispensáveis.
O VP da SRI Internacional, Robert Pearlstein, em entrevista ao Portal Consumidor Moderno (https://bit.ly/2M1GpNi), disse que
“O grande desafio da internet no momento é a questão segurança, que deve ser pensada em larga escala. Todos devem ter essa preocupação e não apenas governos ou empresas. O que temos hoje é o que americanos chamam de velho oeste selvagem, uma espécie de terra sem lei. Independentemente do tipo de internet que apareça no futuro, penso que o ponto de partida é pensar na segurança. A segurança será a inovação em uma nova rede mundial.”
Os programas de compliance na área digital poderão mitigar os perigos comentados por Robert Pearlstein, ainda que oriundos da equipe interna (seja por negligência, seja intencional, como visto acima).

Preparação multidisciplinar.

A preocupação, porém, não deve ser apenas com a equipe de TI das empresas. Com a evolução da tecnologia e das relações trabalhistas, todo o corpo de colaboradores deve estar integrado e sintonizado com o programa de integridade. Todos devem saber o que podem e o que não podem fazer. É a única maneira de diminuir as chances de uma invasão, sequestro ou vazamento de dados sensíveis das empresas.
O relatório Ponemon/IBM também trata desta complexidade:
“Disruptive technologies, access to cloud-based applications and data as well as the use of mobile devices (including BYOD and mobile apps) increase the complexity of dealing with IT security risks and data breaches.”
Como a própria filosofia de compliance ensina, a educação deve se dar em todos os escalões e setores da empresa.

Evitando prejuízos.

Assim, associados aos prejuízos inerentes ao vazamento de dados, per si, a nova legislação europeia sobre o tema e o projeto de lei de proteção de dados em tramitação de dados no Congresso Nacional demandam a atenção das empresas nesse sentido.
Criar e estimular a cultura de integridade traz benefícios a curto, médio e longo prazos, indiscutivelmente. As empresas devem estar preparadas para a transformação digital, afinal. Clicando aqui, você pode entender melhor.
De fato, não dá mais para as empresas deixarem essa preocupação em segundo plano, independentemente de seu tamanho.

www.rlb.adv.br

quinta-feira, 10 de maio de 2018

As deep fake news e sua empresa

Você tem certeza sobre a veracidade de tudo o que lê a respeito de uma pessoa ou empresa? Pois é!

As fake news se tornaram uma epidemia. Pessoas, famosas ou não, são alvos de notícias falsas com os mais diversos objetivos. Desde o mais mesquinho, de simplesmente atacar a honra de uma pessoa por ciúmes ou inveja (que pode gerar de um pequeno mal-estar familiar a um linchamento); até os mais elaborados, utilizados como forma de acessar dados ou informações sensíveis ou inocular um vírus no equipamento da incauta vítima.

Em épocas de eleições essa realidade destaca mais dramaticidade e periculosidade, pois com as visíveis polarizações políticas tupiniquins e mundiais muita gente quer ter uma opinião formada sobre tudo e sobre todos. Com perfis falsos ou pagos (sem qualquer ideologia lógica que fomente o debate), muito estrago pode ser feito. Tem-se visto notícias constantes sobre o assunto, em especial por ser, esse, um ano de eleições presidenciais atípicas no Brasil, dados os últimos episódios registrados. Ver-se-á muitas reputações políticas destruídas e lobos em pele de cordeiro nos próximos meses.

O problema, porém, como dito, não se limita às questões eleitorais ou político-partidárias. Atinge todos: pessoas físicas e jurídicas.

E essa questão se torna ainda mais importante quando a tecnologia já permite um passo além das tradicionais fake news: as deep fake news. As notícias falsas não virão mais apenas escritas. Vídeos e áudios farão muita gente ter a convicção (plena) de que aquela imagem ou aquela voz são mesmo das pessoas retratadas (famosas ou não). Ou mesmo de uma marca ou de um produto. Mas não serão!

A nova fase das notícias falsas assusta - e não é para menos! O que antes era privilégio ou monopólio dos gigantes estúdios de cinema ou das grandes produtoras de publicidade comercial, com o avanço e barateamento da tecnologia, manipular imagens, vídeos e áudios (com objetivos nada louváveis), passou a ser alcançável por quase qualquer pessoa.

As já cunhadas deep fake news (ou falsas notícias profundas, em tradução livre), ou simplesmente deep fake (falsificação profunda), criarão comprometimentos de imagem e honra patamares acima do que se viu até agora. A diferenciação entre realidade e manipulação digital, com sintetização de rostos e vozes, ficará cada vez mais difícil, especialmente para os leigos. Tudo pode ficar pior se for considerada a possibilidade de exércitos de bots atuando nessa linha contra determinadas pessoas, físicas ou jurídicas. Conforme é notícia no mundo inteiro, isso aparentemente aconteceu nas últimas eleições presidenciais norte-americanas.

As grandes plataformas e redes sociais estão desenvolvendo algorítimos para identificar notícias falsas, e têm obtido considerável êxito, embora não o suficiente para dizimá-las. Universidades também tratam do assunto, dada sua complexidade e importância. Um estudo do professor Deb Roy e sua equipe, do MIT, identificou, por exemplo, que, no Twitter, notícias falsas trafegam mais rápido do que notícias verdadeiras. Mais do que isso: descobriu que pessoas, de início, disseminam mais informações falsas do que bots. Mais dessa pesquisa pode ser lido no MIT News: https://bit.ly/2toeBNS.

Mas, afinal, por que as pessoas fazem isso? Os pesquisadores de mídia, política e tecnologia Claire Wardle e Hossein Derakhshan trazem uma luz sobre o tema (artigo no Jornal The Guardian - How did the news go ‘fake’? When the media went social - https://bit.ly/2zJz3bb):

When we try to understand why people are sharing misleading, manipulated and fabricated information, we need to appreciate that those shares and retweets are playing an incredibly important function, which is less about their veracity or truth. The act of sharing is often about signalling to others that we agree with the sentiment of the message, or that even if we don’t agree, we recognise it as important and worth paying attention to. We want to feel connected to others, and these mini-performances allow us to do that.

Em resumo: pura necessidade de se sentirem incluídos...

O frisson das deep fakes ainda são os vídeos pornográficos, especialmente com celebridades. Entretanto, todos sabem que o próximo passo é o caminho das fraudes corporativas, ou melhor, contra as corporações, grandes ou não.

E sua empresa? Está preparada ou imune às fake news?

Muitas empresas estão se organizando efetivamente contra estas notícias falsas que podem ser propagadas tanto por um consumidor insatisfeito ou que queira simplesmente chamar a atenção, quanto por concorrentes. Há diversos casos de tentativas frustradas e de sucesso de propagação de notícias falsas contra empresas relatados na doutrina, jurisprudência e, principalmente, imprensa. A Coca-Cola, por exemplo, criou em seu site uma seção específica para discutir boatos com seus clientes (https://bit.ly/2Hmt6ov). Uma ótima iniciativa para quem quer trabalhar com transparência e, ao mesmo tempo, está preparada para atender à demanda que se cria automaticamente.

O grande problema que já ultrapassou a linha da vizinhança, contudo, são as deep fakes. Como lidar com aquela imagem manipulada digitalmente e com perfeição do produto (ou marca) da sua empresa em situação que causa asco, repulsa, raiva ou qualquer outro sentimento depreciativo de seus clientes? Ou com um dirigente de alto escalão fazendo ou falando algo que não deveria nem em sonho, causando as mesmas sensações nos consumidores? Clientes, estes, que dirão com todas as letras: "Eu vi e ouvi. E é isso mesmo!".

As deep fakes podem ir além de uma imagem (muito) arranhada com os consumidores. Os professores de Direito americanos Robert Chesney e Danielle Citron, em artigo publicado na revista Lawfare (Deep Fakes: A Looming Crisis for National Security, Democracy and Privacy? - https://bit.ly/2EP4nvf), alertam:

"Blackmailers might use fake videos to extract money or confidential information from individuals who have reason to believe that disproving the videos would be hard (an abuse that will include sextortion but won’t be limited to it). Reputations could be decimated, even if the videos are ultimately exposed as fakes; salacious harms will spread rapidly, technical rebuttals and corrections not so much."

Sob outro prisma: vídeos ou áudios poderão facilmente enganar colaboradores das empresas, causando prejuízos das mais diversas montas. Ou, ainda, deixá-los como reféns morais, obrigando-os a provocar danos contra seus empregadores.

Resta evidente, então, que, para as empresas, não apenas as questões técnicas para evitar as fake news e as deep fakes, ou para contorná-las jurídica e comercialmente, são prioridade, mas, também, a preparação da equipe que lida com informações sensíveis ou sigilosas.

Os Governos devem se preocupar e endurecer a legislação sobre fake news e deep fakes. Contudo, é sabido que a a tecnologia e o comportamento humano são sempre mais rápidos do que os interesses políticos positivos. Consequentemente não dá para esperar limitações legislativas. As empresas devem se preparar para mitigar os riscos e agir rapidamente quando as situações se concretizarem.

Até porque a grande dúvida que fica é: o que virá adiante?