Episódio #370 – Café Segurança Legal

(00:01) Bem-vindos e bem-vindas ao Café Segurança Legal, episódio 370, gravado em 19 de julho de 2024. Eu sou o Guilherme Goulart e, junto com Vinícius Serafim, vamos trazer para vocês algumas notícias da última quinzena. Não é mais quinzena ou semanas, mas agora fechou a última quinzena, Vinícius. Tudo bem? E, Guilherme, tudo bem? Olá aos nossos ouvintes. O nosso café é livre, trazemos notícias da última semana, última quinzena, e também de mais tempo, se for o caso e for relevante. Este é o momento do

(00:36) café, de se divertir um pouco. Esse é o nosso momento. Pegue o seu café, a sua água, seu chimarrão, sua bebida preferida e venha conosco. Para entrar em contato conosco e enviar suas críticas, é muito fácil: basta enviar uma mensagem para podcast@segurancalegal.com ou, se preferir, também pelo @segurancalegal no Twitter/X e no Mastodon, no @segurancalegal@mastodon.social. Já pensou em apoiar o projeto Segurança Legal? Acesse o site apoia.

(01:03) se/segurancalegal e escolha uma das modalidades de apoio. Entre os benefícios, você receberá o acesso ao nosso grupo exclusivo de apoiadores no Telegram. Vinícius, eu gostaria de destacar para os ouvintes que o apoio para nós é muito importante, pois ajuda a manter todo o custo do podcast, de material, e tudo mais, além de parte do nosso tempo. É importante dizer que tivemos uma mudança, porque recebíamos apoio pelo PicPay e pelo Apoia.se. Muita gente migrou para o PicPay, só que

(01:39) o PicPay decidiu nos deixar na mão, assim como muitos outros criadores de conteúdo. O PicPay parou de receber apoios por lá e, basicamente, a grande maioria do pessoal que foi para o PicPay não voltou para o Apoia.se. Então, pedimos: se você ainda não apoia, considere apoiar um projeto independente de produção de conteúdo. Isso é importante. E também, se você apoiava, foi para o PicPay e não voltou para o Apoia.se, considere voltar a apoiar por lá. Seu apoio é muito bem-vindo e necessário para que continuemos mantendo este projeto. Fica também a indicação do blog da Brown Pipe. Então, se

(02:18) você quiser se manter sempre atualizado sobre algumas dessas notícias, consegue fazer o acompanhamento delas pelo blog da Brown Pipe. Você também pode se inscrever no mailing semanal para receber as principais notícias toda semana na sua caixa de e-mails. É tão antigo isso, né, Vinícius? Mas, enfim, na sua inbox. A gente deixa também a indicação da série de vídeos que começou com uma série de criptografia do Vinícius lá no YouTube, mas ele também já ampliou para outros temas.

(02:56) O que foi, Vinícius? A ideia é trazer conteúdo sobre segurança da informação. A gente está com a ideia de se aproximar mais dos nossos ouvintes do Segurança Legal e da comunidade de pessoas que estudam segurança da informação. Como temos essa veia de professor, está no nosso sangue, né, Guilherme?

(03:27) E juntando a questão de nos comunicarmos, aproveitando o canal do Segurança Legal que já existe há alguns anos como podcast e também no YouTube, já estávamos pensando em fazer isso há algum tempo: compartilhar informações sobre segurança da informação de maneira mais didática e bastante franca, de forma que a gente aprofunde a compreensão dessa área. A pegada lá é ser uma coisa mais leve, para eu conseguir ficar um pouco mais natural, digamos assim. Ela tem um roteiro, mas

(04:13) não é um roteiro muito fechado. Eu posso até mudar um pouco o caminho conforme o pessoal se comunica comigo, vai pedindo outras coisas, vai tirando ou colocando dúvidas. Então, interage ao vivo ali comigo. A gente já falou sobre criptografia, fizemos três lives sobre o tema. Eu fiz uma agora, nesta terça-feira, sobre os objetivos da segurança da informação, que, aliás, vamos usar hoje aqui para ver o que é um incidente de segurança ou o que não é. Eu comentei sobre isso lá. E estou

(04:44) organizando outra agora sobre ataques, ameaças, impacto, controle e vulnerabilidades, que vai ser não na próxima terça-feira, que eu não vou estar aí, mas na outra. E aí, sim, vamos avançando com os diversos assuntos e temas que temos planejado e que o pessoal pode, eventualmente, nos solicitar por meio do contato com o Segurança Legal. Fica o convite, então, para você que nos ouve. Se você já está nos vendo ou nos ouvindo no YouTube, é só ir ali no canal, na aba “Ao vivo”,

(05:21) que você consegue ver os vídeos gravados pelo Vinícius. Bom, Vinícius, vamos começar então. Em geral, a gente começa falando sobre proteção de dados, tradicionalmente acabou se firmando essa tendência aqui. Não vou quebrar isso logo no próximo episódio, não tem problema, aqui é livre. Mas o que acontece é que tivemos duas coisas importantes, na verdade três, mas vamos dividir aqui. O primeiro é que se firmou no Brasil, em

(05:57) 17 de julho, o Dia Nacional da Proteção de Dados. Tem até um projeto de lei que, salvo engano, ainda está na Câmara, mas foi aprovado no Senado, que fixava o dia 17 de julho como Dia Nacional de Proteção de Dados, que é justamente o dia do aniversário do Danilo Doneda, nosso amigo, que completaria 54 anos em 2024. Então, fica como efeméride aqui. Como o pessoal do Xadrez Verbal coloca, hoje é dia 19, não dia 17.

(06:32) Ele completaria 54 anos no dia 17. Hoje é dia 19, mas é apenas para ficar marcada essa data, que é bastante importante para nós, brasileiros, sobre o Dia Nacional da Proteção de Dados. Bom, o outro tema é um pouco mais complexo. Tivemos, nesta semana, o anúncio de uma ação bilionária do MPF e do Idec contra a Meta. Ambas as instituições ajuizaram esta ação civil pública contra a Meta, buscando uma indenização de

(07:17) R$1,73 bilhão por danos morais coletivos. Eles publicaram, inclusive, a petição inicial da ação civil pública, uma petição de 239 páginas. Os fundamentos principais, e já vou colocar também, é que o ponto dessa ação uniu, na mesma peça, argumentos contra a Meta e argumentos contra a própria ANPD. O Ministério Público entendeu, junto com o Idec, que eles deveriam também mover uma ação contra a ANPD na mesma ação, o que me parece que acaba sendo um problema processual, mas, enfim, depois eu comento sobre isso. Quais foram,

(08:03) e quero destacar aqui, os fundamentos principais da ação ou dos pedidos contra a Meta e contra a ANPD? O ponto principal é que teria havido uma falha de informação nas alterações realizadas lá em 2021, no compartilhamento de dados do WhatsApp com outras empresas do grupo Meta. Isso ocorreu em 2021. Então, os fundamentos são que essa falha de informação teria envolvido o fato de eles não terem informado adequadamente aos usuários quais dados seriam compartilhados e quais as finalidades de compartilhamento

(08:48) desses dados entre as empresas do grupo, além de problemas em relação às bases legais. Eles notaram que houve uma diferença na qualidade das informações da versão em português da política em comparação com a versão em inglês, ou seja, a versão em inglês seria mais completa. Por conta disso, houve uma falha de informação, violando o princípio da transparência da LGPD. E, por conta disso, somente este problema de falha da informação já seria suficiente para, segundo eles, fulminar todos os tratamentos por eles promovidos.

(09:30) Depois, eles consideraram também que houve um compartilhamento de dados excessivo e desproporcional, violando o princípio da necessidade. Isso também está relacionado ao fato de a política não esclarecer adequadamente, então essas duas coisas estão juntas. Também envolveu a escolha de uma hipótese inadequada para o tratamento: a Meta escolheu o legítimo interesse, mas, segundo o Ministério Público, não se poderia ter utilizado essa hipótese de tratamento, que é, na verdade, um grande problema da escolha do legítimo interesse, porque você precisa passar por

(10:07) um teste para demonstrar que o interesse sustentado ali pelo agente de tratamento pode ser colocado sobre o interesse do próprio titular. Além dessa questão da hipótese inadequada, houve uma violação dos próprios direitos fundamentais dos usuários, isso na alegação do MPF, e também a violação dos direitos dos usuários enquanto consumidores, porque a mesma relação pode demandar tanto a proteção pela LGPD quanto a proteção pelo Código de Defesa do Consumidor, e daí a união do

(10:50) Ministério Público e do próprio Idec contra a Meta nesse sentido. Qual era o objetivo, na verdade, e os riscos que o Ministério Público e o Idec colocaram? Que esse compartilhamento de dados irrestrito entre as empresas do grupo Meta permitiria avançar sobre as possibilidades de perfilização dos usuários, de forma que você poderia conseguir pegar dados mais ampliados de localização, contatos frequentes, horários de uso, com quem você se comunica. Mesmo que não envolva a mensagem, saber com quem você se comunica é um negócio que pode trazer uma série de inferências

(11:29) adicionais sobre o comportamento das pessoas, e isso aumentaria a capacidade ou possibilidade da Meta, por exemplo, de vender mais publicidade. Esse é o ponto relacionado do Ministério Público contra a Meta. Só que o Ministério Público decidiu ir também contra a ANPD, diante do que eles chamaram de problemas institucionais e do fato de que eles, o Ministério Público, apontaram que haveria violações da própria ANPD nesse caso. A questão é curiosa, porque, quando se iniciou lá em 2021 essa questão contra a Meta, era um grupo, um quarteto de instituições, eles chamam

(12:17) inclusive de “quarteto de instituições”, que era o Ministério Público Federal, CADE, Senacon e a ANPD. Eles estavam atuando em conjunto, e essa é uma peculiaridade do nosso sistema brasileiro de proteção de dados, que permite que, além da ANPD, outros órgãos atuem também. A lei abre essa possibilidade, é uma peculiaridade nossa, talvez difira um pouco de outros países, mas, enfim, é uma nossa peculiaridade. Tanto que, na época, eles promoveram uma recomendação conjunta para a Meta. Só que, a partir de

(12:50) 2022, começaram a haver discordâncias entre esses grupos, e a ANPD, lá em 2022, emite uma nota técnica bem fundamentada – é necessário dizer – em que eles se posicionavam de forma contrária ao que o MPF estava sustentando. A ANPD sustentou nessa nota técnica que as práticas que o WhatsApp tomou em resposta às recomendações deles seriam suficientes e, portanto, as atividades estariam adequadas. Porque foram dadas diversas recomendações, e a ANPD olha para essas recomendações e diz: “Está bem, eles cumpriram as recomendações que

(13:32) foram feitas”. Só que o MPF, ao que tudo indica pela leitura dessa petição inicial, começou a discordar disso. Teve outras questões também, segundo o MPF, como a ANPD passar a negar o acesso ao conteúdo do processo administrativo que vigia lá, justificando com sigilo comercial e industrial. O MPF discordou disso e traz uma argumentação em relação ao princípio da publicidade administrativa, mas, por outro lado, a própria LGPD traz essa possibilidade de proteger o sigilo comercial das partes. O MPF disse: “Não, mas

(14:11) poderia ter divulgado só uma parte”. O MPF ainda apontou que houve uma imobilidade da ANPD com postergação de análises e que eles teriam deixado de investigar a fundo. E veja, tudo isso estou dizendo nas palavras do Ministério Público. Então, quanto aos pedidos em relação à ANPD, eles, entre outras coisas, solicitaram submeter a atuação da ANPD ao judiciário e recomendaram que se crie uma regra sobre sigilo nos processos administrativos para permitir o acesso

(14:56) mais aberto a esses processos. Basicamente, sei que estou falando bastante, mas é para contextualizar, porque a petição inicial é muito grande, e o link vai ficar lá para você ler depois, se quiser. O que eu gostaria de terminar falando é o seguinte: primeiro, não vamos fazer nenhum juízo de valor aqui sobre o caso, a questão é muito complexa. Então, não vamos nos posicionar nesse sentido, falta informação para a gente, estamos vendo de fora a

(15:32) coisa. Exato. Falta um pouco de informação. O que dá para ver claramente, e eu li a matéria quando você me mandou, acho que faz uma semana, foi semana passada, é que existe um conflito aí, uma discussão, principalmente entre os órgãos, me parece que entre o MPF e a ANPD. O Idec está ali junto, mas acho que é mais o MPF. E no final da notícia que você passou, fica uma coisa estranha, eles citaram um trecho do

(16:11) documento em que o MPF diz que, se a ANPD quiser, uma coisa que me soou muito estranha, para ser bem franco, “se a ANPD quiser, ainda pode fazer parte do polo ativo”, ou seja, meio que deixar de ser ré para se juntar a nós contra o WhatsApp. É um pouco estranho. Eu não sou dessa área, você conhece muito mais do que eu, obviamente, pela formação e tudo, mas não é uma coisa

(16:50) muito comum de se ver escrita daquela forma. Eu achei estranho. Eu também achei estranho. Acho que, na verdade, deveriam ter duas ações aqui: uma ação, se o MPF quisesse se opor às ações da ANPD, deveria fazer isso mediante uma ação própria, e não colocar isso junto com a ação contra a Meta, porque me parecem pedidos diferentes. Acho que tem uma questão de organização processual aí, que

(17:23) é um outro tema. A gente sabe que a própria ANPD se coloca como um órgão que ainda está, por incrível que pareça, com falta de recursos, em formação. Eles estão sempre apontando isso: “Precisamos de mais recursos”. Então, tem esse aspecto. A própria ANPD também tem se posicionado no sentido de que quer ser, pelo menos no início, um órgão mais orientador, com uma atuação mais informativa. Você tem uma série de documentos que estão sendo criados pela ANPD, inclusive o regulamento do

(17:58) encarregado. Mas isso também reflete e demonstra um pouco sobre como é o nosso sistema de proteção de dados brasileiro, onde você tem diversos entes podendo atuar em conjunto com posições divergentes. E, diante dessas posições, o MPF avoca para si uma das competências que tem, que é de ser um dos órgãos de controle externo da administração pública. Ele também pode realizar esse controle. Não sei se a melhor forma seria concomitantemente, junto com a ação contra a Meta, porque me

(18:40) parece que coloca algumas fricções ali que podem prejudicar o andamento dessa ação. Mas, enfim, fica aqui a informação sobre essa ação. Acho que o mais importante aqui acaba sendo o valor, R$1,7 bilhão, mas vamos aguardar para ver como essa questão vai se desenvolver ao longo do tempo. E isso demonstra, talvez, um pouco da complexidade e das características do nosso sistema de proteção de dados brasileiro. Eu quero ver se, mantido esse valor, ele vai ser pago.

(19:23) Mas isso é outra coisa, é outro problema. Guilherme, é um milagre que a gente esteja gravando hoje. Acho que nem o Discord, nem o Craig que usamos para gravar, nem nenhuma outra coisa que estamos usando aqui está dependendo de algum servidor Windows rodando o CrowdStrike. Senão, a gente ia tomar um “strike” também. Eu não sei se todos os nossos ouvintes acompanharam, mas essa notícia é de hoje, a coisa começou hoje de manhã.

(20:06) Um apagão mundo afora com relação a alguns serviços que simplesmente saíram do ar. O que chamou mais atenção, obviamente, são os serviços que ficam visualmente expostos ou que atingem diretamente os usuários finais. Então, o que chamou mais atenção foram as fotos de painéis de aeroportos, aqueles que informam voos de chegada e saída, com uma tela azul, em várias partes do mundo. Não é em um país específico. Companhias aéreas no mundo inteiro cancelando voos. Só nos Estados Unidos, a Delta, por exemplo, que é uma das mais conhecidas, e outras duas ou três estavam…

(20:52) O que estava no ar, estava no ar. Os voos que não tinham saído não iam sair e não tinha previsão de retorno. Nós tivemos hospitais fora do ar, plantões de hospitais também parados, cirurgias canceladas, gente com problema de acesso a banco, todo tipo de serviço. E o que aconteceu para isso acontecer? É alguma coisa da guerra da Ucrânia? É algum ataque de algum hacker chinês ou coisa parecida? Não, gente. O que aconteceu foi o seguinte: vários sistemas rodando especificamente em Windows,

(21:37) mas o problema não é do Windows, não é da Microsoft. Vários sistemas têm um software de uma empresa chamada CrowdStrike, que, segundo tudo que levantei, é a líder mundial em soluções de segurança para servidores Windows e outras coisas mais. Então, imaginem que eles atendem diversas empresas, e empresas grandes, que rodam, entre outros sistemas operacionais, alguns servidores Windows. E esses servidores estavam com esse software de segurança deles.

(22:21) Eles enviaram para todos os clientes uma atualização de segurança. E essa atualização, ao que tudo indica, pois novas informações podem surgir depois da nossa gravação, foi um driver que eles subiram, e o driver não estava íntegro. E esse driver, ao ser instalado nas máquinas, fazia com que

(23:02) o Windows reiniciasse com a instalação do driver e não subia mais. Aparecia uma tela azul, a “Blue Screen of Death”, a tela azul da morte. Ela mudou ao longo do tempo, mas continua azul. Isso deve ter alguma relação com o Grêmio ou coisa parecida, no ponto de vista negativo, ou não? Eu acho que não. E aí o sistema simplesmente sai do ar e a máquina não inicializa mais. Então, imaginem aí, talvez milhares, não se sabe ainda o tamanho, o alcance da coisa, a gente sabe dos efeitos, mas

(23:38) não quantos servidores foram atingidos. Mas esses servidores Windows simplesmente não inicializam mais. Inicializa e entra na tela azul. O que aconteceu, então? Ficou um monte de gente fora. Imagina, hospital, banco, aeroporto, companhia aérea sem check-in, um monte de coisa fora. Como se resolve isso? Bom, já se sabe o que causou o problema, já se sabe qual foi o driver. O que deve ser feito agora é uma ação manual para remover o driver.

(24:12) Máquina por máquina atingida por esse negócio vai ter que ter uma ação manual para remover o arquivo que está causando o problema, e a máquina tem que ser reiniciada. Em alguns casos, são necessários até 15 reboots para a máquina voltar ao normal. Estou te falando, está nas nossas notícias, não estou inventando. Em alguns casos, é necessário até 15 reboots para a coisa voltar à situação normal. Dá para imaginar o tamanho da confusão que foi gerada. Está se falando em um maior incidente. Agora vamos entrar…

(24:55) eu vou chamar de incidente de segurança. O maior incidente de segurança que tivemos em 2024 e, dependendo, talvez da história, em termos de escala. Mas várias coisas chamam a atenção. Uma delas é que a própria empresa está dizendo que não se trata de um ciberataque e não se trata de um incidente de segurança. Primeiro, concordo que não se trata de um ciberataque, claro, desde que o que eles falaram seja verdade, ou seja, eles cometeram um erro e subiram um driver problemático para o Windows.

(25:36) Houve um erro. Até tem uma trend no Twitter que virou hoje, do pessoal fingindo: “Primeiro dia de trabalho na CrowdStrike, estou subindo meu primeiro código, vai ser muito legal”. Então, concordo que não seja um ataque cibernético, porque não é alguém fazendo isso com a intenção de causar uma negação de serviço, que foi, efetivamente, o que estamos vendo, ou seja, um monte de sistema saindo do ar gera negação de serviço, afeta a disponibilidade desses

(26:16) sistemas. Aí, justamente, voltando à questão dos atributos de segurança, que você pode procurar aqui no canal, depois de assistir a este nosso episódio. Na aba “Ao vivo”, gravei a live de terça-feira sobre atributos da segurança, objetivos da segurança. Um dos fundamentais, junto com confidencialidade e integridade, é a disponibilidade. E acho que não há dúvida de que a disponibilidade foi comprometida neste incidente. E, repito, agora estou chamando de um incidente de segurança. Eles dizem que nem sequer um incidente

(26:53) de segurança foi. Mas, se considerarmos, definitivamente eles estão errados. É um incidente de segurança, causado por uma ação não maliciosa, provavelmente humana, mas é um incidente de segurança. A disponibilidade foi afetada. Dentro do que foi colocado, a confidencialidade não, ou seja, simplesmente a máquina não inicializa, então as informações ficaram até mais seguras, ficaram inacessíveis, com menos chance de vazamento. Mas a integridade,

(27:30) em tese, os dados estão todos lá, só o Windows não inicializa, não deve ter corrompido nada, em tese. Mas a disponibilidade, com certeza, foi para o beleléu. Então, sim, caros da CrowdStrike, podem dizer 3.000 vezes que isso não é um incidente de segurança, mas é. Pode não ser um ataque cibernético, concordo, mas é um incidente de segurança. Posso fazer uma observação, Vinícius? Pode, vai lá. Eu acho que isso é um pouco um vício que, na área de proteção de dados, se tem. Para lidar com

(28:12) proteção de dados, é preciso conhecer bem os atributos de segurança, que se transformam, quando os migramos para o direito, em quase como se fossem bens que também são protegidos ou facetas da informação que também são protegidas pelo direito. O pessoal da proteção de dados acaba se fixando muito mais no atributo da confidencialidade para relacionar com incidentes. Esse cacoete seria: “Eu só percebo um incidente quando a confidencialidade é

(28:55) violada, portanto, quando há um vazamento”. Só que, no âmbito do tratamento de dados pessoais de forma ilícita, e também para a consideração de um incidente, qualquer incidente que afete qualquer um dos atributos de dados pessoais será considerado um incidente também para fins da LGPD. Em qual sentido? No sentido de que, se os dados forem perdidos, vamos imaginar uma hipótese em que esse incidente cause a perda de dados, além de uma indisponibilidade temporária, a perda

(29:33) definitiva de dados. Se o titular dos dados não consegue ter acesso aos seus dados pessoais, isso também é um incidente de segurança. Em geral, claro, como falei antes, quando tenho uma situação em que também tenho um serviço prestado e o titular de dados pessoais também é um consumidor, tenho duas afetações. Posso ter a afetação ao serviço em si, e aí dificilmente, e é o que provavelmente vai acontecer, as empresas não vão poder alegar um caso fortuito, porque esse é o que a

(30:08) gente chama de “fortuito interno”. São as escolhas dela, enquanto empresa, de utilizar ferramentas de segurança, por exemplo, que podem, sim, falhar, mas ela não pode dizer que isso foi um caso fortuito comparável, por exemplo, à enchente aqui do Rio Grande do Sul. Então, ela sim será responsabilizada, todas essas empresas que causaram dano. Sei lá, o sujeito perdeu o voo, ele vai buscar uma responsabilização e, muito provavelmente, vai conseguir, porque as empresas não vão poder utilizar o caso fortuito nessa circunstância. E, ainda, se ela

(30:40) perde dados, mesmo que não tenha sido afetada a confidencialidade dos dados pessoais, incidentes que afetem outros atributos também vão ser assim considerados para a LGPD e vão ter os possíveis efeitos para essas violações. Curiosamente, eu já vou seguir na minha linha, mas, curiosamente, as notícias dão conta de que a CrowdStrike admitiu o problema – óbvio, todo mundo sabe –, mas não se

(31:17) desculpou, em tese para evitar uma eventual responsabilização, achando que vai evitar uma responsabilização com relação aos prejuízos causados, porque a gente sentiu bastante as coisas nos bancos. Tem, inclusive, uma notícia do Convergência Digital, que também está nos nossos links, em que você vai encontrar. Bancos tradicionais, que não são os bancos por aplicativo, e os bancos por aplicativo sofreram pane no seu sistema,

(31:56) ou seja, quem tinha infraestrutura rodando Windows com os softwares da CrowdStrike instalados teve problemas. Não que 100% dos clientes tiveram, mas foram atingidos por isso. Como eu disse, há vários pontos que chamam a atenção nesse incidente de segurança. Um deles é o pessoal não querer chamar de incidente de segurança, quando na verdade é, inclusive para a LGPD, como você bem falou, porque atinge a disponibilidade dos dados. Um outro aspecto que chama a atenção

(32:34) é quando a gente pensa em ambiente redundante. Por exemplo, quem tinha máquinas Windows no GCP, na Azure ou na AWS, ou até on-premises, para ter redundância, e tinha o mesmo software instalado em todos esses pontos, com as mesmas políticas de atualização automatizadas, perdeu ao mesmo tempo todos os ambientes, se eles foram atualizados. É interessante que, quando a gente fala de criar um ambiente redundante, não é só redundância de

(33:15) equipamento físico, de VMs ou de recursos redundantes, e até mesmo em nuvens diferentes. Temos que pensar também em credenciais de acesso diferentes, porque se eu perco um ambiente porque alguém comprometeu credenciais administrativas, eu perco um ambiente. Se o outro ambiente está acessível e tem as mesmas credenciais, o que vai acontecer? A questão de atualizações: ponha um delay de atualização entre um ambiente e outro, pelo menos para que, se de repente o teu ambiente de produção

(33:56) parar, você tenha o teu segundo ambiente ainda no estado anterior. Mas, para isso, você não pode deixar uma mesma aplicação, um mesmo fornecedor como a CrowdStrike, com o poder de atualizar tudo ao mesmo tempo. Se der um erro desses, como aconteceu agora, destrói a tua contingência. Quando se pensa em contingência, pensamos normalmente em duplicar recursos ou mesmo em backup, que faz parte da brincadeira, mas temos que pensar também no sentido

(34:34) temporal de aplicação de atualizações nesses sistemas, porque se der errado uma atualização como deu agora, e estou usando a mesma solução de segurança em todas as minhas máquinas, vou perder tudo ao mesmo tempo. E aí, como eu disse, vai ter que ser feito manualmente. Cada máquina vai ter que ir lá, remover o arquivo que eles recomendam e reiniciar a máquina. Em alguns casos, estamos falando de 15 reboots. É um caso que chama atenção por esses vários pontos, desde o pessoal querer admitir ou não a questão do incidente de segurança, a gente

(35:13) entender essa questão de cadeia de suprimentos, quando interligamos vários ambientes a uma mesma solução que mexe nesses vários ambientes ao mesmo tempo, e a questão da segregação de ambientes. E outra, não sei se isso é evidente para todos, mas os softwares não são perfeitos. E, no final das contas, também é evidente que você teve esse incidente que foi mais visualizado, mas, claro, o uso de ferramentas de segurança evitou muitos outros incidentes motivados, quase sempre, por atores mal-

(35:53) intencionados. Então, tem esse aspecto também. Não é para demonizar as ferramentas. Softwares têm erros, são feitos por humanos e, eventualmente, por mais cuidados que se tenha, vão falhar. Sim, a ironia é uma solução de segurança ter causado isso. O impacto, o tamanho do impacto, se dá justamente por causa do tamanho da empresa. A CrowdStrike é uma das maiores do mundo, senão a maior, nessa área. Então, ela tem centenas de milhares de clientes, e

(36:38) esse erro que eles cometeram sozinhos derrubou coisas no mundo inteiro e causou esse apagão. Quando eu vi a notícia, achei: “Pronto, alguém ferrou com a internet”, mas não foi isso. Meu segundo pensamento foi: “A internet ou, provavelmente, uma das nuvens caiu e levou meio mundo junto”. Eu também pensei na nuvem, mas não. Foi especificamente em servidores rodando Windows com o software da CrowdStrike instalado. A Microsoft não é a responsável dessa vez. A Microsoft estava com problemas algumas

(37:17) semanas atrás com relação ao 365, mas isso não tem nada a ver com o problema de hoje. O Nubank teve problema ontem ou anteontem, estava sumindo o investimento de todo mundo. Estava conversando com a Dani, da nossa equipe aqui da Brown Pipe, e ela: “Gente, sumiu as coisas de vocês também no Nubank?”. E eu: “Como assim? Para mim, não”. O investimento que eu tinha sumido. Fui olhar, para mim estava normal. Puxei

(37:52) para baixo para atualizar e metade do valor tinha ido para o beleléu, sumido. Aí o Mateus catou na internet e estava todo mundo reclamando no Twitter. Mas nada a ver com o que aconteceu hoje, é outra questão. Mas estamos cada vez mais dependentes desses sistemas e softwares, como o da CrowdStrike, que atende uma quantidade muito grande de empresas e, consequentemente, está presente

(38:25) numa quantidade muito grande de servidores, nesse caso Windows, dos mais variados ramos possíveis. Um erro desses causa um impacto muito grande. Hospitais pararam de funcionar, pessoas foram mandadas de um hospital para outro porque não tinham condições de atender. Fichas de pacientes ficaram indisponíveis. Imagina você desligar aleatoriamente computadores ao redor do mundo, em todas as áreas possíveis. Esse é o ponto. E aquela coisa da nuvem que parece

(39:02) abstrata, “está na nuvem”. Pois é, deu pau na nuvem, foi mais ou menos isso. Dá um problema em um servidor, sabe-se lá onde, e quando você vê, é afetado na ponta e nem imagina. Mas é isso que acontece, é normal, é do jogo. Agora, claro que temos que pensar melhor em permitir que um único software desses saia fazendo atualização massificada. Se tivesse sido feito, pelo amor de Deus, eles podiam ter um ambiente de homologação melhor. Faz um ambiente de homologação e, se der pau, para ali mesmo, não faz o deploy para

(39:40) o resto do mundo. Podia ter parado por aí. Enfim, talvez seja o maior desses incidentes que estamos vendo. Espero que a gente não veja um maior que esse tão cedo, pelo menos. Eventualmente, ao longo dos próximos dias e semanas, vamos descobrir um pouco mais sobre as causas, porque eles vão ter que dar explicações. Afinal de contas, uma empresa com capital aberto vai ter que se posicionar perante seus acionistas. As ações dela caíram,

(40:09) mas ela é grande o suficiente para aguentar esse baque. E aí, Guilherme? A próxima. Ainda no âmbito de proteção de dados, nesta semana tivemos o lançamento do regulamento sobre a atuação do encarregado de proteção de dados pessoais, essa figura que a ANPD indica que as empresas tenham, claro, com algumas exceções para agentes de tratamento de pequeno porte. Mas, à exceção desses,

(40:45) é obrigatório o apontamento desse encarregado ou encarregada. O teor desse documento não é novo, porque já estava em consulta pública, então já tínhamos algumas pistas do que viria. Essa consulta pública foi analisada pela ANPD, que consolidou os dados. Temos aqui um documento de 21 páginas e, basicamente, o que ele faz logo no início é mostrar… e se você quiser mostrar, esse link eu não

(41:25) tinha te mandado, Vinícius, mas temos aqui o link do próprio Diário Oficial com o documento. Como esse documento é organizado? Primeiro, temos ali, do artigo primeiro e segundo, as disposições preliminares, que são basicamente um glossário. Depois, temos algumas recomendações aos agentes de tratamento, a partir do artigo terceiro, ou seja, a forma como você deve indicar o encarregado, perdão, dos artigos terceiro

(42:00) a sétimo, que vai cobrir tanto a documentação, como você precisa indicar, cobrindo tanto o setor privado quanto o setor público. Depois, temos os deveres do agente de tratamento. Isso aqui é bem interessante. Antes, temos ainda o artigo oitavo e nono, sobre a identidade e as informações de contato do encarregado. Mas é interessante ver que, além de lidar com as atribuições do encarregado, esta regra também traz atribuições para os agentes de tratamento que contratam o encarregado.

(42:41) O encarregado está sempre vinculado a um agente de tratamento, e esse agente precisa cumprir alguns deveres para, entre outras coisas, permitir o trabalho do encarregado. Essa é uma questão muito interessante, Vinícius. Sobretudo lá fora, na União Europeia, temos uma série de decisões, inclusive no blog da Brown Pipe tem algumas decisões no sentido de o agente de tratamento ter sido responsabilizado por não fornecer os meios necessários para que o encarregado trabalhe. E o artigo 10

(43:20) desse regulamento faz justamente isso: ele diz que o agente de tratamento precisa prover os meios necessários para o exercício das atribuições do encarregado, neles compreendidos, entre outros, recursos humanos, técnicos e administrativos. Lá fora, já vimos empresas sendo condenadas por isso. O que a ANPD quer aqui é, evidentemente, que a indicação do encarregado não seja somente um ato pro forma, só para mostrar que tem. Não basta mostrar que tem, tem que permitir que ele trabalhe, tem que dar as condições para

(43:57) que ele consiga realizar suas atividades. Depois, temos, a partir do artigo 12, as características do encarregado; a partir do artigo 15, suas atividades e atribuições, repetindo até algumas coisas da própria LGPD. Traz ali suas atribuições, os deveres do encarregado. E, o que chama a atenção também, a partir do artigo 18, é sobre o conflito de interesses. O scroll do meu mouse parou de funcionar, por isso estou fazendo manualmente.

(44:40) Se você consegue acompanhar a tela que estou te mandando. É um outro ponto também muito tratado nos documentos europeus, no antigo Artigo 29, no EDPB (European Data Protection Board), nas decisões. Ou seja, preciso, além de permitir e trazer os meios para que o encarregado trabalhe – não é só pro forma, não basta nomeá-lo e não dar os meios –, preciso afastar os conflitos de interesse.

(45:20) A norma traz ali o que me parece que não é um rol fechado, é um rol aberto, ou seja, exemplifica o que é conflito de interesses, não diz que somente o que está no artigo 19 são os conflitos de interesse. Basicamente, preciso dar autonomia e independência para que o encarregado possa trabalhar. E esse é, na minha opinião, um dos maiores problemas da atuação do encarregado, porque ele, muitas vezes, vai incomodar a instituição. Acho que quase sempre, que nem o pessoal da segurança.

(45:58) Mais ou menos. Quem é mais chato: o DPO ou o CISO? Podíamos fazer uma votação. Por que isso é assim? Porque sempre terei atribuições que são contrapostas. Terei tanto o CISO quanto o DPO como cargos que vão olhar para o negócio das instituições e apontar, muitas vezes, discrepâncias nessas intenções. “Olha, você até pode querer

(46:37) fazer isso, mas, se quiser, estará violando tais e tais princípios ou regras aqui da ANPD.” Assim como o pessoal da segurança da informação, de maneira geral: “Você quer colocar esse sistema no ar em 15 dias…”. Aquela notícia, não sei se você vai trazer, mas saiu esses dias numa palestra de um gestor de TI. Eu queria ter comentado, esqueci. Calma que eu puxo

(47:10) aquilo e trago para nós. Aquilo até tomou ares quase de piada. O sujeito diz: “Não preciso falar com a TI, agora simplesmente coloco…”. Deixa que eu vou trazer aqui. Eu acho que um dos pontos mais importantes aqui – tudo é importante –, a questão dos deveres dos agentes, de promover os meios, mas também de evitar conflitos de interesse. Esses conflitos, sobretudo, vão se dar quando eu tenho conflito entre as

(47:42) atribuições. Por exemplo, o CISO e o DPO sendo a mesma pessoa, o gestor de TI sendo o encarregado, ou seja, eu teria conflitos de interesse aí. O parágrafo único do artigo 21 diz como devo afastar, mas o fato é que eu devo afastar. Há muitas outras áreas, o setor bancário por exemplo, que têm regras do Banco Central para lidar com conflitos de interesse, não somente nos aspectos de segurança e proteção de dados, mas também nos aspectos gerais da atividade bancária e financeira. Eu posso ter muitas situações de conflitos de interesse.

(48:23) Quando expando isso para a conformidade bancária, terei questões como insider trading, o sujeito se utilizando de informações para ter ganhos pessoais. Acho que se coloca e se complementa agora, com essa norma, a atividade desse cargo tão importante, que é o de encarregado de proteção de dados pessoais. As empresas precisam ficar muito atentas a essas novas regras, justamente para, repito, além de afastar o conflito de interesses, não basta definir um encarregado, você precisa

(49:00) permitir que ele trabalhe. E é muito comum vermos empresas que não permitem que o encarregado trabalhe. Fica aí a notícia, alguns dos itens dessa resolução e o convite para aqueles que nos escutam de dar uma olhada no documento e, de uma forma bem crítica, observar if a sua empresa está tratando e lidando adequadamente com essa questão do encarregado. Perfeito, Guilherme. Vou comentar rapidamente a questão da RockYou e trazer o vídeo.

(49:32) No final do último vídeo que gravei sobre atributos de cibersegurança, a última live, que está aqui no canal do Segurança Legal no YouTube, na aba “Ao vivo”, no episódio “Atributos de Segurança”, mais para o final, o último assunto que trato ali é justamente dessa lista de 9,9 ou 10 bilhões de senhas vazadas. Lá eu explico

(50:05) direitinho quais são as preocupações, mas aqui vou dar só um resumo para você ir para lá. São 9,9 bilhões de senhas, sim, mas não é conta e senha, ou seja, não são contas de usuários com as senhas que o pessoal pode pegar e sair acessando por aí. São 9,9 bilhões de senhas que vazaram em diversos vazamentos diferentes. A nova lista teria 1,

(50:30) 5 bilhões de senhas novas. E por que estou falando “teria” ou “seriam”? Porque eu baixei essa lista, fui olhar o que tinha lá dentro. Eu já conhecia versões anteriores dela e tem muita coisa lá que não serve para nada, tem muito lixo, muito hash que nem sequer foi quebrado, misturado no meio. Claro que não é mais da metade da lista, eu fiz uma limpa para tirar essas coisas. E essas senhas que estão lá são de diversos vazamentos. Então, não se preocupe no sentido de: “Ah, não, vou ter que sair

(51:08) trocando as senhas de todos os meus serviços, porque minha senha pode estar nessa lista e vão entrar na minha conta”. Dificilmente isso vai acontecer. Há vazamentos por aí que, sim, têm o nome da conta e a senha, e aí você tem que tomar cuidado. Existe um site chamado “Have I Been Pwned?”. Eu vou colocar o site aqui para vocês verem, mas vou colocar também no show notes. Nesse site, você coloca o seu

(51:40) endereço de e-mail e ele lista para você quais foram os vazamentos nos quais o seu e-mail aparece. É interessante, se apareceu, aí sim é bom que você troque a senha, principalmente se estiver usando a mesma senha em vários lugares. Essa lista que vazou, a “RockYou”, foi compilada de vazamentos. Ela é bastante útil para um atacante fazer quebra de senhas de novos vazamentos. Então, vazou o banco de dados de um sistema, um site ou coisa parecida, o atacante vai pegar essa lista “RockYou 2024” e vai

(52:18) usar essa lista para tentar descobrir as senhas que estão ali naquele vazamento. Essa é a resposta rápida. Quem tem que se preocupar com isso é quem desenvolve o sistema e tem algum tipo de vazamento, e a maneira como protege as senhas. E isso tudo eu explico no finalzinho do episódio “Atributos da Cibersegurança”, que está no nosso canal no YouTube. OK. Posso só fazer outra observação, Vinícius? Eu abri meu Twitter aqui e logo veio… na verdade, estava numa aba, não fui ver o Twitter enquanto você falava, eu estava trocando de aba.

(52:54) Eu faço a mesma coisa. E tinha uma conta, Felipe Rêgo, que foi respondida pelo Diego Aranha, por isso que apareceu, que fala que teve um apagão tecnológico porque a Microsoft lançou um update. Acho que talvez ele esteja desatualizado aqui, ou me parece que já está definido que não foi a Microsoft. E ele diz: “Mais de 90% da infraestrutura de sistemas de tecnologia está em Linux. O que estamos vendo é, no máximo, um tropeço tecnológico.”

(53:25) “Se um dia o Kernel do Linux fizer um update…”, aí ele usa um palavrão, “aí sim teremos que nos preocupar”. Aí o Diego Aranha diz: “A diferença fundamental hoje em dia é que o Linux está no backend. Depois de consertar, os serviços voltam rápido, veja os apagões da Amazon. Apagão generalizado no Windows, nas pontas, força o conserto de cada máquina individualmente”. Foi um pouco do que você falou antes. “Dito isso, penso que a arquitetura de sistemas Unix impede essa lambança de software proprietário de segurança rodando em espaço de kernel,

(53:57) tanto porque precisa menos, quanto pela separação mais rigorosa entre kernel e userland. O systemd está, vagarosamente, degradando essa vantagem”, diz o Diego Aranha. É, claro. Respeitosamente, um abraço ao Diego Aranha, se nos estiver ouvindo. Mas vou discordar um pouco, porque é o seguinte: esse software, o CrowdStrike, quando instalado, precisa de acesso de baixo nível no kernel.

(54:37) É bem tranquilo dar esse tipo de acesso para um software no Linux. Então, de repente, aconteceria a mesma coisa, vamos supor, que a CrowdStrike oferecesse um módulo para Linux, um módulo vinculado ao kernel, carregado junto com o kernel. Claro que o kernel tem uma série de separações, de mecanismos de segurança, mas, se o usuário quiser dar acesso, ele vai dar. E amanhã ou depois, dá um pau qualquer e o sujeito mexe no kernel, mexe no módulo, e a máquina deixa de inicializar. Quantas vezes, Guilherme,

(55:14) nós, usuários de Linux há muito tempo, quantas vezes já aconteceu de um software mexer em um módulo do kernel e ferrar com o boot? Para mim, nunca. Nenhuma vez? Não, nem vem. De esculhambar com a imagem de boot do kernel e, de repente, não inicializar mais? É raro, mas para mim aconteceu algumas vezes. As vezes que aconteceu, exigiu uma ação manual para voltar. Então, tem a possibilidade, desde que se instale um único sistema que tenha acesso às funcionalidades mais

(56:00) fundamentais do sistema operacional e possa modificar essas coisas de alguma maneira, temos risco, sim, de um problema massivo envolvendo diversos servidores. Ele não diz que não há risco, ele diz que impede essa lambança. Se colocar um software que gerencia um monte de máquinas Linux, proprietário ou não, que tenha a possibilidade de mexer como

(56:37) root lá nas máquinas, ele tem, sim, o potencial de causar um problema idêntico. Talvez estejamos falando de coisas diferentes, mas ele tem um potencial. É só instalar o software em tudo que é máquina Linux que você tem, e esse software gerencia pacotes. Pronto. É só essa funcionalidade. Aí você erra na hora de instalar um pacote de kernel, uma atualização de kernel, e a máquina não inicializa mais. Estou me lembrando aqui que os problemas que eu tive foi que a minha partição de boot era muito pequena, e aí quando enchia, ele não

(57:16) inicializava mais, lembra disso? Sim, mas isso não é por um processo de gerenciamento. Nota que isso é um problema da atualização do kernel que o Ubuntu faz. Não verifiquei se outros fazem, mas ele vai mantendo versões do kernel que não estão sendo utilizadas, e isso acaba entupindo a partição /boot, e depois o negócio não inicializa, dá um pau na atualização. E aí exige uma ação manual. Então, se tiver um gerenciamento centralizado com acesso a todas as máquinas, com a capacidade de

(57:53) modificar o sistema operacional de alguma maneira – algum parâmetro, pacote, configuração de rede ou qualquer coisa – e o negócio der errado, os caras mandarem um pacote, um script com erro, por exemplo, ele vai tirar tudo do ar, massivamente também. E, como o próprio Diego falou, vai ser pior ainda, porque vai ter muito mais máquina atingida, pensando em infraestrutura Linux. É concentrar em um único fornecedor que consegue, por sua conta própria, disparar uma atualização massiva nos

(58:30) servidores dos seus clientes, que foi o que a CrowdStrike fez. Mas, enfim. Fala. Eu vou trazer, então, a pedido. Eu tinha esquecido disso, Guilherme, ainda bem que você lembrou. Deixa eu baixar um pouquinho a tela. Eu vou ligar o áudio, espero que… ah, não vou conseguir botar o áudio. Eu vou ter que compartilhar o link. Só diz o

(59:14) que foi. Foi um evento de TI, o Febraban Tech 2024. Um consultor da Caixa Econômica Federal, que presta consultoria para a Caixa, foi falar sobre inteligência artificial e acho que ele meteu os pés pelas mãos, falou muita bobagem. Teve gente que se estressou, gente achando que era piada. O sindicato dos trabalhadores de TI de São Paulo,

(59:57) o Sindpd, mandou um comunicado para a Caixa, e a Caixa se manifestou dizendo que não concorda com aquilo. Teve gente que criticou o sindicato, outros não, foi uma zona. Mas o que interessa é o seguinte: o que me chamou muita atenção foi o consultor colocar que, com a IA, ele tirou – são palavras minhas, resumindo o que ele falou –

(1:00:30) a TI do loop. Ele conseguia resolver as coisas diretamente, sem se preocupar com compliance e proteção dos dados. Em vez de ter que pedir uma coisa para a TI e levar 15 dias para ver se a segurança permite, se a proteção de dados deixa, se vai ter o compliance, ele estava furando isso usando IA e dando os dados

(1:01:05) direto para a IA, sem ter que se preocupar com a TI. Isso gerou uma reação. Um aspecto é que o pessoal ficou bravo porque os profissionais de TI estavam sendo desrespeitados, e concordo. Mas o que mais me chamou a atenção foi um cara que dá consultoria para um banco falando que ele está mandando o compliance às favas. Mais ou menos isso. Ele diz isso. Esse negócio de compliance de uso de dados, a gente pega e faz, depois a gente vê.

(1:01:45) Esse negócio de segurança, a gente põe para funcionar e depois vê o que vai fazer. Eu dizia isso como piada nas minhas aulas de segurança da informação, e esse cara é a personificação real dessa piada, que é esse lance de dizer que compliance não importa, segurança não importa, a gente põe para rodar e depois vai ajeitando. Palmas para o profissional. Eu acho que isso, falando sério, porque é engraçado pelo

(1:02:29) absurdo, mas acho que sim. Esse senhor, acho que ele sabe que as coisas não são assim, num primeiro momento, mas, ainda assim, ele verbalizou algo. E aí, eu acho que esse é o ponto: é como as pessoas, às vezes, se traem, a depender do ambiente em que estão. É o ato falho, entendeu? Sabe quando você sabe que não pode dizer aquilo, mas acredita no contrário e diz? Por que eu acho que isso é sério? Porque está errado o que ele falou.

(1:03:05) Vai descumprir… Veja, ele não está falando em um mercado não regulado, ele está falando em um evento que lida com um mercado ultrarregulado, inclusive em segurança da informação. Altamente, não, totalmente regulado. Então, se ele está dizendo isso, ele está colocando as instituições ali envolvidas em um problema regulatório, de descumprir regras do agente regulador, que é o Banco Central. Tem esse problema. Agora, acho que o problema maior é que ele, eventualmente, está representando o que muita gente pensa, mas

(1:03:39) sabe que está errado e sabe que não pode fazer. Quer ver como é bem fácil perceber que está errado? Pode fazer um exercício, pode ficar só no exercício. Se quiser fazer na prática, faça, depois chame a Brown Pipe para ajudar. Não siga o exemplo, siga literalmente o que ele está dizendo para fazer: ponha o sistema no ar sem testar. Desenvolva assim: tente atropelar os processos da TI. Tente fazer o pessoal que diz “para desenvolver isso, preciso de 30 dias, 60 dias” desenvolver em uma semana, em 15 dias.

(1:04:18) Mande o compliance às favas, não se preocupe com segurança e vamos ver o que vai dar. A gente vê esses vazamentos de informações, a galera se virando com ransomware, como aconteceu esses dias. A gente vê o pessoal mexendo em conta bancária. É só pensar, fazer um exercício. E antes de entrar na discussão se os processos deveriam ser mais rápidos ou ágeis, o que se pode discutir, não vejo problema nenhum. Se é um exagero ou

(1:05:04) não, tem que fazer esse equilíbrio. É aquela velha questão entre segurança e comodidade, segurança e usabilidade. A gente sabe que, quanto mais segurança, a usabilidade tende a ser prejudicada. Tem que usar biometria, tem que confirmar não sei o quê, faço uma compra no site, tenho que confirmar no celular… tudo isso é mecanismo de segurança que, de alguma forma, me atrapalha na hora de fazer uma compra. Que bom seria se eu dissesse “o número do meu cartão é 1234” e pronto,

(1:05:34) compra feita. Só que, se for só assim, vai aumentar a fraude com cartão. Pode-se discutir isso. Agora, achar, quando o sujeito coloca uma ideia dessas de “vamos fazer tudo de qualquer jeito e depois a gente vê para consertar”, é só parar e pensar um pouco. Se eu fizer isso, vou destruir o negócio. Talvez alguém mais inconsequente pense: “Se der problema, não é meu problema”. Aí, talvez o outro pense: “Se isso estourar, vai ser no meu colo,

(1:06:16) eu não vou querer fazer isso”. É só raciocinar um pouco, porque não faz sentido o que esse cara está falando. Ele está falando de expor as empresas a um risco de segurança e regulatório absurdo, incompatível… é idiota, uma ideia idiota. Mas é como eu disse, do ponto de vista jurídico, é um absurdo, porque você tem regras obrigatórias para serem cumpridas. E a empresa vai decidir descumprir regras obrigatórias? Claro que nenhuma

(1:06:54) empresa, sobretudo regulada, vai dizer que quer descumprir voluntariamente. Mas, talvez, e espero que ele seja o único, mas acho que não, ele, simbolicamente, traz à tona, e por isso que é mais sério, o que muita gente pensa. Dá voz a uma forma de pensar. Exato. Porque, no dia a dia, faz isso sabendo que está errado, mas depois chega e diz: “Não, a gente tem que ver o compliance, olhar para a LGPD”. É um pouco uma relação com a questão do encarregado, ou seja, não basta ter o encarregado, eu tenho que dar insumos para ele trabalhar,

(1:07:33) tenho que dar meios para ele cumprir sua atividade. Esse é o ponto. Guilherme, olha só: vamos subir no avião a uns 2.000, 3.000 metros de altitude, você pula e depois eu vejo o paraquedas para você. Vai firme, pula. É descumprir demandas regulatórias, não se preocupar com a segurança. Depois que você pulou, que a coisa está rodando, aí você se dá conta que está sem o paraquedas que precisa. E aí bate o desespero: como é que eu vou botar esse paraquedas no meio do caminho? Porque, no momento que dá um incidente,

(1:08:12) qualquer confusão relacionada a um sistema que tem algum tipo de vulnerabilidade que não foi tratada, ou alguma falha no cumprimento de alguma demanda regulatória, quando você está respondendo, começa a pensar: “Por que eu não fiz isso?”. É como quando você se pergunta: “Por que eu não fiz o backup?”, depois que perdeu seu HD inteiro em casa. Podia ter feito um backup, mas agora não adianta mais nada. Agora você vai ter que se virar, ver o que consegue recuperar.

(1:08:42) Cinto de segurança você põe antes de um acidente, não depois. E um paraquedas você põe antes de pular, não depois. Tem gente que faz depois. Eu nunca saltaria de paraquedas. Nem antes. Então você nunca vai… não sou o cara de esportes radicais. Quando vou fazer o seguro de viagem e perguntam “vai fazer esportes radicais?”, eu marco não e não vou fazer mesmo. Bungee jump, essas coisas… radical para mim é andar de elevador.

(1:09:20) Minha última aqui, Vinícius, seria sobre como os países identificam a fake news. Foi um relatório, um estudo feito pela OCDE, que investigou a questão da desinformação de maneira geral. Com base nesse estudo, feito em 21 países, que analisou o comportamento de 2.

(1:09:57) 000 pessoas… claro, é um tipo de estudo muito difícil de fazer, porque identificar ou não fake news depende de uma série de variáveis diferentes. É algo difícil de se medir, mas acho que eles foram bem. O primeiro problema aqui não é só a questão de uma atuação maliciosa dos emitentes, envolve também as condições nas quais a desinformação vigora, e isso envolve até mesmo a própria formação das pessoas. Te mandei um link aí para mostrar, bem no fim, Vinícius, porque eu caí nessa hoje, fiquei apavorado quando vi.

(1:10:35) O que eles acharam ali nesse estudo? Algumas coisas. Primeiro, a capacidade de perceber ou identificar conteúdo falso ou enganoso não está correlacionada à capacidade que você acha que tem. Esse é um primeiro ponto. Às vezes, as pessoas acham que são muito boas em fazer isso, mas essa autopercepção não

(1:11:13) afeta a realidade do conteúdo. Talvez seja um pouco de Dunning-Kruger, quando você acha que é bom naquilo, mas nem sempre é. No final das contas, a regra acaba sendo que as pessoas acham que são melhores em identificar fake news do que sua capacidade real. Esse é o primeiro ponto medido. Não está me assustando, mas continue. É, porque eu, por exemplo, me acho uma pessoa boa em identificar isso, apesar de ter caído nessa que te mandei. Depois, as pessoas identificam

(1:11:51) melhor situações de sátira do que de desinformação contextual, aquela coisa de pegar uma informação verdadeira, dobrá-la ou omitir um pedaço para dizer uma coisa contrária. O tema do conteúdo não afeta a capacidade de identificar sua veracidade. Isso eu achei muito interessante, porque às vezes a gente é alertado pelo tipo de tema. “É questão política, tenho que tomar mais cuidado.” Mas nem sempre isso é verdade, segundo ele colocou aqui.

(1:12:29) Tem uma série de dados. Claro, ainda tem as questões metodológicas a se avaliar. Eles mesmos colocam que a interface do estudo simulava postagens de mídia social, o que poderia afetar a forma como os participantes avaliavam o conteúdo. E eles chegam à conclusão de que compreender a fonte das notícias é importante para estabelecer as estratégias. No final das contas, como os grupos da OCDE vão lidar com isso? E aqui eu vou ler um pedacinho que eu

(1:13:08) separei, que achei interessante: “Países com as maiores porcentagens de entrevistados que obtêm suas notícias das redes sociais têm pontuações gerais mais baixas no ‘TruthQuest'” – é o nome da medida que eles fizeram. “Inversamente, países com as maiores pontuações no ‘TruthQuest’ também têm as menores percentagens de pessoas que obtêm suas notícias pelas redes sociais. Esta é uma descoberta contraintuitiva, dado que a interface do ‘TruthQuest’ imita uma postagem de redes sociais. A priori, esperava-se que as

(1:13:43) pessoas que veem notícias com mais frequência nas redes sociais fossem mais habilidosas em detectar conteúdo falso e enganoso nesse mesmo ambiente”, e isso não aconteceu. E, por fim, quero falar sobre a posição do Brasil nesse estudo, Vinícius, porque o Brasil ficou em último lugar nos países medidos por esse estudo da OCDE. Tem um gráfico aqui. A diferença entre o último e o primeiro

(1:14:19) não é tão grande assim, Vinícius. Não é um negócio de 90% e 10% do outro lado, como a gente poderia imaginar, porque vemos tantas pessoas no Brasil caindo e acreditando em coisas absurdas. Você poderia pensar que o Brasil está em último lugar e, portanto… não é isso, porque a diferença entre o mais bem colocado, que foi a Finlândia, que conseguiu identificar 66% das vezes o que é fake, e o Brasil,

(1:14:58) que conseguiu identificar 54% das vezes, é de 12%. 66 menos 54 é 12. Eu estava acessando o Twitter enquanto você falava. Então, não é uma distância absurda, mas é importante. E também essa questão do destaque: quanto mais as pessoas obtêm suas notícias pelas redes sociais, isso influencia, e é a nossa realidade. E a nossa realidade, por diversas questões… acho que tivemos um pouco essa contribuição, isso quem fala sou eu, não lembro de ter visto no estudo, que é

(1:15:45) aquela questão do “zero rating”, que no Brasil funcionou muito bem. Agora já estão querendo rediscutir a questão, mas o sujeito não sai do WhatsApp e do Facebook, ele fica no que recebe ali. Potencialmente, isso pode ter interferido também. Claro, aqui eles medem de maneira geral todos os países que se informam via redes sociais, mas essa constatação de que se informar por redes sociais te torna menos apto a enxergar a desinformação e as fake news é algo

(1:16:17) muito importante para políticas públicas e sobre como os países devem se posicionar e lidar com a questão da desinformação. Mas esta informação de que o Brasil ficou em último lugar, infelizmente, eu não gostaria que fosse assim. Quer que eu mostre agora? Mostra. Deixa eu fazer a pergunta: Guilherme, já entendeu? Fake ou verdadeiro? O Globo, lá em Las Vegas, atingido pelo “strike”. É que a gente tem aquela Las Vegas Sphere, aquela

(1:17:02) mistura de cinema 360 e casa de show. É muito bonito. É uma casa de show que também é um cinema 360, teve um show do U2 lá. Você consegue ver de fora o que está sendo projetado no The Globe. E aí postaram uma imagem nas redes sociais da tela azul do Windows. E quem está falando que é o CrowdStrike sou eu, não é o que está escrito. Verdadeiro ou falso? Pois é, teve essa do verdadeiro ou falso, e na verdade eu caí nela. Esse pessoal do Snopes

(1:17:40) fez um fact-check e verificou que, na verdade, era fake. Mas é um bom fake, eu gostei. Bem feitinho. Não é uma coisa assim… os caras submeteram a imagem a um Photo forensics para verificar, ou seja, ninguém vai pegar uma imagem desse negócio e fazer uma análise forense para saber que é fake. Porque, veja, é factível, poderia ter acontecido, seria possível. Não sei como funciona o sistema lá, mas, aparentemente… mas é aquele cuidado. Eventualmente, nós vamos cair, esse é o

(1:18:15) ponto. Porque, na média, o brasileiro só conseguiu identificar em 54%, um pouquinho mais da metade, enquanto a Finlândia, o melhor, 66%. Mas, de fato, cara, olhando o gráfico, a diferença é mínima. É 12%, mas me assustaria se o pessoal estivesse identificando 70-80% lá na Finlândia e no Brasil 15-20%. Mas não foi o que ocorreu. A situação não é tão ruim assim. Não, eu acho que está todo mundo ruim. Porque

(1:18:56) mais da metade das vezes foi possível identificar, mas ainda está sobrando ali quase metade das notícias falsas não identificadas. E a gente sabe muito bem que o fake corre muito mais rápido do que a verdade, do que o fato. Aquela velha questão: o fake se alastra que nem pólvora, e depois que vem o fato desmentindo, ninguém dá bola para o fato mais. São tempos em que não importa mais isso, seja porque você, ao publicar o fake, quer

(1:19:35) popularizá-lo, quer que ele atinja mais pessoas. Mas, ao mesmo tempo, a gente sabe que o meio importa. E o efeito que a pessoa que faz um fake quer, ela obtém. Ela faz e, até vir o fato desmentir, ela já teve o efeito que queria. Isso quando é malicioso, quando o sujeito faz de propósito. Porque

(1:20:12) eu poderia ter divulgado isso aqui para você achando “Bah, olha o que aconteceu”, e você iria acreditar porque confia em mim. Mas não foi maliciosamente. Acho que eles não mediram esse aspecto malicioso. Enfim, é preocupante. Ainda que sobre ali 20%, 10% que sobrasse de fake news não identificada, eu ainda acho que é um número alto, justamente por causa desse efeito que a fake news normalmente tem. Porque quando a

(1:20:43) gente vai fazer uma chamada em um vídeo, nós aqui do Segurança Legal, a gente se preocupa em fazer uma coisa que seja real, que não seja enganosa. Mas quem está fazendo fake pega isso aqui e diz: “O brasileiro é o mais fácil de ser enganado no mundo por fake news”. Isso não está exatamente mentindo, é verdade, mas está forçando a barra.

(1:21:18) Está forçando a barra, mas não chega a ser mentira, concordo. Mas você entende o que quero dizer? Você faz a coisa de um jeito para chamar a atenção. E o sujeito que quer mentir mesmo, vai exagerar isso aqui, de um jeito que nem eu consigo imaginar. Mas, vamos supor, “o brasileiro, para variar, está muito abaixo da média mundial de quem consegue identificar uma verdade na internet”, o que não é verdade, aí estaria mentindo, já que a gente viu pela

(1:21:57) média ali que estamos bem perto da média. Mas é o problema do fake, da fake news e dos fatos. É complicado, eu diria. Mesmo para a gente, tem situações que não conseguimos mais discutir. Tudo bem. Café expresso e café frio. Eu não sei, Vinícius. Eu sei, meu café frio vai para a CrowdStrike, que fez um strike na crowd. A minha também, claro, óbvio. Fez um strike. Lembrando que temos que aguardar para ver o que aconteceu, os efeitos disso. Até o momento, é uma atualização

(1:22:44) de um driver que foi enviado pela CrowdStrike para os sistemas que estavam rodando o software, e que, por causa desse problema, a máquina não inicializava mais e dava tela azul. Tanto que a solução é apagar um dos arquivos e reiniciar, em algumas situações até 15 vezes. Café frio vai para eles, mas não temos mais informações, não sabemos as circunstâncias. Vai que descobrem que não foi um erro da CrowdStrike, foi alguma outra coisa fora do controle deles.

(1:23:26) Vamos ver, talvez surjam coisas novas. Se surgir, a gente traz para cá. Mas meu café frio vai para eles, porque olha a zona que deu no mundo afora. E o expresso, Guilherme? Eu sei para quem vou dar. Vou dar um café expresso para todos os encarregados de proteção de dados no país, que agora têm uma regra. Eles vão precisar de muito café expresso. Preparem o café expresso, galera, e escutem o Segurança Legal. Ajuda também.

(1:24:02) Meu café expresso vai para a pesquisa que foi feita aqui sobre a… mandando o café expresso para a OCDE. Para eles, porque esse tipo de estudo é muito interessante, temos que refletir sobre isso. Quando surgem essas discussões de “vamos proibir fake news”, como se fosse uma coisa fácil, não é bem proibir, é regular, combater, regular as redes. Eu acho que a gente resolve

(1:24:41) mais fácil essas coisas quanto mais informação tivermos sobre elas. E fazer esse tipo de levantamento aqui, acho que é algo bem importante que a OCDE se propôs a fazer. Gostei. Café expresso para eles. Eu vou ler o relatório. Boa sorte. 47 páginas, não é um livro gigante, mas se não estiver com muita paciência… Agradecemos àqueles e àquelas que nos

(1:25:14) acompanharam até aqui. Nos encontraremos no próximo episódio do Segurança Legal. Até a próxima! Até a próxima! A gente continua gravando aqui mais uns minutinhos, enquanto estamos encerrando algumas coisas. Eu acho que estou sofrendo… não falei na gravação, mas meu vídeo está bom para você? Perfeito. O teu retorno aqui está totalmente zoado. Às vezes é o servidor do Discord, não dá para trocar no meio do caminho.

(1:25:53) Mas está tudo certo. Eu tinha deixado de fora, tinha bastante coisa hoje. Tinham duas notícias aqui, ainda três sobre Deepfake porn e como isso está sendo um problema cada vez maior, sobretudo para mulheres e meninas. E aí um pouco essa questão que eu ia falar sobre o risco e sobre como nossa sociedade permite que se criem coisas que possam colocar muita gente em situações de vulnerabilidade. “Ah, mas a IA é neutra…” Até aí. Mas, ao mesmo tempo, essa

(1:26:33) incapacidade de evitar ou controlar certos desenvolvimentos, essa dificuldade que a nossa sociedade atual tem, em prol desse pretenso benefício que ainda não está sendo muito bem medido, benefícios e malefícios. O fato é que Deepfake porn passou a ser um problema agora. E também um pouco essa questão dos ganhos substanciais. Teve um economista francês, o Antonin Bergeaud… essa pronúncia aí ficou… Você está fazendo mocking do meu…

(1:27:19) Acabou, estou livre para fazer o que eu quiser. Ele basicamente está dizendo que tem, sim, profissões ameaçadas. Isso mudou ao longo do pouco tempo que já veio a IA. Ele trouxe para esse rol os contadores e o pessoal de telemarketing, que vão ser os mais afetados. E você tem, entre os menos expostos, segundo esse estudo, enfermeiros, cabeleireiros e profissões de construção civil. E os próprios advogados, que pretensamente se tinha colocado como um grupo blindado, ele disse que agora há

(1:28:01) mais dúvidas sobre como advogados, arquitetos e jornalistas… Ele apresentou esse estudo no Fórum BCE. É uma reportagem lá de Portugal. E aí, fui atrás de um estudo que ele coloca sobre a questão de como a gente vai avaliar esse grau de possibilidade de automatização que cada atividade, cada profissão tem. Nós vamos ter… tem uma coisa, vou compartilhar com vocês aqui, que me chamou a atenção. Não vou

(1:28:46) dar muitos detalhes, não vou citar nomes. Uma pessoa me relatou, e não fui eu, não é aquela coisa de “um amigo meu”. Mas uma pessoa me relatou o seguinte: ela precisava de um laudo técnico numa determinada área que ela não tem nenhum conhecimento, zero. Mas ela usou o ChatGPT para fazer o laudo, ela tinha as informações que precisava constar no laudo. E o ChatGPT fez o laudo.

(1:29:26) Aí, essa pessoa levou para alguém da área que poderia assinar aquele laudo. E essa pessoa analisou o laudo e disse: “Não, está perfeito”, e assinou. Então, você percebe que tem esse risco, não de dar errado, mas no momento em que um leigo em um dado assunto consegue fazer um laudo técnico que uma pessoa que é quem pode assinar esse tipo de coisa assina sem problemas, dando aval em tudo. Leu e concorda com aquilo.

(1:30:06) Esse emprego está em risco, não acha? A parte de escrever, claro. A questão técnica do sujeito ir lá avaliar é outra questão. E se é legal ou não fazer isso que acabei de descrever, é outra questão também. Mas me parece que esse profissional vai sumir. Tinha outra notícia que eu tinha anotado, que lá em Portugal o ganhador do Prêmio Pessoa 2023 foi um sujeito da Igreja. Você pronunciou em francês antes, vai ter que falar Pessoa… Pê-ssoa. O prêmio

(1:30:51) Pessoa. Quem ganhou foi um cardeal, Dom José Tolentino Mendonça. Mas ele falou uma coisa… e, claro, o podcast Segurança Legal não tem religião, é que nem o Estado. Mas não quero fazer proselitismo aqui falando de um sujeito da Igreja Católica. O fato de ele ser da igreja não significa que a gente não possa olhar para o que ele diz e avaliar criticamente. Acho que ele foi

(1:31:27) muito feliz ao dizer a seguinte frase: “Não podemos simplesmente delegar o futuro nas mãos de um processador de algoritmos”. Por quê? É óbvio, mas ele continua, dizendo que a inteligência artificial, para estar realmente a serviço das pessoas, deve ser associada a uma inteligência que não é apenas a das máquinas, mas a multimídia inteligência humana, que torna possível em nós o espanto e a poesia, a gratidão e o perdão, a alegria, a compaixão ou o amor. Colocado de outra forma, de uma forma

(1:32:03) mais laica, eu diria, é uma tecnologia que deve observar também o cuidado humano, o bem-estar humano, colocando a pessoa no centro das preocupações, que é o famoso princípio na inteligência artificial, o princípio da centralidade da pessoa humana. A pessoa deve estar… estou falando em pessoa e nem me dei conta que o nome do prêmio é Prêmio Pessoa, claro, para o Fernando Pessoa, mas no final as duas “pessoas” se encontraram aqui. Sabe que isso é muito bonito, eu concordo, e não por ser católico, porque não sou.

(1:32:46) Mas acho que, infelizmente, enquanto não tiver uma mudança de postura, e é uma coisa meio utópica o que vou colocar, das pessoas ou de quem tem condições de fazer essas coisas acontecerem, acho que vai ficar só no blá-blá-blá. Por quê? Como você acha que alguém que acha que as pessoas têm que trabalhar para além da carga horária, senão são preguiçosas ou não querem nada da vida… sabe essa visão de que tem que morrer trabalhando? É um exemplo só que estou pegando. Ou que você pode desrespeitar os horários de

(1:33:29) descanso das pessoas e fazê-las trabalhar no final de semana porque tem que atingir a meta, e que, se nós queremos todos ser felizes, temos que ganhar bastante dinheiro e nos acabar trabalhando para um dia ter riqueza e poder ostentar? Enquanto tiver esse pensamento, fico imaginando o que vão fazer com a IA. Porque essa galera, os que ficam em evidência, não são todos, mas aqueles poucos que dão certo e ficam em evidência, que defendem esse tipo de tese, vão ter condições de usar a IA para tornar a vida dos outros mais miserável, saca? Com usos

(1:34:08) absurdos de IA. Então, acho que, no final das contas, e discordo disso, é a grana que vai mandar, é o dinheiro que vai mandar nessa coisa. E quem está com o dinheiro na mão… eu tenho uma expectativa muito grande com relação a esse negócio da IA, de verdade. Tenho uma esperança de que a IA, de alguma forma, possa ser bem aplicada e nos traga mais

(1:34:45) bem-estar, melhor acesso a atendimento médico, a informações de maior qualidade, e talvez opções onde falta instrução, que a IA possa ajudar nesse processo. Acho que tem muita coisa que a IA pode nos ajudar, um potencial de coisas legais muito grande. Por outro lado, acho que a gente pode pôr tudo isso a perder, ou isso ficar em segundo plano, a depender de quem vai bater o ritmo da marcha, sabe? De quem tem

(1:35:28) condições de direcionar essas coisas. A gente sabe quem vai dar o ritmo, esse é o ponto. E tinha outra notícia, sobre como os trabalhadores que treinam IA têm condições muito terríveis, trabalho precário, indigno, que acaba com eles. Esses trabalhadores que ficam, por exemplo, taggeando conteúdo para treinar a IA, dando aquele feedback. Basicamente, um estudo que mostra

(1:36:05) que o trabalho deles é desumanizante, e pior, acabam pegando pessoas marginalizadas, minorias, migrantes. Já pensou? Estou dando uma viajada, mas, por exemplo, a interface cérebro-máquina, que a gente fica pensando como uma forma de o nosso cérebro controlar o computador ou receber informações. Já pensou na hora que você puder usar essa interface não para você se utilizar de algo que está fora, mas para algo de fora utilizar seu cérebro para ser treinado?

(1:36:49) Mas isso já está acontecendo, não diretamente com uma interface de cérebro, mas a grande busca agora do Meta, por exemplo, e toda essa questão da ANPD, aquela decisão provisória de interromper o treinamento da IA da Meta com os dados das redes sociais, é que o que se quer cada vez mais é buscar as interações pessoais que as pessoas têm. Não é só varrer a internet em fóruns, é ir mais fundo ainda.

(1:37:27) A busca de todas essas empresas é por quem vai conseguir usar todos os dados pessoais de forma descontrolada, que é o que eles querem. E aí, tenho uma disparidade entre ética… e volto um pouco naquela história do sujeito lá do banco: “ah, vamos fazer de qualquer jeito”. Infelizmente, essas coisas estão acontecendo também na IA, nas desenvolvedoras que estão, sim, violando ao redor do mundo leis de proteção de dados e regras até mesmo éticas. E essa coisa, no final, para a gente já ir terminando…

(1:38:07) desde a década de 60 você tem sociólogos, o próprio “1984” fala um pouco sobre isso, sobre como a tecnologia pode tornar uma sociedade totalitária, o papel da tecnologia na vigilância e tudo mais. Claro que tem benefícios, óbvio, a gente reconhece, mas tudo tem um potencial positivo e negativo. A questão é: a nossa sociedade está pronta para colocar a centralidade da pessoa humana ou é uma questão de ver

(1:38:50) quem vai ganhar mais dinheiro às custas da saúde mental ou do bem-estar de todo mundo? Esse é um ponto. Minha esperança é que sim, meu voto é que vai ser. Aos trancos e barrancos, vai ser. Tomara. Olha para trás, um século, dois séculos, olha a m… que a gente era, em geral. Claro que tinha um ponto de luz aqui e ali, mas o ser humano

(1:39:25) era muito pior. A gente melhorou. Então, acho que talvez a gente consiga melhorar também. Considerando a estupidez que nós tínhamos no passado, de novo, as luzes aqui e ali, mas a falta de instrução, as pessoas mais ignorantes, sem acesso à educação. O sistema público de educação foi uma inovação. Antes, quem estudava era quem podia ter um preceptor.

(1:40:08) Quem tinha o direito de estudar. Hoje, a coisa, embora meio ruim a qualidade de maneira geral, dá para melhorar, mas dá para piorar bastante também. Eu tenho esperança, olhando historicamente onde nós estávamos e onde nós estamos, de que a gente melhore as coisas e não use só para o mal. Não é possível que a gente seja tão burro como humanidade. É o estado de

(1:40:50) coisas, e como o mundo se tornou, as forças de poder no mundo se colocam para buscar qual objetivo. É, vamos encerrando então, Guilherme. Já vou encerrando pedindo desculpas aos nossos ouvintes, estou meio resfriado e descabelado, com uma cara de que posso ir para a cama e levantar assim. Estou muito arrebentado, estava tirando minha câmera toda hora porque

(1:41:32) tinha que espirrar. Mas deu certo. Semana que vem, Guilherme, vou estar disponível a partir de quinta-feira, então talvez a gente consiga gravar na sexta. Fica aí para os nossos ouvintes que pode ser que a gente não consiga, mas tudo indica que sim. E eu já avisei lá na live de terça-feira que nesta terça que vem não vai ter, com certeza, mas na outra vai ter. Já avisei o pessoal e aproveito para avisar aqui de novo. Um abraço, pessoal. Valeu! Um

(1:42:02) abração, valeu.