Somente neste mês de novembro, dois grandes vazamentos de dados de operadoras de telecomunicações foram noticiados na mídia apresentando brechas nos sistemas ao acesso de informações dos clientes pela internet. A Vivo admitiu falha na plataforma Meu Vivo, utilizado para clientes para gerenciar dados de assinatura, com cerca de 24 mil assinantes expostos. Já a Claro, expôs informações de mais de 8 milhões de clientes da plataforma Meu Claro Residencial.
Em ambos os casos, as brechas estavam relacionadas ao desenvolvimento de aplicações com parceiros, segundo Luciano Saboia, gerente de consultoria e pesquisa da IDC Brasil. “Discordo um pouco quando as operadoras são colocadas ou marcadas com fragilidade porque é bem pouco comum na história ver casos de vazamento ou ataque, invasões de sistemas que revelem dados de clientes ou sigilo telefônico e toda essa informação passa pelas operadoras de telecomunicações, que sabem a origem dos dados, para quem acessamos, uma vez que é geolocalizado e é preciso no conteúdo que se acessa”, observa Saboia, quando reforça que é muito raro ver notícia que o sigilo telefônico foi quebrado. “Classifico o sistema das operadoras como muito seguro”.
“Pelas últimas notícias da Vivo e Claro, o que aparece é quando uma operadora está fazendo algum tipo de trabalho, por exemplo, o Meu Vivo, onde um pedaço de uma base de dados é disponibilizado por um parceiro para conceder acesso aos clientes e nesse ponto entram vulnerabilidades e ocorreram vazamento de dados. Quando uma área dos dados do cliente é colocado num ambiente externo surgem essas vulnerabilidades”, explica.
De acordo com o analista, os sistemas de dados dos clientes das operadoras são muito confiáveis, uma vez que eles têm o sigilo telefônico e uma série de informações das pessoas. “A regulação que as operadoras sofrem do governo e a exposição que elas têm na mídia faz com que elas tenham uma preocupação em assegurar os dados”.
Questionado pela Security Report sobre possíveis fragilidades na nuvem, Saboia explica que há situação de trabalhar com agente externo ou no uso da nuvem aumentando a vulnerabilidade. Na avaliação dele, quando se refere aos dados dos clientes, a base de informações deles (faturamento, tráfego de dados tanto voz ou propriamente dados) está num ambiente on premise, super seguro e acesso muito restrito. “Portanto, é muito difícil chegar até essas informações e está na mão de poucas pessoas dentro das operadoras. Não vejo as operadoras trabalhando com dados sensíveis de maneira negligente e nem na nuvem”.
Segundo ele, há sim uma série de iniciativas em cloud com o objetivo de otimizar o sistema, reduzir custos com atendimento a cliente, colocando IA e aplicativos. Nessa fase, o desenvolvimento de produto ou interface de atendimento, as operadoras – que também têm área de TI uma velocidade não ideal – muitas vezes recorrem a agentes externos que, na maioria das vezes, trabalham com um pedaço das informações dos clientes e foi nessa situação que houve o vazamento”, revela.
Embora a LGPD ainda não tenha entrado em vigor, o Ministério Público tem movido ações, como ocorreu esse ano com a Vivo. No entanto, Saboia acredita que existe uma fragilidade em todo ecossistema e em diversos setores, não só em telecomunicações, quando se trata de parceiros. “Acaba que não há uma maturidade de processo e preocupação com tráfego de alguns dados e eles ficam mais vulneráveis. Nesse sentido, o mercado de maneira geral não despertou para essa preocupação”.
Tanto num caso como no outro, notas oficiais das operadoras foram enviadas para a imprensa – procedimento comum em empresas expostas com vazamento de dados- , informando a correção de falhas e o constante investimento em políticas e procedimentos de segurança. No entanto, a Security Report procurou ambas operadoras com o intuito de ouvir quais são as boas práticas adotadas pelos gestores de segurança da informação e não obteve as requeridas entrevistas.